Kelompok 3 - Audit Internal-1

INTERNAL CONTROL AND RISK MANAGEMENT
MAKALAH
Diajukan untuk Memenuhi Tugas Mata Kuliah Audit Internal
Dosen Pengampu :
Vita Citra Mulyandini, SST, M. Ak
Disusun oleh :
Kelompok 2
Ananda Aflah (5211191012)
Raden Ira (5211191018)
Gibran Rabbani (5211191022)
Gabriel Elyasah (5211191026)
FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS JENDERAL ACHMAD YANI
CIMAHI
2022
Buku Modul Bab 3 (Pengendalian Internal)
Latihan Soal
1. Mengapa setiap organisasi membutuhkan pengendalian?
Jawaban :
Pengendalian sangat penting dalam suatu organisasi dan merupakan salah satu
fungsi manajerial seperti perencanaan, pengorganisasian, penempatan staf, dan
pengarahan. Pengendalia bertujuan untuk membantu memotivasi dan mengarahkan
karyawan dalam setiap peran mereka. Karena itu, organisasi akan berjalan efektif
apabila para manajer memahami cara mengelola dan mengendalikan, melalui sistem
sistem dan proses yang telah ditetapkan.
Pengendalian harus dijalankan melalui suatu sistem yang jelas. Karena, tanpa
sistem kontrol yang memadai akan berakibat pada kehancuran organisasi. Sistem
pengendalian manajemen juga harus dibuat sedemikian rupa sehingga bermanfaat
bagi organisasi dalam jangka panjang.
2. Siapa yang bertanggung jawab atas pengendalian internal pada suatu

organisasi?
Jawaban :
Para auditor sangat paham bahwa pihak yang paling bertanggung jawab dan
berkepentingan terhadap pengendalian intern adalah manajemen. Auditor selalu
menekankan bahwa tugas mereka adalah sebatas menilai atau mengevaluasi
pengendalian intern, sementara manajemen bertanggung jawab penuh atas efektivitas
pengendalian intern pada unitnya masing-masing. Namun pemahaman dan persepsi
tersebut belum tentu sepenuhnya sama pada pihak manajemen. Konsep pengendalian
intern bagi manajemen adalah sesuatu yang kurang begitu jelas. Lihat saja buktinya.
Pengendalian intern sektor publik di Indonesia yang diamanatkan dalam UU
No.1/2004 baru terbit peraturan pemerintah pada tahun 2008 yaitu PP No.60/2008 dan
pelaksanaannya sampai tahun 2015 juga belum optimal. Pihak yang selalu ditunjuk
sebagai inisiator pelaksanaan pengendalian intern di instansi-instansi pemerintah
umumnya adalah para auditor intern (dikenal sebagai aparat pengawasan intern
pemerintah), bukan para pihak manajemen itu sendiri.
3. Bagaimana peran audit internal dalam pengendalian internal suatu organisasi?
Jawaban :
Peran auditor internal dalam organisasi sangat dibutuhkan dan penting, auditor
internal merupakan elemen monitoring dari struktur pengendalian intern dalam suatu
organisasi, yang dibuat untuk memantau efektivitas dari elemen-elemen struktur
pengendalian intern lainnya. Dalam lingkup Kementerian/Lembaga auditor internal
bertugas memastikan bahwa rencana kerja jangka panjang, menengah maupun
tahunan yang telah disahkan oleh DPR telah berjalan di setiap unit organisasi di
dalamnya. Dalam Permenpan 220 tahun 2008 pengertian dari pengawasan intern
adalah seluruh proses kegiatan audit, evaluasi, reviu, pemantauan dan kegiatan
pengawasan lain, seperti konsultansi (consultancy), sosialisasi, asistensi, terhadap
penyelenggaraan tugas dan fungsi organisasi dalam rangka memberikan keyakinan
yang memadai (assurance) bahwa kegiatan telah dilaksanakan sesuai dengan tolok
ukur yang telah ditetapkan secara efektif dan efisien untuk kepentingan pimpinan
dalam mewujudkan tata kelola/kepemerintahan yang baik (good governance).
Awalnya auditor internal lebih berperan sebagai pengawas atau mata dan
telinga manajemen karena manajemen membutuhkan kepastian terkait dengan
pelaksanaan kebijakan yang telah ditetapkan untuk menghindari tindakan yang
menyimpang. Fokus utama audit internal mengalami pergeseran menjadi konsultan
untuk perusahaan atau kliennya, yaitu membantu satuan kerja operasional mengelola
risiko dengan mengidentifikasi masalah-masalah dan memberikan saran untuk
tindakan perbaikan yang dapat memberikan tambahan nilai sebagai amunisi
memperkuat organisasi. Auditor internal membantu memberikan saran untuk
meminimalisir resiko yang terjadi. Saat ini auditor sedang didorong menjadi
katalisator, katalisator menurut kamus besar bahasa indonesia yaitu seseorang atau
sesuatu yang menyebabkan terjadinya perubahan dan menimbulkan kejadian baru
atau mempercepat suatu peristiwa. Katalisator dalam internal auditing merupakan
suatu fungsi auditor internal untuk membantu anggota organisasi secara langsung
dalam mempercepat suatu penyelesaian masalah dan pencapaian tujuan sesuai dengan
ruang lingkup kewenangannya.
4. Apa perbedaan SPI (Satuan Pengawas Internal) dan SPIN (Sistem Pengendalian
Internal)?
Keterangan SPI (Satuan Pengawsan SPIN (Sistem Pengendalian
Internal) Internal)
Tujuan Sebuah kegiatan yang memiliki Untuk menjamin kesesuaian
tujuan untuk mendapatkan antara perencanaan dan hasil
kepastian dari sebuah kegiatan akhir yang ada.
yang dilakukan. Dalam
pengawasan ini semua akan
diperiksa apakah sesuai dengan
laporan dan tujuan kegiatan
awal atau tidak.
Waktu Dilakukan secara periodik atau Merupakan suatu hal yang harus
berkala. Dengan kata lain, dilakukan setiap saat. Sebab,
Anda harus menetapkan waktu dalam pengendalian ini setiap
kapan untuk melakukan hal apa saja yang dilakukan di
pengawasan secara rutin. Ini dalam perusahaan harus
akan memberikan kemudahan dikendalikan sebaik mungkin
bagi Anda sebagai atasan supaya menghasilkan output
maupun bagi pengawasnya yang sesuai dengan tujuan.
sendiri.
Pelaksanaan Suatu proses pengukuran Bersifat terencana dan tidak
sebuah kinerja pada acara atau akan langsung dilakukan
kegiatan yang dilakukan. teguran. Sebab, pengendalian
Dalam hal ini tolok ukur dari ini hanya akan dilakukan jika
pengawasan adalah tujuan serta ada kejadian yang tidak beres
kinerja yang telah ditetapkan di setelah dilakukan pengawasan.
awal. Dalam pengawasan, jika Oleh sebab itu, biasanya
memang ada yang kurang pengendalian akan dilakukan
sesuai dengan ketetapan awal, pada hal-hal seperti halnya
maka akan bisa langsung manajerial perusahaan dan
dilakukan teguran atau semacamnya.
dilakukan evaluasi bersama
atasan.
Pelaku Dilakukan oleh pihak atau Dilakukan oleh pihak internal
badan yang berasal dari luar unit atau sebuah badan. Sebab,
suatu unit atau perusahaan hal ini ditujukan untuk
yang melakukan kegiatan. Hal menjamin strategi dan semua
ini sangat lumrah karena hal yang diterapkan benar-benar
memang pengawasan eksternal telah berjalan dengan baik dan
juga harus dilakukan jika terarah karena yang menyusun
kegiatan yang dilakukan hal tersebut pastinya dari pihak
tersebut melibatkan banyak internal itu sendiri.
pihak termasuk juga keuangan
negara.
5. Apa itu Tone of The TOP, berikan contoh dan penjelasan anda?
Jawaban :
Dalam organisasi, lingkungan pengendalian harus dikondisikan oleh
manajemen tertinggi. Mekanismenya demikian, karena kebanyakan prasyarat yang
digunakan untuk mengembangkan lingkungan pengendalian hanya dapat
dilaksanakan atau dipengaruhi oleh manajemen tertinggi organisasi. Oleh karena
cirinya yang demikian ini, lingkungan pengendalian dalam organisasi sering
mendapatkan sebutan sebagai “the tone at the top”. Sebagai the tone of the top,
lingkungan pengendalian menentukan “irama organisasi”, yang mempengaruhi
kesadaran pengendalian semua orang dalam organisasi.
Contoh : Agus Salim tidak berpikir kenaikan gaji, berpikir gajinya saja tidak pernah. Agus
Salim tinggal di gang di rumah kontrakannya yang kecil padahal beliau adalah Menteri Luar
Negeri. Di rumahnya yang kecil dam sudah dipenuhi tumpukan koper, beliau setiap enam
bulan sekali mengubah tata letak meja, kursi, lemari, sampai tempat tidurnya untuk
menghilangkan kebosanan (karena rumahnya yang kecil). Agus Salim berpindah kontrakan.
Bahkan ketika anaknya meninggal, Agus Salim tidak mampu membeli bungkus kafan.
Demikian pula Bung Hatta, wakil presiden pertama Indonesia, yang tidak mampu membeli
sepatu bally sampai akhir hayatnya, tidak cukup tabungan istrinya untuk membeli mesin jahit.
Ketika tabungan untuk membeli mesin jahit hampir cukup membeli, keinginan untuk
membeli pun kandas karena adanya sanering dan Bung Hatta kokoh merahasiakan kebijakan
sanering kepada istrinya sekalipun. Bung Hatta bahkan kesulitan membayar tagihan air,
listrik, dan ireda (PBB) untuk rumahnya.
Bung Hatta pernah menyuruh asistennya mengembalikan dana taktis wakil presiden, padahal
jika tidak dikembalikan pun tidak mengapa, dan Bung Hatta pergi haji dengan tabungannya,
bukan dengan fasilitas negara. Disebutkan juga, Bung Hatta menolak jabatan komisaris dari
perusahaan nasional maupun asing karena merasa bertanggung jawab kepada rakyat dengan
jabatan tersebut.
Contoh-contoh di atas adalah suatu perilaku dan sikap yang sangat langka saat ini. Menurut
penulis, tokoh-tokoh bangsa ini tidak mencari pencitraan dan popularitas namun memang
nilai intrinsik mereka luar biasa dan tidak silau dengan nilai ekstrinsik. Nilai-nilai mulia itu
tidak lahir dengan sekejap melainkan lahir dari pendidikan yang mulia di keluarga, sekolah,
dan lingkungan. Dengan semakin rusaknya nilai sosial di Indonesia dan belum ditemukannya
kepemimpinan tanpa hipokrit yang dicontohkan Bung Hatta, Agus Salim, dan Natsir maka
dapat dibayangkan beratnya upaya pemberantasan fraud dan menciptakan Indonesia
bermartabat.
6. Apa itu kerangka kerja ? Apa tiga kerangka kerja pengendalian internal yang
diakui secara global oleh manajemen, akuntan / auditor independen, dan
professional audit internal? Jelaskan pula kelebihan dan kelemahannya?
Jawaban : Kerangka kerja adalah badan prinsip panduan yang membentuk templat
yangdapat digunakan organisasi untuk mengevaluasi praktik bisnis. Prinsip-
prinsip initerdiri dari berbagai konsep, nilai, asumsi, dan praktik yang
dimaksudkan untukmemberikan tolok ukur di mana organisasi dapat menilai atau
mengevaluasi struktur,proses, atau lingkungan tertentu, atau sekelompok praktik
atau prosedur. Khususuntuk praktik audit internal, berbagai kerangka kerja
digunakan untuk menilai k e c u k u p a n d e s a i n d a n e f e k t i v i t a s o p e r a s i
k o n t r o l . T i g a k e r a n g k a k e r j a pengendalian internalyang diakui secara global
oleh manajemen, akuntan / auditorluar independen, dan profesional audit internal
adalah Kontrol Internal - KerangkaKerja Terintegrasi, yang dikeluarkan oleh COSO
pada tahun 1992 dan diperbarui padatahun 2013; Guidance on Control (sering
disebut sebagai kerangka kerja CoCo), diterbitkan pada tahun 1995 oleh
Canadian Institute of Chartered Accountants (CICA), dan Pengendalian
Internal: Panduan yang Direvisi untuk Direksi tentang Kode G abungan
(dis ebut s ebagai Laporan Turnbull), diterbi tkan oleh D ew an Pelaporan
Keuangan, yang pertama kali keluar pada tahun 1999 dan diperbarui padatahun 2005.
7. Apa yang harus dilakukan oleh CEO dan CFO dari perusahaan publik untuk
mematuhi Undang-Undang AS Sarbanes-Oxley tahun 2002?
Jawab: Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan
publik untuk membuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau
pengadu (whistleblowers) untuk melaporkan terjadinya penyimpangan. Sistem
pelaporan ini diselenggarakan oleh komite audit.
8. Bagaimana peran Audit Internal dalam pengendalian internal?
Jawaban :
Audit internal memiliki peran detail dalam memeriksa secara keseluruhan dari
data keuangan tahunan yang ada di perusahaan. Meskipun auditor internal
bekerja didalam perusahaan namun, ia harus memiliki kedudukan yang netral dalam
menilai atau objektif sama seperti lembaga independen di luar (auditor eksternal).
9. Berikan contoh penerapan perusahaan yang sudah menerapkan ICOFR dan

