Nama : Steven Prasetya Ohello

NIM : 23221037

Review Question Chapter 6

1. Apa itu kerangka kerja? Apa kerangka pengendalian internal yang diakui secara global oleh
manajemen, akuntan/auditor independen di luar, dan profesional audit internal?
Kerangka kerja merupakan kumpulan panduan/pedoman yang dapat digunakan oleh
organisasi untuk mengevaluasi banyak praktik bisnis. Kerangka kerja menyediakan struktur
yang merupakan kumpulan pengetahuan dan pedoman. Sistem ini memfasilitasi
pengembangan, interpretasi, dan penerapan konsep, metodologi, dan teknik yang konsisten
yang berguna untuk suatu disiplin atau profesi. Saat ini ada 3 Kerangka pengendalian
internal yang diakui secara global oleh manajemen, akuntan/auditor external independent,
dan audit internal profesioanl, yakni:
 Internal Control - Integrated Framework, dipublish COSO pada 1992 dan diperbaharui
pada 2013
 Guidance on Control ( CoCo framework), dipublish oleh Canadian Institute of Chartered
Accountan (CICA) pada 1995
 Guidance on Risk Management, Internal Control and Related Financial and Business
Reporting yang dipublikasikan oleh Financial Reporting Council pada tahun 2014

2. Apa yang harus dilakukan CEO dan CFO dari perusahaan publik untuk mematuhi U. S.
Sarbanes-Oxley Act of 2002?
Sarbanes-Oxley Act tahun 2002 mensyaratkan CEO dan CFO dari perusahaan publik untuk
mengeluarkan pernyataan yang menyatakan bahwa laporan keuangan dan pengungkapan
yang menyertainya disajikan secara wajar, dalam semua hal baik material, operasi dan
kondisi keuangan perusahaan.

3. Bagaimana COSO mendefinisikan pengendalian internal?

Proses, yang dipengaruhi oleh dewan direksi, manajemen, dan personel lain pada suatu
entitas, yang dirancang untuk memberikan keyakinan memadai mengenai pencapaian
tujuan yang berkaitan dengan operasi, pelaporan, dan kepatuhan.
4. Apa itu Objectives? Apa tiga kategori objectives yang ditetapkan dalam kerangka COSO?
Objective adalah tujuan yang ingin dicapai organisasi, tiga kategori objective menurut COSO
adalah:
 Operations Objectives, yang berkaitan dengan efektivitas dan efisiensi operasi
organisasi, termasuk tujuan kinerja operasional dan keuangan, dan menjaga aset dari
kerugian.
 Reporting Objectives, yang berkaitan dengan pelaporan keuangan dan non-keuangan
internal dan eksternal dan dapat mencakup keandalan, ketepatan waktu, transparansi,
atau persyaratan lain yang ditetapkan oleh regulator, pembuat standar, atau kebijakan
organisasi.
 Compliance Objectives, yang berkaitan dengan kepatuhan terhadap hukum dan peraturan yang
menjadi subjek organisasi.

5. Apa lima komponen pengendalian internal yang tercakup dalam kerangka COSO?
Kendali lingkungan, Penilaian resiko, aktivitas pengendalian, informasi dan komunikasi,
Kegiatan Pemantauan

6. Apa yang dimaksud dengan Kendali lingkungan?

Kendali lingkungan adalah seperangkat standar, proses, dan struktur yang memberikan
dasar untuk melaksanakan pengendalian internal di seluruh organisasi. Dewan direksi dan
manajemen senior menetapkan ritme pada posisi teratas mengenai pentingnya
pengendalian internal termasuk standar perilaku yang diharapkan. Manajemen memperkuat
harapan di berbagai tingkat organisasi. Lingkungan pengendalian terdiri dari integritas dan
nilai-nilai etika organisasi, parameter yang memungkinkan dewan direksi untuk
melaksanakan tanggung jawab pengawasan tata kelolanya, struktur organisasi dan
penugasan wewenang dan tanggung jawab, proses untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten, dan ketelitian di sekitar ukuran kinerja, insentif,
dan penghargaan untuk mendorong akuntabilitas kinerja. Lingkungan pengendalian yang
dihasilkan memiliki dampak yang meluas pada keseluruhan sistem pengendalian internal.