jelaskan ?
Jawaban : Pengendalian Internal atas Pelaporan Keuangan (Internal Control over Financial
Reporting — ICOFR) merupakan suatu proses yang dirancang dan dilaksanakan oleh
manajemen perusahaan dalam rangka mencapai keandalan laporan keuangan, efisiensi, dan
efektivitas operasi, serta kepatuhan terhadap peraturan yang berlaku untuk memberikan
keyakinan yang memadai. Pelaksanaan ICOFR ini diatur di dalam SOX Section 404 yang
berjudul “Management Assessment of Internal Control”. Section ini mengatur bahwasannya
manajemen dari perusahaan yang terdaftar di pasar modal Amerika Serikat (NYSE) wajib
melakukan pelaporan atas efektivitas ICOFR serta wajib menyertakan atestasi auditor pula
atas efektivitas ICOFR-nya.
ICOFR bertujuan untuk memastikan pencatatan yang terperinci, akurat, dan wajar atas
transaksi dan pengelolaan transaksi perusahaan. Tujuan ini selanjutnya akan memberikan
keyakinan yang memadai bahwa transaksi telah dicatat dengan benar dengan prinsip akuntansi
yang berlaku umum serta keyakinan yang memadai akan upaya pencegahan atau identifikasi
perolehan, penggunaan, atau pengelolaan aset perusahaan tanpa otorisasi yang berdampak
material atas pelaporan keuangan.

Sudah terdapat beberapa perusahaan yang melaksanakan ICOFR di Indonesia, yaitu PT
Telkom yang telah terdaftar di NYSE. Sebagai perusahaan yang tercatat di NYSE, PT Telkom
mematuhi ketentuan SOA (Sarbanes Oxley Act) Bab 302 dan Bab 404 mengenai pengendalian
internal atas pelaporan keuangan atau Internal Control Over Financial Reporting (ICOFR)
dan pengendalian dan prosedur pengungkapan.
Soal Kasus
Sebuah perusahaan semula menerapkan sistem pengendalian pengadaan dengan cara
sentralisasi pengadaan (di kantor pusat), karena harga barang lebih murah sekitar 5 % , bila
dibandingkan dengan pembelian dilakukan di masing- masing wilayah secara desentralisasi.
Dari perkembangan lingkungan bisnis, ternyata bila semua pembelian dilakukan di kantor
pusat, mobilitas dan kecepatan pembelian perkakas makin lama, sehingga terjadi proses
produksi yg terlambat, serta delivery yang mundur ke pemesan. Akibatnya perusahaan
terkena denda 6% dari harga kontrak, serta blacklist dari 5 pelanggan.
Setelah dikaji pengembangan SOP pembelian, perusahaan akan lebih untung bila bahan
baku dan impor tetap dilaksanakan kantor pusat, sedang pembelian perkakas dapat
dilaksanakan oleh General Manager wilayah dengan batas nilai pembelian maksimal Rp
500.000.000,-
Pertanyaan:
Analisa kasus diatas bagaimana perhitungan risiko dan analisis pengendalian internal
Buku Modul Bab 5 (Mengevaluasi Risiko)
1. Risiko dapat dihilangkan. Setujukah anda dengan pernyataan berikut? Jelaskan

jawaban anda!
Jawaban :
Tidak setuju, karena risiko itu bukan dapat dihilangkan namun risiko itu dapat
dihindari dari segala risiko yang akan terjadi
2. Apa yang anda ketahui tentang manajemen Risiko Perusahaan (MRP)? Jelaskan
proses MRP menut AS/NZS ISO 31000:2009!
Jawaban:
Manajemen risiko adalah melalui risk assesment, yaitu untuk mengetahui lebih jauh
risiko-risiko potensial yang mungkin akan dihadapi. Manajemen risiko Perusahaan
(MRP) adalah suatu proses mengidentifikasi, menilai, dan mengendalikan bahaya atau
ancaman terhadap perusahaan, khususnya dari sisi modal dan pendapatan. Ancaman ini
bisa berasa dari faktor internal dan eksternal. Faktor internal seperti kesalahan strategi
bisnis manajemen hingga kondisi finansial yang tak stabil. Sebaliknya, faktor eksternal
seperti masalah hukum, kecelakaan, bencana alam, dan lainnya. Mempelajari dan
menjalankan manajemen risiko sangat penting bagi perusahaan dalam melindungi masa
depan. Itulah mengapa Anda harus mengetahui beberapa alasan pentingnya hal ini.
Penjelasan proses MRP menurut AS/NZS ISO 31000:2009

The International Organization for Standardization (ISO) 31000: 2009 Risk
Management – Principles and Guidelines merupakan sebuah standar internasional yang
disusun dengan tujuan memberikan prinsip dan panduan generik untuk penerapan
manajemen risiko. Standar internasional yang diterbitkan pada 13 November 2009 ini
dapat digunakan oleh segala jenis organisasi dalam menghadapi berbagai risiko yang
melekat pada aktivitas mereka. Walau ISO 31000: 2009 menyediakan panduan generik,
standar ini tidak ditujukan untuk menyeragamkan manajemen risiko lintas organisasi,
tetapi ditujukan untuk memberikan standar pendukung penerapan manajemen risiko
dalam usaha memberikan jaminan terhadap pencapaian sasaran organisasi. ISO 31000:
2009 menyediakan prinsip, kerangka kerja, dan proses manajemen risiko yang dapat
digunakan sebagai arsitektur manajemen risiko dalam usaha menjamin penerapan
manajemen risiko yang efektif.
Komponen-komponen Proses Manajemen Risiko

III. Proses Manajemen Risiko
Proses manajemen risiko merupakan kegiatan kritikal dalam manajemen risiko, karena
merupakan penerapan daripada prinsip dan kerangka kerja yang telah dibangun. Proses
manajemen risiko terdiri dari tiga proses besar, yaitu:
(1) Penetapan konteks (establishing the context)

Penetapan konteks bertujuan untuk mengidentifikasi dan mengungkapkan sasaran organisasi,
lingkungan dimana sasaran hendak dicapai, stakeholders yang berkepentingan, dan
keberagaman kriteria risiko, dimana hal-hal ini akan membantu mengungkapkan dan menilai
sifat dan kompleksitas dari risiko. Terdapat empat konteks yang perlu ditentukan dalam
penetapan konteks, yaitu konteks internal, konteks eksternal, konteks manajemen risiko, dan
kriteria risiko.
(i) Konteks internal memperhatikan sisi internal organisasi yaitu struktur organisasi, kultur
dalam organisasi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran organisasi.
(ii) Konteks eksternal mendefinisikan sisi eksternal organisasi yaitu pesaing, otoritas,
perkembangan teknologi, dan hal-hal lain yang dapat mempengaruhi pencapaian sasaran
organisasi.
(iii) Konteks manajemen risiko memperhatikan bagaimana manajemen risiko diberlakukan dan
bagaimana hal tersebut akan diterapkan di masa yang akan datang.
(iv) Terakhir, dalam pembentukan manajemen risiko organisasi perlu mendefinisikan
parameter yang disepakati bersama untuk digunakan sebagai kriteria risiko.
(2) Penilaian risiko (risk assessment)
Penilaian risiko terdiri dari:
(i) Identifikasi risiko: mengidentifikasi risiko apa saja yang dapat mempengaruhi pencapaian
sasaran organisasi.
(ii) Analisis risiko: menganalisis kemungkinan dan dampak dari risiko yang telah diidentifikasi.
(iii) Evaluasi risiko: membandingkan hasil analisis risiko dengan kriteria risiko untuk
menentukan bagaimana penanganan risiko yang akan diterapkan.
(3) Penanganan risiko (risk treatment)
Dalam menghadapi risiko terdapat empant penanganan yang dapat dilakukan oleh organisasi:
(i) Menghindari risiko (risk avoidance);
(ii) Mitigasi risiko (risk reduction), dapat dilakukan dengan mengurangi kemungkinan atau
dampak;
(iii) Transfer risiko kepada pihak ketiga (risk sharing);
(iv) Menerima risiko (risk acceptance).
Ketiga proses besar tersebut didampingi oleh dua proses yaitu:
(1) Komunikasi dan konsultasi

Komunikasi dan konsultasi merupakan hal yang penting mengingat prinsip manajemen risiko
yang kesembilan menuntut manajemen risiko yang transparan dan inklusif, dimana manajemen
risiko harus dilakukan oleh seluruh bagian organisasi dan memperhitungkan kepentingan dari
seluruh stakeholders organisasi. Adanya komunikasi dan konsultasi diharapkan dapat
menciptakan dukungan yang memadai pada kegiatan manajemen risiko dan membuat kegiatan
manajemen risiko menjadi tepat sasaran.
(2) Monitoring dan review
Hal ini diperlukan untuk memastikan bahwa implementasi manajemen risiko telah berjalan
sesuai dengan perencanaan yang dilakukan. Hasil monitoring dan review juga dapat digunakan
sebagai bahan pertimbangan untuk melakukan perbaikan terhadap proses manajemen risiko.
Manajemen risiko merupakan proses esensial dalam organisasi untuk memberikan jaminan
yang wajar terhadap pencapaian tujuan organisasi. ISO 31000: 2009 Risk Management –
Principles and Guidelines merupakan standar yang dibuat untuk memberikan prinsip dan
panduan generik dalam penerapan manajemen risiko. Standar ini menyediakan prinsip,
kerangka kerja, dan proses manajemen risiko.
Prinsip manajemen risiko merupakan fondasi dari kerangka kerja dan proses manajemen risiko,
sedangkan kerangka kerja manajemen risiko merupakan struktur pembangun proses
manajemen risiko. Proses manajemen risiko merupakan penerapan inti dari manajemen risiko,
sehingga harus dijalankan secara komprehensif, konsisten, dan terus diperbaiki sesuai dengan
keperluan. Implementasi manajemen risiko berbasis ISO 31000: 2009 secara mendetail dan
menyeluruh pada ketiga komponen tersebut diharapkan dapat meningkatkan efektivitas
manajemen risiko organisasi.
3. Apakah semua organisasi atau perusahaan perlu mengatasi semua risiko yang
ada? Jelaskan jawaban anda dengan menggunakan contoh!
Jawaban:
Hampir setiap bisnis pasti memiliki risiko. Semakin besar perusahaan, umumnya
tingkat risiko yang dihadapi juga semakin tinggi. Meskipun sudah menjadi hal yang
umum, tetap saja perusahaan harus selalu berhati-hati dan menangani berbagai risiko
dengan baik, termasuk risiko kepatuhan. Risiko kepatuhan dapat diartikan sebagai
risiko yang muncul karena perusahaan tidak dapat mematuhi atau menaati peraturan
dan hukum yang sudah ditetapkan pemerintah setempat. Risiko kepatuhan ini bisa
terwujud dalam berbagai bentuk. Misalnya seperti risiko kesehatan yang muncul karena
polusi pabrik menimbulkan penyakit, atau risiko lingkungan yang menjadi kotor dan
berbau, dll. Sebaiknya jika ingin membangun bisnis yang berkembang pesat, pastikan
untuk memperhatikan risiko kepatuhan di perusahaan. Jika tidak, bisnis dapat terkena
denda hingga pelanggaran hukum yang serius. Terdapat berbagai alasan yang membuat
perusahaan harus menangani risiko kepatuhan secara serius.
1. Berkurangnya Kekhawatiran Hukum
Denda atau pelanggaran hukum yang ditetapkan oleh badan pengawas maupun
pemerintah setempat umumnya bisa mengakibatkan kerugian dari sisi materiil dan
non materiil. Tak hanya terkena denda yang nominalnya cukup fantastis, reputasi
atau citra perusahaan juga akan menjadi buruk di masyarakat atau konsumen. Untuk
itu, kepatuhan dapat membantu perusahaan menghindari masalah hukum seperti
pencabutan izin usaha, tuntutan hukum, penutupan perusahaan, dan denda yang
jumlahnya lumayan besar.
2. Peningkatan Operasi Bisnis
Sering kali, peraturan dan standar yang ditetapkan turut memberikan wawasan
industri agar membantu perusahaan menjalankan operasional bisnisnya. PCI SSC
(Payment Card Industry Security Standards Council), HIPAA (Health Insurance
Portability and Accountability Act of 1996), dan GDPR (General Data Protection
Regulation) hanyalah beberapa contoh badan pengawas yang memantau semua
risiko terbaru yang dapat memengaruhi data konsumen. Dengan mempertahankan
kepatuhan, perusahaan dapat terhindar dari pelanggaran data dan risiko lainnya.
3. Hubungan Masyarakat yang Disempurnakan
Setiap kali perusahaan dapat memberi tahu pelanggan, stakeholder, dan rekan bisnis
bahwa perusahaan selalu mematuhi semua prosedur dan standar industri yang
berlaku, reputasi dan hubungan masyarakat yang dimiliki perusahaan pun akan
meningkat. Jangan ragu untuk menunjukkan atau menampilkan sertifikasi otoritatif
yang diterima perusahaan dari tim audit profesional di situs web resmi perusahaan.
Ketika konsumen melihat sertifikasi kepatuhan ini pada situs resmi perusahaan,
maka kemungkinan besar konsumen akan menaruh kepercayaan dan loyalitas yang
tinggi terhadap perusahaan. Tanpa perlu diragukan, setiap perusahaan harus
memastikan kepatuhan berjalan efektif sesuai peraturan dan hukum yang berlaku.
Sebab dengan cara ini, bisnis perusahaan akan lebih mudah berkembang ke level
selanjutnya.
4. Auditor internal memberikan jasa penjaminan dan konsultasi sehingga auditor

internal tidak dibenarkan untuk terlibat dalam manajemen risiko. Setujukah
anda dengan pernyataan tersebut? Jelaskan jawaban anda
Jawaban : Berdasarkan ISO31000: 2009 Risk Management – Principles and

Guidelines, praktik terbaik manajemen risiko melibatkan seluruh bagian dari
organisasi. Keterlibatan organisasi secara keseluruhan pada kegiatan manajemen
risiko menuntut adanya pembagian peran dan tanggung jawab yang jelas, dengan turut
mempertimbangkan kompetensi dan peran lain dari tiap unit tersebut. Hal ini
diperlukan agar tidak terjadi tumpang tindih, missing link, atau inefisiensi pada
kegiatan manajemen risiko.
Soal Kasus
CASAVA CAKE
PT. Casava Cake Indonesia adalah perusahaan yang didirikan dengan
memproduksi kue basah, kue pernikahan, kue kering, dessert. Perusahaan ini terletak
di Kota Bandung. Casava Cake hanya mendirikan satu gerai yang berada disekitar
pemukiman rumah warga. Seiring perkembangan operasionl toko, Casava Cake
tertarik untuk lebih dalam mendalami dan memahami bebagai kebutuhan dan perilaku
konsumen dalam konsumsi kue. Oleh karena itu, Casava Cake menugaskan beberapa
karyawan untuk mengamati dan meneliti perilaku belanja konsumen. Kesimpulan
yang didapat adalah masyarakat cenderung memilih belanja digerai modern dan mall
karena alasan kelengkapan jenis kue dan produk yang berkualitas, harga yang sangat
bersaing, serta suasana yang nyaman.
Dengan pengetahuan tentang kebutuhan dan kecenderungan konsumen dan
keterampilan dalam pengoperasioan gerai, Casava Cake melangkah maju dengan
mengembangkan bisnis toko di pusat kota dan mall. Casava cake mengembangkan
konsep penyelenggaraan gerai berlokasi di pusat perbelanjaan, tempat wisata, dan
mall. Tidak hanya menyedikan kue- kue produksi sendiri, cassava cake bekerja sama
dengan UMKM pengusaha kecil untuk menjual produk mereka digerai Casava Cake
sebagai oleh – oleh khas bandung.
Konsep seperti ini digunakan oleh cassava cake mendapat sambutan yang
sangat besar dari masyarakat. Bukan hanya masyarakat bandung, tetapi wisatawan
dari Indonesia dan luar negeri. Kini Casava cake memiliki lebih dari 200 gerai yang
tersebar diwilayah jawa barat dan DKI Jakarta.
Pusat Distribusi
System distribusi Casava Cake mengunakan teknologi informasi yang canggih
sehingga memungkinkan Casava Cake menjalankan distrbusi dengan andal, canggih,
an efisien. Didukung dengan sumber daya manusia yang ahli dibidangnya, distribusi
barang keseluruh gerai dapat dilayani dengan baik hingga pusat distribusi Casava
Cake menjadi salah satu yang terbaiik di Indonesia. Pusat distribusi merupakan sentral
pengadaan dan pendistribusian produk gerai Casava cake yang berjumlah lebih dari
200. Saat ini cassava cake memiliki 10 pusat distribusi di Bandung, Jakarta, Bekasi,
Cimahi, Tangerang, Bogor, Tangerang, Garut, Tasikmalaya, dan Cianjur.
Gerai
Sesuai dengan mottonya “Enak, Mudah, Murah”, gerai toko ditempatkan di lokasi
strategis sehingga mudah dijangkau konsumen. Gerai toko ditempatkan di berbagai
Kawasan perumahan, perkantoran, niaga, wisata, apartemen, dan fasilitas umum.
Hingga desember 2015, cassava cake mengoperasikan 200 gerai yang tersebar di jawa
barat dan Jakarta. Berdasarkan kepemilikannya, gerai Casava Cake terdiri dari 40%
milik sendiri, dan 60% milik masyarakat dengan waralaba. Untuk memenuhi
kebutuhan sehri-hari konsumen, gerai Casava Cake menyediakan lebih dari 150 jenis
produk mekanan. Casava Cake menyediakan program promosi dengan potongan
harga pada banyak jenis produk sehingga dapat menawarkan harga hemat bagi
konsumen
Pemasaran dan Promosi
Target pasar Casava Cake sangat luas yaitu meliputi kalangan masyarakat Indonesia.
Oleh karena itu, Casava Cake menerapkan strategi pemasaran yang diintegrasikan
dengan kegiatan promosi yang dijalankan secara berkala dengen berbagai metode
sesuai jenis produk dan focus target pasarnya. Cassava cake menerapkan stratei
pemasaan jangka pendek dan jangka Panjang.
Beberapa strategi pemasaran jangka pendek yang dijalankan oleh cassava cake
antara lain sebagai berikut:
1. Promosi hari keagamaan, yang memberikan harga sangat murah untuk produk special
hari raya kegamaan seperti lebaran, natal
2. Produk anniversary, yang memberikan hadiah langsung atau potongan harga bagi
konsumen yang memmbeli produk hari jadi ulang tahun, atau hari jadi pernikahan.
Sementara itu untuk strategi jangka Panjang, Casava cake menerapkan

berbagai program yang berkaian dengan loyalitas konsumen serta pembentukan
komunitas seperti pengunaan kartu angota, potongan harga anggota, dan kemudahan
metode pembayaran dengan kartu debit, kartu kredit dari bank di Indonesia
PERTANYAAN KASUS:
1. Identifikasi risiko yang ada pada Casava Cake?
Jawab : Indentifikasi risiko yang ada pada Casava Cake yaitu yang mana pada
dasarnya pengetahuan dan informasi yang bisa dibilang belum cukup mumpuni dalam
bidang perdagangan UMKM di karenakan dengan minim nya pengetahuan dan
informasi akan hal tersebut bisa di bilang itu akan menjadi salah satu risiko yang akan
di alami oleh Casava Cake itu sendiri.
2. Lakukan penilaian risiko atas risiko yang telah anda identifikasi tersebut?
Jawab : Penilaian risiko yang teleh di indentifikasi tersebut bisa di bilang akan
membahayakan dalam jangka panjang karena apabila dalam minim nya pengetahuan
dan informasi mengenai hal tersebut itu akan berdampak pada kemajuan usaha
UMKM dari Casava Cake itu sendiri.
Buku Modul Bab 6 (CONTROL SELF ASSESMENT)
1. Apakah seluruh organisasi atau perusahaan membutuhkan CSA ?