7. Apa yang termasuk dalam penilaian risiko?

Penilaian risiko melibatkan proses yang dinamis dan berulang untuk mengidentifikasi dan
menilai pengaruh risiko terhadap pencapaian tujuan. Risiko untuk mencapai tujuan dari
keseluruhan organisasi dipandang relative terhadap tingkat toleransi yang ditetapkan.
Dengan demikian, penilaian risiko menjadi dasar untuk menentukan bagaimana risiko akan
 dikelola. Prasyarat untuk penilaian risiko adalah penetapan tujuan, terkait pada berbagai
tingkat organisasi. Manajemen menetapkan tujuan dalam kategori yang berkaitan dengan
operasi, pelaporan, dan kepatuhan dengan kejelasan yang cukup untuk dapat
mengidentifikasi dan menganalisis risiko terhadap tujuan tersebut. Manajemen juga
mempertimbangkan kesesuaian tujuan pada organisasi. Penilaian risiko juga mengharuskan
manajemen untuk mempertimbangkan dampak dari kemungkinan perubahan dalam
lingkungan eksternal dan dalam model bisnisnya sendiri yang dapat membuat pengendalian
internal tidak efektif.

8. Apa itu pengendalian aktivitas? Jenis aktivitas pengendalian apa yang ada dalam sistem
pengendalian internal yang dirancang dengan baik?
Aktivitas pengendalian adalah tindakan yang diambil oleh manajemen, dewan, dan pihak lain
untuk mengurangi risiko dan meningkatkan kemungkinan bahwa tujuan dan sasaran yang
telah ditetapkan akan tercapai. Jenis aktivitas pengendalian yang ada dalam sistem
pengendalian internal yang baik meliputi:
 Tinjauan kinerja dan tindak lanjut
 Otorisasi (persetujuan)
 Kegiatan kontrol akses.
 Dokumentasi (ketat dan komprehensif)
 Aktivitas kontrol akses fisik.
 Aktivitas pengendalian aplikasi TI (input, processing, output).
 Verifikasi dan rekonsiliasi independen.

9. Apa itu informasi berkualitas tinggi? Mengapa informasi berkualitas tinggi harus
dikomunikasikan?
Informasi berkualitas tinggi adalah semua informasi releven, akurat, dan tepat waktu yang
dibutuhkan oleh setiap pihak dalam organisasi agar dapat menjalankan fungsinya dengan
efektif. Informasi harus diberikan kepada personel tertentu yang sesuai untuk mendukung
pencapaian tanggung jawab operasi, pelaporan, dan kepatuhan mereka Selain itu,
komunikasi harus dilakukan secara lebih luas dibandingkan dengan harapan, tanggung jawab
individu dan kelompok, dan hal-hal penting lainnya. Komunikasi dengan pihak eksternal juga
penting dan dapat memberikan informasi penting tentang fungsi kontrol. Pihak-pihak ini
termasuk, namun tidak terbatas pada, pelanggan, pemasok, penyedia layanan, regulator,
auditor eksternal, dan pemegang saham.
10. Kapan kegiatan pemantauan paling efektif? Siapa yang melakukan kegiatan pemantauan?
Apa yang membedakan evaluasi terpisah dari kegiatan pemantauan yang sedang
berlangsung?
1. Kegiatan pemantauan paling efektif ketika pendekatan berlapis diterapkan. Lapisan
pertama mencakup kegiatan sehari-hari yang dilakukan oleh pengelolaan suatu kawasan.
Lapisan kedua adalah evaluasi terpisah (non independen) dari pengendalian internal area
yang dilakukan oleh manajemen secara teratur untuk memastikan bahwa setiap
kekurangan yang ada diidentifikasi dan diselesaikan tepat waktu. Lapisan ketiga adalah
penilaian independen oleh area atau fungsi dari luar, seringkali fungsi audit internal, yang
dilakukan untuk memvalidasi hasil (akurasi dan keandalan) penilaian mandiri manajemen
atas efektivitas pengendalian di area mereka.
2. Lapisan pertama dan kedua dilakukan oleh menajemen, sedangkan lapisan ketiga
dilakukan oleh area atau fungsi dari luar.
3. Kegiatan pemantauan yang sedang berlangsung terjadi dalam proses secara teratur dan
seiring dengan operasi bisnis sehari-hari. Sementara evaluasi terpisah dilakukan di
kemudian waktu, yang berarti kegiatan ini mungkin tidak menangkap masalah secepat
kegiatan pemantauan yang sedang berlangsung. Tetapi evaluasi terpisah juga merupakan
metode yang diperlukan karena metode ini memberikan pandangan tambahan kepada
perusahaan tentang keseluruhan sistem pengendalian internal dan menilai efektivitas
metode aktivitas pemantauan yang sedang berlangsung.