Jawaban :
CSA dibutuhkan oleh suatu organisasi atau perusahaan karena memiliki peran penting dalam
menentukan prioritas berdasarkan risiko yang akan dihadapi dalam kegiatan
manajemen/organisasi atau perusahaan.
Di sisi lain CSA bermanfaat dalam meningkatkan kemampuan para manajemen dan pegawai
dalam memetakan tujuan risiko, dan pengendalian yang melekat pada proses bisnis sehingga
mereka dapatmengelolanya dengan lebih efektif. CSA juga dapat mempererat komunikasi
antar level manajemen organisasi baik secara vertikal maupun horizotal. Selain itu CSA
dinilai mampu menggali isu-isu secara lebih luas dan lebih efektif untuk mengevaluasi
pengendalian yang sifatnya informal atau soft control. CSA juga diharapkan mampu
memperkuat awareness, rasa memiliki dan rasa tanggung jawab para manajer dan pegawai
terhadap pengendalian dan proses perbaikannya karena mereka sendiri yang terlibat
merumuskannya.
2. Terdapat tiga pendekatan dalam pelaksanaan CSA, pendekatan apa yang paling
baik ?
Jawaban :
Ada beberapa metode CSA yang bisa digunakan. Menurut IIA ada tiga macam metode CSA
yaitu :
a. Facilitated team workshop
Pendekatan ini melibatkan tim yang mewakili tingkatan dan disiplin ilmu yang berbeda
dalam unit bisnis, proses workshop melibatkan fasilitator, dalam hal ini auditor bersama
manager dan pegawai sebagai pelaksana proses bisnis untuk mengevaluasi Internal Control
dan risiko. Ada 4 jenis proses dalam pendekatan ini antara lain :
 Objective Based Fasilitated CSA
Pada jenis ini berfokus pada jalan terabaik untuk mencapai tujuanbisnis seperti keakuratan
laporan keuangan. Workshop ini dimulai oleh tim mengidentifikasi oengendalian saat ini,
kemudian menentukan sisa resiko yang ad ajika pengendalian tidakk bekerja. Tujuannya
adalah untuk memutuskan apakah prosedur pengendalian sudah efektif.
 Risk Based Fasilitated CSA
Pada jenis ini tim CSA berfokus dalam mendaftarkan risiko-risiko untuk mencapai tujuan
pengendalian internal. Dimulai dari mendaftarekan seluruh hambatan yang mungkin terjadi,
rintangan, ancaman, dan pepngungkapan yang mungkin mencegah pencapaian sebuah tujuan.
Kemudian memeriksa prosedur pengendalian untuk menentukan jika prosedur pengendalian
untuk menentukan jika procedure tersebut cukup untuk mengengola risiko yang
teridentifikasi. Tujuannya adalah menentukan residual risk yang signifikan.
 Control Based Fasilitated CSA
Pada jenis ini lebih fokus pada seberapa pemenpatan pengendalian bekerja. Format ini
berbeda dari dua format sebelumnya karena fasilitator mengidentifikasi risiko-risiko kunci
dan pengendalian sebelumnya memulai workshop. Tujuannya adalah untuk menganalisa
celah diantara seberapa baik pengendalian yang bekerja dan seberapa baik manajemen
berekspetasi terhadap pengendaliannya.
 Process Based Fasilitated
Pada jenis ini berfolus pada seleksi aktivitas yang merupakan elemen dari rangkaian proses.
Proses merupakan sebuah rangakain yang terkait aktivitas yang dimulai dan diakhiri seperti
proses pembelilan. Tujuan dari tipe ini adalah untuk evaluasi, update, validasi, dan
pengembangan.
b. Questionnaires
Dalam banyak persoalan, kuisioner menjadi cara yang cukup efektif untuk mengumpulkan
informasi pengendalian internal. Kuisioner disiapkan kemudian didistribusikan kepada
kelompok terpilih dari Stakeholder untuk memahami resiko dan pengendalian dalam area
kepentingan. Tim CSA akan mengedarkan kuisioner tersebut dengan nama responden yang
tertera kepada kelompok stakeholder yang terpilih, lalu memonitor hasil untuk memastikan
bahwa sejumlah nomor telah dikembalikan kemudian mengumpulkan hasilnya.
c. Management Produced Analysis
Pendekatan ini merupakan tipe yang benar-benar seperti internal audit dalam analisa.
Manajemen memproduksi sebuah pembelajaran proses bisnis sesuai dengan riset. Seorang
CSA Specialist, yang mungkin seorang internal auditor mengkombinasikan hasil dari
pembelajaran informasi yang dikumpulkan dari beberapa sumber seperti manager dan
personil utama.
3. Mungkinkah CSA yang menilai diri sendiri tersebut bisa diterpakan secara
efektif di dalam sebuah organisasi atau perusahaan ?
Jawaban :
Yaitu bisa efektif jika kita berfikir bahwa organisasi adalah diri kita sendiri, yang apabila
sakit kita ingin sekali tahu apa penyebab dari penyakit kita itu dan kita segera mencari obat
untuk menyembuhkan penyakit tersebut. Sama halnya dengan sebuah organsasi jika
organisasi tersebut sedang bermasalah maka kita akan mencari tau sebab dari masalah itu
sendiri.
4. Berikan contoh perusahaan yang berhasil menerapkan Audit CSA ini ?

Jawaban :
Perusahaan yang berhasil menerapkan audit CSA ini yaitu perusahaan PT. Adaro Energy Tbk
Buku Urton Chapter 4
Review Questions
1. Bacalah kasus Enron dan WorldCom di Internet, carilah dari kasus tersebut
penyebab mengapa kedua kasus tersebut memprakarsai Good Corporate
Governance di dunia dan di Indonesia!
Jawab:
Kasus Enron dan WorldCom memiliki kesamaan, yaitu menutupi kondisi keuangan
perusahaan dengan cara membuat perusahaan seolah-olah kuat secara finansial
melalui laporan keuangan yang dibuat. Kasus Enron dan WorldCom bisa dijadikan
contoh sekaligus memprakarsai GCG di dunia dan di Indonesia karena pada kedua
kasus tersebut bisa dilihat bahwa prinsip-prinsip GCG harus berjalan di semua
perusahaan. 5 Prinsip GCG seperti Transparency, Accountability, Responsibility,
Independence, dan Fairness harus ada dan berjalan. Pada kasus Enron dan
WorldCom, tidak adanya prinsip Transparency membuat perusahaan bebas menutup
informasi yang ada pada perusahaan. Tanpa Accountability perusahaan tidak memiliki
arah karena akuntabilitas perusahaan tidak berjalan seperti seharusnya. Perusahaan
harus memiliki akuntabilitas untuk mencapai tujuan perusahaan. Tanpa Responsibility
perusahaan akan berjalan semena-mena karena tidak memiliki atau tidak mengikuti
peraturan yang sudah ditetapkan bersama-sama di perusahaan. Tanpa Independence
akan membuat perusahaan bisa diintervensi oleh pihak–pihak lain dalam pengambilan
keputusan. Tanpa Fairness akan membuat pemegang kepentingan dalam perusahaan
tidak mendapatkan perlakuan yang sama. Jika ditelusuri lebih dalam, kelima prinsip
tersebut tidak diimplementasikan dengan baik di perusahaan Enron dan WorldCom
2. Apa yang dimaksud dengan Risk Appetite, Risk Tolerance, Inherent Risk, dan
Residual Risk. Berikan pula contohnya!
Jawab:
Risk Appetite / Selera Risiko: batasan tingkat risiko yang berlaku untuk setiap jenis
risiko yang bisa diterima oleh Pemilik Risiko. Contohnya adalah tidak semua risiko
yang ada bisa diterima, sehingga diperlukan selera risiko untuk menentukan apakah
risiko yang ada perlu dilakukan tindakan atau tidak.
Risk Tolerance / Toleransi Risiko: batasan untuk tingkat risiko yang dapat ditoleransi
setelah diberi perlakukan risiko. Contohnya adalah setelah menentukan risiko
berdasarkan selera risiko, organisasi harus bisa menunjukan sejauh mana risiko bisa
ditindaklanjuti dengan perlakuan risiko
Inherent Risk: risiko yang tetap melekat di organisasi sebelum upaya tindakan untuk
mengubah kemungkinan dan dampak risiko. Contohnya adalah risiko yang tidak
masuk dalam kategori Risk Appetite akan tetap ada di dalam organisasi sampai
diberikan perlakuan risiko terhadap risiko yang dihadapi.
Residual Risk / Risiko Tersisa: Risiko yang tetap ada setelah diberikan perlakuan
risiko. Contohnya adalah sisa risiko yang belum selesai karena organisasi belum
mampu sepenuhnya dalam menyelesaikan risiko yang dihadapi sebelumnya dengan
perlakuan risiko yang ditetapkan
3. Pada sub bab contoh penerapan Good Corporate Governance bab ini, terdapat
tabel dengan contoh-contoh yang belum lengkap diisi, yaitu yang diberi simbol
tanda tanya (?). Silahkan isi kolom-kolom yang belum lengkap tersebut!
4. Apa itu Whistleblowing System? Berikan contoh penerapannya di Indonesia!

Jawaban:
Whistleblowing System adalah sistem yang dibuat dengan tujuan untuk menerima
laporan tentang adanya pelanggaran-pelanggaran yang terjadi di lingkungan sistem itu
dibuat. Whistleblowing system dibuat agar perusahaan bisa mengetahui pelanggaran
apa saja yang ada di perusahaan dan memiliki dampak tidak baik bagi perkembangan
perusahaan, baik secara finansial maupun reputasi perusahaan. Whistleblowing
system pada umumnya menjaga kerahasiaan pelapor/pengadu.
Contoh penerapan Whistleblowing System di Indonesia ada pada Bank BRI
(https://bri.co.id/whistleblowing-system). Dalam implementasinya pada Bank BRI,
kriteria laporan yang diterima adalah sebagai berikut:
 Fraud
 Penggelapan/Pemalsuan/Pencurian
 Gratifikasi/Suap/Korupsi
 Conflict of Interest
 Pelanggaran proses akuntansi dan pelaporan keuangan BRI
 Pelanggaran terhadap peraturan/prosedur perusahaan
 Pelanggaran etika
5. Apa yang Anda ketahui mengenai Dissenting Opinion dan Insider Trading?
Berikan contohnya!
Jawab:
Dissenting Opinion adalah perbedaan pendapat satu atau lebih individu dengan
pendapat mayoritas.
Insider Trading adalah perdagangan sekuritas perusahaan oleh individu yang memiliki
akses ke informasi rahasia atau material non-publik tentang perusahaan.
MULTIPLE-CHOICE
QUESTIONS
Select the best answer for each of the following questions.
1. Which of the following is not an appropriate governance role for an

organization’s board of directors?
a. Evaluating and approving strategic objectives.
b. Influencing the organization’s risk-taking philosophy.
c. Providing assurance directly to third parties that the organization’s
governance processes are effective.
d. Establishing broad boundaries of conduct, outside of which the
organization should not operate.
2. Which of the following are typically governance responsibilities of

senior management?
I. Delegating its tolerance levels to risk managers.
II. Monitoring day-to-day performance of specific risk management
activities.
III. Establishing a governance committee of the board.
IV. Ensuring that sufficient information is gathered to support
reporting to the board.
a. I and IV.
b. II and III.
c. I, II, and IV.
d. I, II, III, and IV.
3. ABC utility company sells electricity to residential customers and is a

member of an industry association that provides guidance to electric
utilities, lobbies on behalf of the industry, and facilitates sharing
among its members. From ABC’s perspective, what type of
stakeholder is this industry association?
a. Directly involved in the operation of the company.

b. Interested in the success of the company.
c. Influences the company.
d. Not a stakeholder.
4. Who is responsible for establishing the strategic objectives of an

organization?
a. The board of directors.
b. Senior management.
c. Consensus among all levels of management.
d. The board and senior management jointly.
5. Who is ultimately responsible for identifying new or emerging key
risk areas that should be covered by the organization’s governance
process?
a. The board of directors.
b. Senior management.
c. Risk owners.
d. The internal audit function.
6. The internal audit function should not:

a. Assess the organization’s governance and risk management
processes.
b. Provide advice about how to improve the organization’s
governance and risk management processes.
c. Oversee the organization’s governance and risk management
processes.
d. Coordinate its governance and risk management-related activities
with those of the independent outside auditor.
7. Which of the following would not be considered a first line of

defense in the Three Lines of Defense model?
a. A divisional controller conducts a peer review of compliance with
financial control standards.
b. An accounts payable clerk reviews supporting documents before
processing an invoice for payment.
c. An accounting supervisor conducts a monthly review to ensure all
reconciliations were completed properly.
d. A production line worker inspects finished goods to ensure the
company’s quality standards are met.
8. Which of the following would be considered a first line of defense in

the Three Lines of Defense model?
a. An accounts payable supervisor conducting a weekly review to
ensure all payments were issued by the required payment date.
b. A divisional compliance and ethics officer conducting a review of
employee training records to ensure that all marketing and sales
staff have completed the required FCPA training.
c. The external audit team observes the counting of inventory on
December 31.
d. An internal audit team conducting an engagement to provide
assurance on the company’s Sarbanes-Oxley compliance with
internal controls over financial reporting.
9. Which of the following would be considered a second line of defense
in the Three Lines of Defense model?
a. An accounts payable supervisor conducting a weekly review to
ensure all payments were issued by the required payment date.
b. A divisional compliance and ethics officer conducting a review of
employee training records to ensure that all marketing and sales
staff have completed the required FCPA training.
c. A shift supervisor inspecting a sample of finished goods to ensure
quality standards are met.
d. An internal audit team conducting an engagement to provide
assurance on the company’s Sarbanes-Oxley compliance with
internal controls over financial reporting.
10. Companies in industries that are heavily regulated may be subject to

audits by the regulator’s auditors. While not specifically covered in
the Three Lines of Defense model, such auditors would most likely
be considered:
a. Part of the first line of defense.
b. Part of the second line of defense.
c. Part of the third line of defense.
d. Not a line of defense.
11. Which of the following is not a role of the internal audit function in
best practice governance activities?
a. Support the board in enterprisewide risk assessment.
b. Ensure the timely implementation of audit recommendations.
c. Monitor compliance with the corporate code of conduct.
d. Discuss areas of significant risks.
12. Which of the following statements regarding corporate governance is

not correct?
a. Corporate control mechanisms include internal and external
mechanisms.
b. The compensation scheme for management is part of the corporate
control mechanisms.
c. The dilution of shareholders’ wealth resulting from employee stock
options or employee stock bonuses is an accounting issue rather
than a corporate governance issue.
d. The internal audit function of a company has more responsibility
than the board for the company’s corporate governance.
13. What types of business events tend to drive new legislation and
guidance?
a. Economic downturns.
b. Fraud or other corporate wrongdoing.
c. Elections or other political changes.
d. Economic growth.
14. Which of the following represents the best governance structure?
Operating Executive Internal

Management Management Auditing
a.Responsibility for Oversight Role Advisory Role

risk
b. Oversight Role Responsibility for Advisory Role
risk
c.Responsilibity for Advisory Role Oversight Role
risk
d.Oversight Role Advisory Role Responsibility for risk
REVIEW QUESTIONS
1. How does COSO define risk? How does ISO define RISK?
Jawab:
Menurut COSO, risiko adalah kemungkinan bahwa suatu peristiwa akan
terjadi dan mempengaruhi pencapaian strategi dan tujuan bisnis. Menurut ISO,
risiko adalah efek dari ketidakpastian terhadap sasaran.
2. What are the five fundamental points embedded in the COSO and ISO
definitions of risk?
Jawab:
Lima poin-poin dasar COSO dan ISO adalah sebagai berikut:
 Risiko dimulai dengan perumusan strategi dan penetapan tujuan bisnis.
Sebuah organisasi berada dalam bisnis untuk mencapai strategi dan
tujuan bisnis tertentu. Risiko mewakili hambatan untuk berhasil
mencapai tujuan tersebut serta peluang yang dapat membantu
mencapai tujuan tersebut.
 Risiko melibatkan ketidakpastian, seperti yang disebutkan sudah
disebutkan COSO sebagai berikut: "Keadaan tidak mengetahui
bagaimana peristiwa potensial mungkin atau mungkin tidak terwujud"
 Risiko tidak mewakili perkiraan titik (misalnya, hasil yang paling
mungkin). Sebaliknya, itu mewakili berbagai kemungkinan yang akan
terjadi. Karena banyak hasil berbeda yang mungkin terjadi, konsep
inilah yang menciptakan ketidakpastian saat memahami dan
mengevaluasi risiko.
 Risiko mungkin berhubungan dengan mencegah hal-hal buruk terjadi
(mitigasi risiko), atau gagal memastikan hal-hal baik terjadi (yaitu,
memanfaatkan atau mengejar peluang). Kebanyakan orang berfokus
pada pencegahan hasil yang buruk (misalnya, bahaya yang perlu
dikurangi atau dihilangkan). Sementara banyak risiko pada
kenyataannya menghadirkan ancaman bagi organisasi. Risiko juga bisa
dalam bentuk kegagalan untuk mengejar dan mencapai hasil positif.
 Risiko melekat dalam semua aspek kehidupan, artinya di mana pun
ketidakpastian ada, maka selalu ada satu atau lebih risiko.
3. According to COSO, what are the fundamental concepts emphasized in its

definition of Enterprise Risk Management (ERM)?
Jawab:
 Mengenali budaya dan kemampuan organisasi.
 Menerapkan praktik
 Mengintegrasikan strategi dan eksekusinya
 Mengelola strategi dan tujuan bisnis
 Menghubungkan ke creating, preserving, dan realizing value
4. How does COSO define mission, vision, and core value?

Jawab:
Misi, visi dan nilai inti menurut COSO adalah:
 Misi: Tujuan inti entitas, yang menetapkan apa yang ingin dicapai dan
mengapa entitas itu ada.
 Visi: Aspirasi entitas untuk keadaan masa depan atau apa yang ingin
dicapai organisasi dari waktu ke waktu.
 Nilai inti: Keyakinan dan cita-cita entitas tentang apa yang baik atau
buruk, dapat diterima atau tidak dapat diterima, yang mempengaruhi
perilaku organisasi
5. How does COSO define strategy and business objectives?

Jawab:
Menurut COSO, pengertian dari strategi bisnis dan tujuan bisnis adalah:
 Strategi bisnis: Rencana organisasi untuk mencapai misi dan visinya
serta menerapkan nilai-nilai intinya
 Tujuan bisnis: Langkah-langkah terukur yang diambil organisasi untuk
mencapai strateginya.
6. What are the five COSO ERM components?

Jawab:
5 Komponen dari COSO ERM adalah:
1. Risk Governance and Culture
2. Risk, Strategy, and Objective-Setting
3. Risk in Execution
4. Risk Information, Communication, and Reporting
5. Monitoring Enterprise Risk Management Performance
7. How does COSO define risk appetite?

Jawab:
Arti selera risiko menurut COSO adalah jenis dan jumlah risiko, pada tingkat
yang luas, yang siap diterima oleh organisasi dalam mencapai nilai.
8. What is inherent risk? What is residual risk?

Jawab:
Inherent risk (risiko bawaan) adalah risiko bagi entitas tanpa adanya tindakan
eksplisit yang mungkin diambil manajemen untuk mengubah tingkat
keparahan risiko. Sedangkan Residual Risk (risiko sisa) adalah risiko yang
tersisa setelah manajemen mengambil tindakan eksplisit untuk mengubah
tingkat keparahan risiko.
9. What are COSO’s five categories of risk appetite?

Jawab:
5 kategori selera risiko dari COSO adalah sebagai berikut:
1. Terima risiko, tidak ada tindakan yang perlu dilakukan terhadap risiko.
2. Hindari risiko, risiko yang dihadapi harus dibuang dari list risiko
karena tidak membawa dampak yang berguna bagi perusahaan apabila
dilakukan tindakan risiko.
3. Mengejar risiko, risiko yang dihadapi mungkin memiliki dampak yang
baik bagi perusahaan sehingga risiko perlu dikejar.
4. Mengurangi risiko, dilakukan tindakan untuk risiko yang dihadapi
untuk tindakan mitigasi.
5. Membagi risiko, tindakan risiko dibagikan ke pihak lain seperti
outsource
10. In what forms might risk information be communicated?

Jawab:
Informasi risiko bisa dikomunikasikan dalam bentuk sebagai berikut:
 Pesan elektronik (seperti email, media sosial, atau pesan teks)
 Materi eksternal atau materi pihak ketiga (seperti laporan media atau
jurnal laporan industri)
 Informal/oral (seperti rapat atau diskusi), public event (seperti
roadshow atau konferensi)
 Training dan seminar
 Dokumen internal tertulis (seperti materi presentasi dan dashboard)
11. What are typical ERM responsibilities of:

Jawaban:
a. The board of directors?
Direksi bertanggung jawab dalam hal pengawasan, menunjukkan
komitmen, menetapkan model dan tata kelola operasi, serta menjaga
budaya dan tingkah laku.
b. Management?
Manajemen bertanggung jawab untuk menjalankan semua aktivitas
organisasi, termasuk ERM. Bahkan, manajemen bertanggung jawab
atas aspek kelima komponen ERM. Namun, tanggung jawab ini akan
bervariasi, tergantung pada tingkat dalam organisasi dan karakteristik
organisasi.
c. The chief risk officer?

CRO memiliki sumber daya untuk mempengaruhi ERM di seluruh
anak perusahaan, bisnis, departemen, fungsi, dan aktivitas. CRO
mungkin memiliki tanggung jawab untuk memantau kemajuan
manajemen risiko dan membantu manajer lain dalam melaporkan
informasi risiko yang ke atas, ke bawah, maupun ke seluruh organisasi
d. Financial executive?
Departemen keuangan bertanggung jawab atas aktivitas yang ada pada
organisasi. Departemen ini sering terlibat dalam mengembangkan
anggaran dan rencana di seluruh organisasi, dan melacak dan
menganalisis kinerja dari perspektif operasi, kepatuhan, dan pelaporan.
Departemen ini memiliki peran penting dalam mencegah dan
mendeteksi pelaporan penipuan, dan mempengaruhi desain,
implementasi, dan pemantauan pengendalian internal organisasi atas
pelaporan keuangan dan sistem pendukungnya.
e. The internal audit function?

Fungsi audit internal membantu manajemen dan dewan dengan
memeriksa, mengevaluasi, melaporkan, dan merekomendasikan
perbaikan kecukupan dan efektivitas ERM organisasi.
f. The independent outside auditors?

Auditor luar organisasi yang independen dapat memberikan
manajemen dan dewan direksi perspektif manajemen risiko yang
terinformasi, independen, dan objektif yang dapat berkontribusi pada
pencapaian organisasi. Temuan dari audit laporan keuangan mereka
mungkin berhubungan dengan kekurangan manajemen risiko,
informasi analitis, dan rekomendasi lain untuk perbaikan yang dapat
memberikan manajemen dengan informasi berharga untuk
meningkatkan program manajemen risiko yang terkait dengan risiko
pelaporan keuangan.
12. What are the 11 risk management principles identified in ISO 31000?
Jawab:
11 prinsip manajemen risiko dalam ISO 31000 adalah sebagai berikut
 Menciptakan dan melindungi nilai.
 Merupakan bagian integral dari semua proses organisasi.
 Merupakan bagian dari pengambilan keputusan.
 Secara eksplisit membahas ketidakpastian.
 Sistematis, terstruktur, dan tepat waktu.
 Berdasarkan informasi terbaik yang tersedia.
 Disesuaikan.
 Mempertimbangkan faktor manusia dan budaya.
 Transparan dan inklusif.
 Bersifat dinamis, iteratif, dan responsif terhadap perubahan.
 Memfasilitasi perbaikan berkelanjutan organisasi.
13. What are the five components of the ISO 31000 risk management
framework?
Jawab:
5 komponen framework manajemen risiko ISO 31000 adalah sebagai berikut:
 Amanat dan komitmen: Kedua hal ini harus ada di awal untuk
memastikan bahwa top management bersedia terlibat dan
menggunakan sumber daya yang ada dalam organisasi
 Desain kerangka kerja untuk mengelola risiko: Desain harus ada untuk
menjadi fondasi manajemen risiko
 Menerapkan kerangka kerja dan proses manajemen risiko:
Implementasi dibutuhkan agar organisasi mencapai tujuannya
 Memantau kerangka kerja: pemantauan bertujuan untuk melihat
keefektifan manajemen risiko yang sedang berjalan.
 Terus meningkatkan performa kerangka kerja untuk mempertahankan
keberlanjutan.
14. What five activities are included in the ISO 31000 risk management process?
Jawab:
5 aktivitas proses manajemen risiko dalam ISO 31000 adalah sebagai berikut:
 Menetapkan konteks: Proses ini akan melihat scope yang perlu
dilakukan tindakan manajemen risiko.
 Menilai risiko: Proses ini terdiri dari identifikasi risiko, sumber risiko,
dampak, dan lainnya.
 Menangani risiko: Proses ini akan menghasilkan keputusan tentang
bagaimana perlakuan yang perlu dilakukan terhadap risiko.
 Memantau risiko: Proses ini adalah memantau risiko setelah diberikan
perlakukan risiko dan melihat apakah ada perubahan yang terjadi
setelah diberikan perlakuan risiko.
 Menjalin komunikasi dan proses konsultasi: Proses ini merupakan
pelaporan tentang risiko yang sedang dihadapi.
15. In exhibit 4-3, why are some of the balls representing risks clustered together
while some are not?
Jawab:
Pada exhibit 4-3, beberapa bola dibuat berkumpul untuk menunjukkan bahwa
jika bola itu diletakkan secara terpisah, maka satu risiko terlalu memberikan
masalah yang serius. Tetapi jika semua risiko kecil ini dikumpulkan menjadi
satu, maka akan memberikan masalah yang serius.
16. What are some ERM assurance activities the internal audit function may
perform? What are some ERM consulting activities the internal audit function
may perform if appropriate safeguards are implemented? What ERM activities
should the internal audit function not perform?
Jawab:
Aktivitas assurance ERM yang mungkin dilakukan oleh fungsi audit internal
adalah sebagai berikut:
 Memberikan jaminan atas proses manajemen risiko.
 Memberikan jaminan bahwa risiko telah dievaluasi dengan benar.
 Mengevaluasi proses manajemen risiko.
 Mengevaluasi pelaporan risiko utama.
 Meninjau pengelolaan risiko utama
Aktivitas consulting ERM yang mungkin dilakukan oleh fungsi audit internal
jika pengamanan yang tepat diterapkan adalah sebagai berikut:
 Memfasilitasi identifikasi dan evaluasi risiko.
 Melatih manajemen dalam merespon risiko.
 Mengkoordinir kegiatan ERM.
 Konsolidasi pelaporan risiko.
 Memelihara dan mengembangkan kerangka ERM.
 Memperjuangkan berdirinya ERM.
 Mengembangkan strategi ERM untuk persetujuan dewan.
DISCUSSION QUESTIONS
1. Describe the difference between risk-taking philosophy, risk appetite, and
acceptable variation in performance. Give examples of each.
Jawab:
Risk-taking philosophy adalah suatu keyakinan yang sama didalam organisasi yang
mengkategorikan bahwa ada risiko yang sudah dipertimbangkan masuk ke dalam
aktivitas organisasi.
Risk Appetite atau selera risiko adalah batasan yang dibuat oleh organisasi untuk tiap
risiko yang dihadapi dengan tujuan menyesuaikan kemampuan organisasi dalam
menghadapi risiko tersebut.
Acceptable Variation in Performance adalah ukuran risiko dan variasi risiko yang
dapat bisa diterima relatif dengan pencapaian tujuan.
2. How does effective ERM help achieve strategy?