11. Apa 17 prinsip pengendalian internal yang didefinisikan oleh COSO?

 Control Environtment
1. Organisasi menunjukkan komitmen terhadap integritas dan nilai-nilai etika.
2. Dewan direksi menunjukkan independensi dari manajemen dan melakukan
pengawasan terhadap perkembangan dan kinerja pengendalian internal.
3. Manajemen menetapkan, dengan pengawasan dewan, struktur, jalur pelaporan, dan
wewenang dan tanggung jawab yang sesuai dalam mencapai tujuan.
4. Organisasi menunjukkan komitmen untuk menarik, mengembangkan, dan
mempertahankan individu yang kompeten sesuai dengan tujuan.
 5. Organisasi Organisasi meminta pertanggungjawaban individu atas tanggung jawab
pengendalian internal mereka dalam mengejar tujuan.
 Risk Assessment
6. Dewan Organisasi menetapkan tujuan dengan kejelasan yang cukup untuk
memungkinkan identifikasi dan penilaian risiko yang berkaitan dengan tujuan.
7. Organisasi mengidentifikasi risiko untuk pencapaian tujuannya di seluruh entitas dan
menganalisis risiko sebagai dasar untuk menentukan bagaimana risiko harus
dikelola.
8. Organisasi mempertimbangkan potensi kecurangan dalam menilai risiko terhadap
pencapaian tujuan.
9. Organisasi mengidentifikasi dan menilai perubahan yang dapat berdampak signifikan
terhadap sistem pengendalian internal.
 Control Activities
10. Organisasi memilih dan mengembangkan aktivitas pengendalian yang berkontribusi
pada mitigasi risiko untuk pencapaian tujuan ke tingkat yang dapat diterima.
11. Organisasi memilih dan mengembangkan aktivitas pengendalian umum atas
teknologi untuk mendukung pencapaian tujuan.
12. Organisasi menyebarkan aktivitas pengendalian melalui kebijakan yang menetapkan
apa yang diharapkan dan prosedur yang menerapkan kebijakan ke dalam tindakan.
 Information and communication
13. Organisasi memperoleh atau menghasilkan dan menggunakan informasi yang
relevan dan berkualitas untuk mendukung berfungsinya komponen pengendalian
internal lainnya.
14. Organisasi secara internal mengomunikasikan informasi, termasuk tujuan dan
tanggung jawab pengendalian internal, yang diperlukan untuk mendukung
berfungsinya komponen pengendalian internal lainnya.
15. Organisasi berkomunikasi dengan pihak eksternal mengenai hal-hal yang
mempengaruhi berfungsinya pengendalian internal.
 Monitoring
16. Organisasi memilih, mengembangkan, dan melakukan evaluasi berkelanjutan
dan/atau terpisah untuk memastikan apakah komponen pengendalian internal ada
dan berfungsi.
17. Organisasi mengevaluasi dan mengomunikasikan kekurangan pengendalian internal
secara tepat waktu kepada pihak-pihak yang bertanggung jawab untuk mengambil
 tindakan korektif, termasuk manajemen senior dan dewan direksi, sebagaimana
mestinya.

12. Tanggung jawab apa yang dimiliki kelompok orang berikut mengenai pengendalian
internal?
i. Manajemen.
Manajemen melihat pengendalian internal dari perspektifnya sebagai penyusun tujuan
dari organisasi sehingga manajemen harus mempertimbangkan pengendalian internal
dalam hal biaya dan manfaat yang terkait dan mengalokasikan sumber daya yang
diperlukan untuk mencapai tujuan tersebut
ii. Dewan direksi.
bertanggung jawab untuk mengawasi manajemen agar melakukan sistem pengendalian
internal yang tepat dan efektif.
iii. Auditor internal.
Bertanggung jawab untuk memverifikasi sistem pengendalian internal yang diusulkan
oleh manajemen. Auditor internal menilai sistem pengendalian internal dan
memberikan bukti apakah strategi dirancang dan diterapkan secara memadai dan
efektif.
iv. Orang lain dalam organisasi.
Bertanggung jawab untuk garis pertahanan pertama selama pengendalian internal.
Semua karyawan dalam organisasi memiliki tanggung jawab untuk mengomunikasikan
masalah yang terjadi dalam operasi bisnis dan situasi lain yang terkait dengan
manajemen yang tidak tepat.
v. Auditor luar yang independen
Bertanggung jawab untuk memberikan pendapat yang wajar tentang kewajaran
laporan keuangan dan efektivitas sistem pengendalian internal melalui laporan audit.

13. Apa yang dimaksud dengan “limitation of internal control”? Berikan contoh keterbatasan
yang melekat pada pengendalian internal?
limitation of internal control adalah beberapa faktor yang dapat menghambat efektivitas
dari internal control. Pengendalian internal tidak dapat mencegah penilaian atau
pengambilan keputusan yang tidak baik, atau kejadian eksternal yang dapat menyebabkan
organisasi gagal mencapai tujuan operasionalnya. Contoh lainnya sebagai berikut:
 kesesuaian tujuan yang ditetapkan sebagai prasyarat untuk pengendalian internal.
  kenyataan bahwa penilaian manusia dalam pengambilan keputusan bisa salah dan bias.
 kerusakan yang dapat terjadi karena kegagalan manusia seperti kesalahan sederhana.
 kemampuan manajemen untuk mengesampingkan pengendalian internal.
 kemampuan manajemen, personel lain, dan/atau pihak ketiga untuk menghindari
pengendalian melalui kolusi.
 peristiwa internal di luar kendali organisasi.