Jawab:
ERM (Enterprise Risk Management) sangat efektif dalam membantu mencapai
strategi. ERM membantu mengidentifikasi dan mengelola risiko yang bisa menjadi
penghalang atau menghambat kemampuan organisasi untuk mencapai tujuan
strateginya. Dengan risiko yang terkelola, ERM bisa membantu dalam memilih risiko
yang memiliki dampak yang baik bagi perusahaan. Sehingga ketika suatu risiko
dipilih, perusahaan bisa mendapatkan keuntungan dari risiko tersebut. Jadi, ERM bisa
digunakan dalam keadaan offensive maupun defensive.
3. Define inherent risk and residual risk. Which of the two types of risk should
have a greater impact on the annual internal audit plan?
Jawab:
Inherent risk adalah risiko yang tetap melekat di organisasi sebelum upaya tindakan
untuk mengubah kemungkinan dan dampak risiko. Residual Risk adalah risiko yang
tetap ada setelah diberikan perlakuan risiko.
Inherent risk adalah jenis risiko yang memiliki dampak lebih besar dalam audit
internal karena inherent risk ini sudah ada di dalam strategi organisasi dan dibiarkan
ada dalam mencapai tujuan organisasi. Sehingga ketika dilakukan audit, hasilnya akan
berbeda-beda tergantung bagaimana organisasi menghadapi risiko tersebut.
4. The ISO 31000 risk management framework includes five components. The
first of which is “mandate and commitment. Explain what mandate and
commitment means. Discuss why mandate and commitment is critical to risk
management success!
Jawab:
Amanat dan komitmen adalah kesediaan top management untuk terlibat dalam
memastikan keselarasan dan komitmen semua anggota atau sumber daya dalam
mencapai tujuan bersama organisasi.
Amanat dan komitmen berada di tahap pertama dan sangat penting karena pada
tahapan ini pemilik risiko harus menyatakan kesediaan untuk terlibat. Mandat dan
komitmen juga menjadi awal bahwa sumber daya yang ada pada organisasi bisa
digunakan untuk memberikan perlakuan terhadap risiko dalam rangka mencapai
tujuan organisasi. Mandat dan komitmen akan membangun rasa keterlibatan dan
kepemilikan diantara pihak yang terpengaruh oleh risiko sehingga pihak-pihak yang
terlibat memiliki tanggung jawab yang sama dalam memfasilitasi pengawasan risiko
dan pengambilan keputusan.
5. For an organization that has not implemented ERM, describe steps the internal audit
function can take to initiate an ERM Program without impairing the function’s
independence and/or objectivity!
Jawab:
6. Risk assessment most commonly focused on two criteria – impact and likelihood.
As an organization’s risk assessment process evolve, what other criteria might be
valuable to consider and why?
Jawab:
Kriteria yang mungkin bisa dipertimbangkan adalah sumber daya. Sumber daya bisa
saja terkena dampak dari risiko yang dihadapi karena organisasi memerlukan dan
menggunakan sumber daya dalam memberikan tindakan pada risiko. Sumber daya
yang digunakan ini harus dijadikan pertimbangan untuk melihat apakah tindakan yang
dilakukan efektif dan sesuai dengan tujuan organisasi. Jika pada saat menggunakan
sumber daya ditemukan dampak positif atau negatif, maka organisasi bisa mengelola
sumber daya itu untuk risiko serupa yang kelak akan dihadapi.
7. One of your classmates, I.M. Motivated, consistently carries a very heavy class
load. In addition to his already heavy class load, he is contemplating applying for
an internal audit internship at a local company. Discuss the opportunities and
risks that are relevant to his decision
Jawab:
Peluang yang didapatkan oleh I.M. adalah ilmu baru yang didapat dari lingkungan
kerja magang. Dia bisa mendapatkan ilmu dan praktik langsung dari lapangan
pekerjaan. Selain ilmu, I.M. juga mendapatkan relasi dengan orang-orang baru di
lingkungan kerjanya. I.M. memiliki orang-orang yang bisa diajak berdiskusi
mengenai kehidupan kerja dan berdiskusi tentang karir sebagai persiapan ketika lulus
nanti.
Risiko yang didapatkan oleh I.M. adalah jam waktu belajar yang tidak teratur yang
dapat menyebabkan turunnya performa belajar I.M. Sebagai seorang mahasiswa,
tujuan dan utama dari I.M. adalah belajar dan tanggung jawab utamanya sebagai
mahasiswa adalah mengikuti kelas yang sudah diambil. I.M. akan mudah lelah dan
kesehatannya menurun jika terlalu sibuk dengan aktivitas yang terlalu menguras
energi.
8. It may be easier for some to understand ERM by thinking about five “everyday
questions” that can be used to apply risk management thinking:
a. What are we trying to accomplish (what are our objectives?)
b. What could stop us from accomplishing them (what are the risks, how
bad could they be, and how likely are they to occur?
c. What opinions do we have to make sure those things do not happen (what
are the risk management strategies, that is, responses)?
d. Do we have the ability to execute those options (have we designed and
executed control activities to carry out the risk management strategies)?
e. How will we know that we have accomplished what we wanted to
accomplish (does the information exist to evidence success, and can we
monitor performance to verify that success)?
CASE 1
COSO provides a variety of guidance relevant to internal audit profession. The purpose of
this case is to become more familiar with COSO and its guidance. Visit www.coso.org and
answer the following questions.
A. Based on the statement on COSO’s homepage, what is the organization dedicated to?
Jawab: COSO didedikasikan untuk pengendalian internal organisasi dan manajemen
risiko
B. What is COSO’s mission?

Jawab: Misi dari COSO adalah organisasi meningkatkan kinerja dengan
mengembangkan kepemimpinan pemikiran yang meningkatkan pengendalian internal,
manajemen risiko, tata kelola, dan pencegahan penipuan.
C. What are five sponsoring organizations?

Jawab: 5 organisasi yang mensponsori COSO adalah:
 American Accounting Association
 Association of International Certified Professional Accountants
 Financial Executives International
 The Association of Accountants and Financial Professional in Business
 The Institute of Internal Auditors
D. What type of internal control guidance does COSO offer? Much of this guidance is
discussed in chapter 6.
Jawab:
E. Download an article from the Resources page specified by your instructor. What did
you find interesting about this article?
CASE 2
Your organization has implemented a robust ERM program similar to the one outlined in this
chapter. The audit committee has asked you to assess the design adequacy and operating
effectiveness of the program. Because the audit committee members are familiar with COSO
ERM, they would like you to assess the veracity of the ERM program relative to five
components of ERM. Based on this request, develop a list of steps you would follow to test
each of the ERM components. Include at least two work steps for each component.
CASE 3
Utilize the KnowledgeLeader website and perform the following:
A. Authenticate to the KnowledgeLeader website using your username and password
B. Perform research on these two globally recognized risk management frameworks.
Compare and contrast these frameworks. How do they differ? How are they similar?
C. Submit a brief write-up indicating the results of your research to your instructor.
Buku Urton Chapter 6
REVIEW QUESTIONS
1. What is a framework? What are the internal control frameworks recognized globally by
management, independent outside accountants/auditors, and internal audit professionals?
Jawaban : Sesuai dengan namanya sendiri, framework adalah kerangka kerja untuk
mengembangkan aplikasi berbasis website maupun desktop. Kerangka kerja disini sangat
membantu developer dalam menuliskan sebuah dengan lebih terstruktur dan tersusun rapi.
Kerangka kerja diciptakan untuk mempermudah kinerja dari programmer. Pengendalian
Internal adalah suatu proses yang dijalanka oleh dewan komisaris, manajemen, dan personel
lain entitas yang didesain untuk memberikan keyakinan memadai tentang pencapaian tiga
golongan tujuan berikut ini:
(a) keandalan pelaporan keuangan
(b) efektifitas dan efisiensi operasi
(c) kepatuhan terhadap hukum dan peraturan yang berlaku.
2. What must the CEO and CFO of a publicly traded company do to comply with the U. S.
Sarbanes-Oxley Act of 2002?
Jawab : Dalam hal pelaporan, Sarbanes-Oxley Act mewajibkan semua perusahaan publik
untuk membuat suatu sistem pelaporan yang memungkinkan bagi pegawai atau pengadu
(whistleblowers) untuk melaporkan terjadinya penyimpangan. Sistem pelaporan ini
diselenggarakan oleh komite audit.
3. How does COSO define internal control?
Jawab : Pada edisi yang baru ini, COSO (2013:3) mendefinisikan pengendalian internal
adalah pengaruh dari dewan direksi, entitas manajemen dan personil lainnya terhadap proses
yang terjadi sebagai penjamin dalam pencapaian tujuan perusahaan baik terkait dengan
operasi, pelaporan maupun kepatuhan.
4. What are objectives? What three categories of objectives are set forth in the COSO
framework?
Jawab : Tujuan, sasaran, atau matalamat adalah gagasan tentang masa depan atau hasil yang
diinginkan, dibayangkan, direncanakan, dan dimaksudkan untuk dicapai seseorang atau
sekelompok orang. Orang-orang berusaha untuk mencapai tujuan dalam waktu yang terbatas
dengan menetapkan tenggat. Tujuan yang hendak dicapai organisasi menurut COSO IC 2013
terdiri dari tiga kategori yaitu tujuan terkait operasi (operations), pelaporan (reporting), dan
kepatuhan (compliance).
5. What are the five components of internal control covered in the COSO framework?
Jawab : Penjelasan singkat dari komponen-komponen tersebut adalah sebagai berikut.
a. Lingkungan Pengendalian (Control Environment) ...