14. Apa itu risiko bawaan? Apa itu risiko yang dapat dikendalikan? Apa itu risiko residual?
Risiko bawaan adalah level risiko sebelum adanya tindakan apapun dari manajemen.
Risiko yang dapat dikendalikan adalah risiko yang sudah dilakukan treatment sehingga level
risikonya lebih kecil.
Risiko residual adalah resiko lain yang muncul akibat adanya treatmen yang dilakukan pada
suatu risiko.

15. Bagaimana perspektif auditor internal tentang pengendalian internal berbeda dari
perspektif manajemen?
Manajemen melihat pengendalian internal dari perspektifnya sebagai penyusun tujuan dari
organisasi sehingga manajemen harus mempertimbangkan pengendalian internal dalam hal
biaya dan manfaat yang terkait dan mengalokasikan sumber daya yang diperlukan untuk
mencapai tujuan tersebut, sedangkan Auditor internal menilai sistem pengendalian internal
dan memberikan bukti apakah strategi dirancang dan diterapkan secara memadai dan
efektif.

16. Bagaimana kontrol tingkat entitas berbeda dari kontrol tingkat proses dan tingkat
transaksi?
Kontrol tingkat entitas memiliki fokus yang luas dan sering kali berhubungan dengan
lingkungan atau suasana organisasi. Control ini dirancang untuk secara langsung mengurangi
risiko yang ada di tingkat organisasi, termasuk yang muncul secara internal maupun
eksternal, dan secara tidak langsung dapat mengurangi risiko di tingkat proses dan transaksi.
Kontrol tingkat proses lebih spesifik pada proses tertentu, control ini dilakukan oleh pemilik
proses untuk mengurangi risiko yang mengancam pencapaian tujuan proses. Meskipun
sifatnya konsisten, kontrol ini dapat bervariasi dalam pelaksanaannya di antara proses.
kontrol pada tingkat transaksi jauh lebih rinci lagi, kontrol ini dirancang untuk memastikan
 bahwa aktivitas operasional individu, tugas, atau transaksi, serta kelompok terkait aktivitas
operasional (tugas) atau transaksi, diproses secara akurat tepat waktu.

17. Apa itu kontrol kunci? Apa itu kontrol sekunder? Apa itu kontrol kompensasi?
Kontrol utama, merupakan kontrol yang dirancang untuk mengurangi risiko utama yang
terkait dengan tujuan bisnis.
Kontrol sekunder, kontrol ini dirancang untuk mengurangi risiko yang bukan merupakan
risiko kunci dari tujuan bisnis. Selain itu kontrol sekunder dapat membantu mengurangi
dampak risiko utama apabila kontrol utama tidak berjalan efektif.
Kontrol kompensasi, Kontrol ini dirancang untuk melengkapi kontrol utama yang tidak
efektif atau tidak dapat sepenuhnya mengurangi risiko atau kelompok risiko sendiri ke
tingkat yang dapat diterima dalam risiko apetite yang ditetapkan oleh dewan manajemen.

18. Apa perbedaan antara kontrol preventif dan detektif?

Kontrol preventif dirancang untuk mencegah terjadinya kejadian yang tidak diinginkan yang
dapat menghambat organisasi mencapai tujuannya. Sedangkan kontrol detektif dirancang
untuk menemukan perisitiwa yang tidak diinginkan yang telah terjadi.

19. Apa dua jenis kontrol sistem informasi (teknologi) yang luas?
1. General computing controls. Kontrol ini diaplikasikan ada hampir semua sistem aplikasi
dan membantu memastikan operasi mereka yang berkelanjutan dan tepat.
2. Application control. Kontrol ini mencakup langkah-langkah terkomputerisasi dalam
perangkat lunak aplikasi dan prosedur manual terkait untuk mengontrol pemrosesan
berbagai jenis transaksi.

20. Bagaimana sistem pengendalian internal dievaluasi?

IPPF memberikan panduan tentang tanggung jawab fungsi audit internal untuk menilai
kecukupan proses pengendalian organisasi dimana CAE harus mempertimbangkan hal
berikut:
 Ditemukannya ketidaksesuaian ataupun kelemahan yang signifikan dalam internal
control
 Perbaikan dan pengembangan dilakukan setelah adanya temuan
 Hasil temuan menunjukan adanya dampak yang sudah menyebar dan berada pada level
risiko yang tidak dapat diterima oleh organisasi