b. Penilaian Risiko (Risk Assessment) ...
c. Kegiatan Pengendalian (Control Activities) ...
d. Informasi dan komunikasi (information and communication) ...
e. Kegiatan Pemantauan (Monitoring Activites)
6. What does the control environment comprise?
Jawab : Lingkungan pengendalian merupakan seluruh aspek mulai dari perilaku, struktur, dan
pedoman yang ada pada sebuah operasional perusahaan. Dengan adanya lingkungan
pengendalian ini suatu perusahaan dapat menjadi lebih disiplin dan terstruktur.
7. What does risk assessment involve?
Jawab : Penilaian risiko merupakan proses yang dilakukan oleh suatu instansi atau organisasi
dan merupakan bagian yang integral dari proses pengelolaan risiko dalam pengambilan
keputusan risiko dengan melakukan tahap identifikasi risiko, analisis risiko, dan evaluasi
risiko.
8. What are control activities? What types of control activities are present in a well-designed
system of internal controls?
Jawab : Kegiatan Pengendalian adalah tindakan yang diperlukan untuk mengatasi risiko serta
penetapan dan pelaksanaan kebijakan dan prosedur untuk memastikan bahwa tindakan
mengatasi risiko telah dilaksanakan secara efektif. Pengendalian intern yang baik merupakan
cara bagi suatu sistem untuk melindungi diri dari tindakan-tindakan yang merugikan. Dalam
arti sempit, pengendalian intern hanya dibatasi pada kegiatan pengecekan, penjumlahan, baik
penjumlahan mendatar maupun penjumlahan menurun.
9. What is high-quality information? Why must high-quality information be communicated?
Jawab : Informasi yang berkualitas merupakan informasi yang dapat digunakan dalam
menyelesaikan tugas serta diperlukan dalam pengambilan keputusan. Informasi berkualitas
mempunyai karakteristik antara lain relevan, akurat, tepat waktu dan lengkap. Semakin tinggi
kualitas informasi yang dihasilkan suatu sistem informasi, akan semakin meningkatkan
kepuasan pengguna
10. When are monitoring activities most effective? Who performs monitoring activities?
What distinguishes separate evaluations from ongoing monitoring activities?
Jawab : Kegiatan monitoring dilakukan setelah penetapan perencanaan di awal tahun,
sehingga dapat diketahui tujuan akhir yang akan dicapai pada tahun yang bersangkutan.
Secara prinsip, monitoring dilakukan sementara kegiatan sedang berlangsung guna
memastikan kesesuain proses dan capaian sesuai rencana atau tidak. Bila ditemukan
penyimpangan atau kelambanan maka segera dibenahi sehingga kegiatan dapat berjalan
sesuai rencana dan targetnya.
Pihak yang melakukan monitoring adalah pengelola program dan/atau tenaga profesional
yang diberi tugas khusus untuk memantau pelaksanaan program. Hasil monitoring digunakan
untuk meluruskan atau memperbaiki program. Perbaikan program itu sendiri dilakukan dalam
kegiatan supervisi, bukan dalam kegiatan monitoring.
Monitoring bersifat spesifik program. Sedangkan evaluasi tidak hanya dipengaruhi oleh
program itu sendiri, melainkan varibel-varibel dari luar. Tujuan dari Evaluasi adalah evalausi
efektifitas dan cost effectiveness. Inputs, Process dan output merupakan suatu monitoring.
11. What are the 17 principles of internal control defined by COSO?
Jawab : Prinsip dalam Lingkungan Pengendalian
 Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
 Dewan pengawas menunjukkan independensinya dari manajemen dan
melaksanakan pengawasan atas pengembangan dan kinerja pengendalian intern.
 Manajemen dengan pengawasan dari dewan pengawas menetapkan struktur
organisasi, garis pelaporan, serta wewenang dan tanggung jawab yang tepat
dalam rangka pencapaian tujuan.
 Organisasi menunjukkan komitmen dalam merekrut, mengembangkan, dan
mempertahankan individu-individu yang kompeten sesuai dengan tujuan yang
ditetapkan.
 Organisasi memegang akuntabilitas individu-individu atas pelaksanaan
pengendalian intern dalam rangka pencapaian tujuan.
Prinsip dalam Penilaian Risiko
 Organisasi menetapkan tujuan-tujuan yang jelas agar dapat dilakukan identifikasi
dan penilaian risiko terkait tujuan tersebut.
 Organisasi mengidentifikasi risiko atas pencapaian tujuan secara menyeluruh dan
menganalisis risiko sebagai landasan pengelolaan risiko.
 Organisasi mempertimbangkan potensi kecurangan (fraud) dalam melakukan
penilaian risiko atas pencapaian tujuan.
 Organisasi mengidentifikasi dan menilai perubahan-perubahan yang dapat
berdampak signifikan terhadap sistem pengendalian intern.
Prinsip dalam Kegiatan Pengendalian
 Organisasi memilih dan mengembangkan kegiatan pengendalian yang
berkontribusi meminimalkan risiko atas pencapaian tujuan sampai pada level
yang dapat diterima.
 Organisasi memilih dan mengembangkan kegiatan pengendalian umum atas
teknologi untuk mendukung pencapaian tujuan.
 Organisasi memberlakukan kegiatan pengendalian melalui kebijakan yang
menetapkan apa yang diharapkan dan melalui prosedur yang menjabarkan
kebijakan menjadi tindakan.
Prinsip dalam Informasi dan Komunikasi
 Organisasi memperoleh, menghasilkan dan menggunakan informasi yang relevan
dan berkualitas untuk mendukung berfungsinya komponen pengendalian intern
lainnya.
 Organisasi melakukan komunikasi informasi secara intern, termasuk tujuan dan
tanggung jawab pengendalian intern, yang diperlukan untuk mendukung
berfungsinya pengendalian intern.
 Organisasi menjalin komunikasi dengan pihak-pihak eksternal terkait hal-hal
yang mempengaruhi berfungsinya komponen pengendalian intern lainnya.
Prinsip dalam Kegiatan Pemantauan
 Organisasi memilih, mengembangkan, dan melaksanakan evaluasi secara terus-
menerus (berkelanjutan) dan/atau secara terpisah untuk memastikan bahwa
komponen-komponen pengendalian intern benar-benar ada dan berfungsi.
 Organisasi mengevaluasi dan mengkomunikasikan kelemahan pengendalian
intern secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk
mengambil tindakan korektif, termasuk manajemen puncak dan dewan
pengawas, sebagaimana mestinya.
12. What responsibilities do the following groups of people have regarding internal control?
Jawab :
Manajemen : Tanggung jawab atas pengendalian internal berbeda antara manajemen dan
auditor. Menejemen bertangung jawab dalam menetapkan dan menyelenggarakan
pengendalian internal entitas. Sedangkan auditor bertanggung jawab untuk memahami dan
menguji pengendalian internal atas pelaporan keuangan
Direksi : Direksi adalah organ perusahaan yang berwenang dan bertanggung jawab penuh
atas pengurusan perseroan untuk kepentingan perseroan Sesuai dengan maksud dan tujuan
perseroan serta mewakili perseroan, baik di dalam maupun di luar pengadilan sesuai
ketentuan Anggaran Dasar.
Internal Auditor : Salah satu tugas dan tanggung jawab Departemen Internal Audit adalah
melaksanakan pemeriksaan dan penilaian efisiensi dan efektivitas di bidang operasional,
keuangan, akuntansi, sumber daya manusia dan kegiatan lainnya.
13. What does “limitations of internal control” mean? Provide examples of limitations that
are inherent to internal control.
Jawab : keterbatasan pengendalian internal, tiga di antaranya yaitu;
 kesalahan manusia,
 pengesampingan prosedur dan kebijakan, dan
 kolusi.
Bagaimana contoh dari keterbatasan SPI ? Keterbatasan SPI Pelanggaran sistem

(breakdowns), baik disengaja atau tidak, misalnya karena kesalahan interpretasi,
kecerobohan, gangguan lingkungan, perubahan personalia, atau perubahan sistem dan
prosedur. Kolusi, atau kerjasama negatif sekelompok orang.
14. What is inherent risk? What is controllable risk? What is residual risk?
Jawab: Risiko bawaan meliputi suatu kententuan saldo rekening atau golongan transaksi
terhadap suatu salah saji material, dengan asumsi bahwa tidak terdapat kebijakan dan
prosedur struktur pengendalian intern yang terkait.
Risiko Yang Bisa Dikendalikan: Pemasokan produk di pasaran siap dilaksanakan, kemudian
selama berbulan-bulan produk tersebut belum mendapatkan keuntungan apalagi
pengembalian atas modal. Tentu akan terjadi kerugian. Namun hal tersebut bisa dikendalikan
dengan cara mengevaluasi produk serta strategi marketingnya.
Residual risk adalah risiko yang tetap ada setelah manajemen merespon risiko, misal dengan
mengurangi atau memindahkan risiko. Penilaian risiko pertama harus dilakukan terhadap
inherent risk.
15. How does internal auditors’ perspective of internal control differ from management’s
perspective?
Jawab: Sementara manajemen bertanggung jawab atas sistem pengendalian internal itu
sendiri, auditor internal ditugaskan untuk memverifikasi secara independen bahwa
pengendalian organisasi dirancang secara memadai dan beroperasi secara efektif seperti yang
diinginkan oleh manajemen.
16. How do entity-level controls differ from process-level and transaction-level controls?
Jawab : Elemen pengendalian internal di tingkat entitas adalah lingkungan pengendalian,
proses penilaian risiko entitas, sistem informasi dan komunikasi yang digunakan, bagaimana
pengendalian dipantau dan bagaimana pengendalian diterapkan (termasuk pemisahan tugas
yang tepat)
17. What is a key control? What is a secondary control? What is a compensating control?
Jawab : Aktivitas yang dirancang untuk mengurangi risiko yang terkait dengan tujuan bisnis
penting.
Kontrol Sekunder adalah aktivitas yang dirancang untuk mengurangi risiko yang terkait
dengan tujuan bisnis yang tidak penting bagi kelangsungan hidup atau keberhasilan
organisasi atau berfungsi sebagai cadangan untuk kontrol utama.
Kompensasi Kontrol adalah aktivitas yang, jika kontrol utama tidak sepenuhnya beroperasi
secara efektif, dapat membantu mengurangi risiko terkait. Kontrol kompensasi tidak akan,
dengan sendirinya, mengurangi risiko ke tingkat yang dapat diterima.
18. What is the difference between a preventive and a detective control?

Jawab : Kontrol detektif dirancang untuk mendeteksi kesalahan atau ketidakberesan yang
mungkin terjadi. Kontrol korektif dirancang untuk memperbaiki kesalahan atau
penyimpangan yang telah terdeteksi. Kontrol preventif, di sisi lain, dirancang untuk menjaga
kesalahan dan penyimpangan dari terjadi di tempat pertama.
19. What are the two broad types of information systems (technology) controls?
Jawab : Untuk mengembangkan, memodifikasi, dan memelihara program komputer.
20. How is the system of internal controls evaluated?
Jawab : Evaluasi pengendalian internal sangat diperlukan guna mempermudah dan

memberikan arahan dalam proses kegiatan perusahaan dmana dalam hal ini Kas adalah salah
satu unsur aktiva yang paling penting karena kas merupakan alat pertukaran dan pembayaran
yang siap dan bebas digunakan untuk membiayai kegiatan operasional perusahaan.
Manajemen bertanggung jawab atas penerimaan dan pengeluaran kas.
MULTIPLE-CHOICE QUESTIONS
Select the best answer for each of the following questions.
1. Which of the following best describes an internal auditor’s purpose in reviewing the
organization’s existing governance, risk management, and control processes?
a. To help determine the nature, timing, and extent of tests necessary to achieve engagement
objectives.
b. To ensure that weaknesses in the internal control system are corrected.
c. To provide reasonable assurance that the processes will enable the organization’s
objectives and goals to be met efficiently and economically.
d. To determine whether the processes ensure that the accounting records are correct and that
financial statements are fairly stated.
2. What is residual risk?

a. Impact of risk.
b. Risk that is under control.
c. Risk that is not managed.
d. Underlying risk in the environment.
3. The requirement that purchases be made from suppliers on an approved vendor list is an
example of a:
a. Preventive control.
b. Detective control.
c. Compensating control.
d. Monitoring control.
4. An effective system of internal controls is most likely to detect a fraud perpetrated by a:
a. Group of employees in collusion.
b. Single employee.
c. Group of managers in collusion.
d. Single manager.
5. The control that would most likely ensure that payroll checks are written only for
authorized amounts is to:
a. Conduct periodic floor verification of employees on the payroll.
b. Require the return of undelivered checks to the cashier.
c. Require supervisory approval of employee time cards.
d. Periodically witness the distribution of payroll checks.
6. An internal auditor plans to conduct an audit of the adequacy of controls over investments
in new financial instruments. Which of the following would not be required as part of such an
engagement?
a. Determine whether policies exist that describe the risks the treasurer may take and the
types of instruments in which the treasurer may invest.
b. Determine the extent of management oversight over investments in sophisticated
instruments.
c. Determine whether the treasurer is getting higher or lower rates of return on investments
than treasurers in comparable organizations.
d. Determine the nature of monitoring activities related to the investment portfolio.
7. Appropriate internal control for a multinational corporation’s branch office that has a
department responsible for the transfer of money requires that:
a. The individual who initiates wire transfers does not reconcile the bank statement.
b. The branch manager must receive all wire transfers.
c. Foreign currency rates must be computed separately by two different employees.
d. Corporate management approves the hiring of employees in this department.
8. Who has primary responsibility for the monitoring component of internal control?
a. The organization’s independent outside auditor.
b. The organization’s internal audit function.
c. The organization’s management.
d. The organization’s board of directors.
9. Reasonable assurance, as it pertains to internal control, means that:
a. The objectives of internal control vary depending on the method of data processing used.
b. A well-designed system of internal controls will prevent or detect all errors and fraud.
c. Inherent limitations of internal control preclude a system of internal control from providing
absolute assurance that objectives will be achieved.
d. Management cannot override controls, and employees can not circumvent controls through
collusion.
10. Which of the following best exemplifies a control activity referred to as independent
verification?
a. Reconciliation of bank accounts by someone who does not handle cash or record cash
transactions.
b. Identification badges and security codes used to restrict entry to the production facility.
c. Accounting records and documents that provide a trail of sales and cash receipt
transactions.
d. Separating the physical custody of inventory from inventory accounting.
11. The risk assessment component of internal control involves the:
a. Independent outside auditor’s assessment of residual risk.
b. Internal audit function’s assessment of control deficiencies.
c. Organization’s identification and analysis of the risks that threaten the achievement of its
objectives.
d. Organization’s monitoring of financial information for potential material misstatements.
12. COSO’s Internal Control Framework consists of five internal control components and 17
principles for achieving effective internal control. Which of the following is/are (a)
principle(s)?
I. The organization demonstrates a commitment to integrity and ethical values.
II. Monitoring activities.
III. A level of assurance that is supported by generally accepted auditing procedures and
judgments.
IV. A body of guiding principles that form a template against which organizations can
evaluate a multitude of business practices.
V. The organization selects, develops, and performs ongoing and/or separate evaluations to
ascertain whether the components of internal control are present and functioning.
a. II only.
b. I and V only.
c. II and IV only.
d. I, II, III, IV, and V.
13. When assessing the risk associated with an activity, an internal auditor should:
a. Determine how the risk should best be managed.
b. Provide assurance on the management of the risk.
c. Update the risk management process based on risk exposures.
d. Design controls to mitigate the identified risks.
14. Determining that engagement objectives have been met is ultimately the responsibility of
the:
a. Internal auditor.
b. Audit committee.
c. Internal audit supervisor.
d. CAE.
15. An adequate system of internal controls is most likely to detect an irregularity perpetrated
by a:
a. Group of employees in collusion.
b. Single employee.
c. Group of managers in collusion.
d. Single manager.
DISCUSSION QUESTIONS
1. An audit report contains the following observations:

a. A service department’s location is not well suited to allow adequate
service to other units.
b. Employees hired for sensitive positions are not subjected to background
checks.
c. Managers do not have access to reports that profile overall performance
in relation to other benchmarked organizations.
d. Management has not taken corrective action to resolve past engagement
observations related to inventory controls
Which two of these observations are most likely to indicate the existence of control
weaknesses over safeguarding of assets? Why?
Jawaban:
2. To meet waste discharge standards, a factory implements a control system

designed to prevent the release of wastewater that does not meet those standards.
One of the controls requires chemical analysis of the water, prior to discharge,
for components specified in the permit. Is this an appropriate control? Why or
why not?
Jawaban:
3. An organization has a goal to prevent the ordering of inventory quantities in

excess of its needs. One individual in the organization wants to design a control
that requires a review of all purchase requisitions by a supervisor in the user
department prior to submitting them to the purchasing department. Another
individual wants to institute a policy requiring agreement of the receiving report
and packing slip before storage of new inventory receipts. Which of these
controls is (are) relevant in achieving the stated goal? Explain your answer.
Jawaban:
4. COSO is quoted in this chapter as follows: “…internal auditors provide

assurance and advisory support to management on internal control…the
internal audit function includes evaluating the adequacy and effectiveness of
controls in responding to risks within the organization’s oversight, operations,
and information systems… [Moreover,] [t]he scope of internal auditing is
typically expected to include oversight, risk management, and internal control,
and assist the organization in maintaining effective control by evaluating their
effectiveness and efficiency and by promoting continual improvement. Internal
audit communicates findings and interacts directly with management, the audit
committee, and/or the board of directors.” Answer the following questions
related to this quote.
a. Is an organization’s internal audit function part of its system of internal
controls? If your answer is yes, explain how the internal audit function
can evaluate the design adequacy and operating effectiveness of internal
controls and at the same time remain independent of the organization’s
system of internal controls. If your answer is no, explain the internal
audit function’s role relative to the organization’s system of internal
controls.
b. If monitoring is, by definition, a component of internal control for which
management is responsible, is it really appropriate for the internal audit
function to perform monitoring activities? Explain your answer.
Jawaban:
CASES
Controls mitigate risks that threaten objectives and thus provide reasonable assurance
that objectives will be achieved. Risks encompass both threats of bad things happening
and threats of good things not happening. Some controls are visible and therefore can
be photographed.
A. Choose one or two classmates you want to work with on this assignment.
B. As a team, photograph five different controls you observe around campus and/or
the surrounding community. Use your imagination and ingenuity. Each team
must work independently to produce a unique set of pictures. At least two of the
controls photographed must be controls designed to mitigate risks of something
good not happening (that is, controls designed to help something good happen).
C. For each control photographed:
1. Clearly indicate whether the control is designed to mitigate the threat of
bad things happening or the threat of good things not happening.
2. Then briefly and separately describe:
i. An objective the control is designed to help achieve.
ii. A risk the control is designed to mitigate. (Note: The risk you
describe must be something other than merely the inverse of the
objective.)
iii. How the control is meant to operate (that is, how the control
works).
iv. How you would test the control to determine whether it is
operating effectively.
To be submitted:
A. The set of five pictures.
B. The descriptions of the five controls the pictures represent, as called for in
requirement C.
CASE 2
TeamMate Practice Case Exercise 2: TeamEWP and Internal Controls
Complete Exercise 2: TeamEWP and Internal Controls in the TeamMate Practice Case
Workbook.
CASE 3
KnowledgeLeader Practice Case:
Cost-Effective Approaches to Validating ICFR Background Information In the United
States, Sarbanes-Oxley legislation put responsibility for the design, maintenance, and
effective operation of internal control squarely on the shoulders of senior management,
specifically, the CEO and the CFO. To comply with this legislation, the SEC requires
the CEO and CFO of publicly traded companies over a certain size to opine on the
design adequacy and operating effectiveness of ICFR as part of the annual filing of
financial statements with the SEC, as well as report substantial changes in ICFR, if any,
on a quarterly basis. Organizations have been able to successfully apply the COSO
framework in their efforts to comply with Section 404 of Sarbanes-Oxley, despite
encountering significant unanticipated costs. In an effort to reduce the cost to comply
with Section 404 of Sarbanes-Oxley, many organizations are evaluating and pursuing
more cost-effective approaches to validating their system of ICFR.
A. Utilize the KnowledgeLeader website and perform the following:
B. Authenticate to the KnowledgeLeader website using your username and
password. Perform research and identify alternative approaches to more
costeffectively validate an organization’s operating effectiveness of their ICFR.

Kelompok 3 - Audit Internal-1

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Kelompok 3 - Audit Internal-1

Diunggah oleh

Hak Cipta:

Format Tersedia

INTERNAL CONTROL AND RISK MANAGEMENT

Diajukan untuk Memenuhi Tugas Mata Kuliah Audit Internal

FAKULTAS EKONOMI DAN BISNIS

2. Siapa yang bertanggung jawab atas pengendalian internal pada suatu

8. Bagaimana peran Audit Internal dalam pengendalian internal?

9. Berikan contoh penerapan perusahaan yang sudah menerapkan ICOFR dan

berjudul “Management Assessment of Internal Control”. Section ini mengatur bahwasannya

atas efektivitas ICOFR-nya.

material atas pelaporan keuangan.

internal atas pelaporan keuangan atau Internal Control Over Financial Reporting (ICOFR)

dan pengendalian dan prosedur pengungkapan.

1. Risiko dapat dihilangkan. Setujukah anda dengan pernyataan berikut? Jelaskan

Penjelasan proses MRP menurut AS/NZS ISO 31000:2009

Komponen-komponen Proses Manajemen Risiko

(1) Penetapan konteks (establishing the context)

(1) Komunikasi dan konsultasi

4. Auditor internal memberikan jasa penjaminan dan konsultasi sehingga auditor

Jawaban : Berdasarkan ISO31000: 2009 Risk Management – Principles and

Sementara itu untuk strategi jangka Panjang, Casava cake menerapkan

1. Apakah seluruh organisasi atau perusahaan membutuhkan CSA ?

4. Berikan contoh perusahaan yang berhasil menerapkan Audit CSA ini ?

4. Apa itu Whistleblowing System? Berikan contoh penerapannya di Indonesia!

Select the best answer for each of the following questions.

1. Which of the following is not an appropriate governance role for an

2. Which of the following are typically governance responsibilities of

3. ABC utility company sells electricity to residential customers and is a

a. Directly involved in the operation of the company.

4. Who is responsible for establishing the strategic objectives of an

6. The internal audit function should not:

7. Which of the following would not be considered a first line of

8. Which of the following would be considered a first line of defense in

10. Companies in industries that are heavily regulated may be subject to

12. Which of the following statements regarding corporate governance is

14. Which of the following represents the best governance structure?

Operating Executive Internal

a.Responsibility for Oversight Role Advisory Role

3. According to COSO, what are the fundamental concepts emphasized in its

4. How does COSO define mission, vision, and core value?

5. How does COSO define strategy and business objectives?

6. What are the five COSO ERM components?

7. How does COSO define risk appetite?

8. What is inherent risk? What is residual risk?

9. What are COSO’s five categories of risk appetite?

10. In what forms might risk information be communicated?

11. What are typical ERM responsibilities of:

c. The chief risk officer?

e. The internal audit function?

f. The independent outside auditors?

2. How does effective ERM help achieve strategy?

B. What is COSO’s mission?

C. What are five sponsoring organizations?

a. Lingkungan Pengendalian (Control Environment) ...

Bagaimana contoh dari keterbatasan SPI ? Keterbatasan SPI Pelanggaran sistem

18. What is the difference between a preventive and a detective control?

20. How is the system of internal controls evaluated?

Jawab : Evaluasi pengendalian internal sangat diperlukan guna mempermudah dan

2. What is residual risk?

1. An audit report contains the following observations:

2. To meet waste discharge standards, a factory implements a control system

3. An organization has a goal to prevent the ordering of inventory quantities in

4. COSO is quoted in this chapter as follows: “…internal auditors provide

Anda mungkin juga menyukai