Komponen kedua dari model pengendalian internal COSO adalah kegiatan-kegiatan pengendalian, yang merupakan kebijakan dan peraturan yang menyediakan jaminan yang wajar bahwa tujuan pengendalian pihak manajemen, dicapai. Secara umum, prosedur-prosedur pengendalian termasuk dalam satu dari lima kategori berikut ini:
1. Otorisasi transaksi dan kegiatan yang memadai 2. Pemisahan tugas
3. Desain dan penggunaan dokumen serta catatan yang memadai 4. Penjagaan aset dan catatan yang memadai
5. Pemeriksaan independen atas kinerja
1. Otorisasi Transaksi dan Kegiatan yang Memadai
Para pegawai melaksanakan tugas dan membuat keputusan yang mempengaruhi aset perusahaan. Oleh karena pihak manajemen kekurangan waktu dan sumber daya untuk melakukan supervisi setiap aktivitas dan keputusan, mereka membuat kebijakan untuk diikuti oleh para pegawai, dan kemudian memberdayakan mereka untuk melaksanakannya. Pemberdayaan ini, yang disebut sebagai otorisasi (authorization), adalah bagian penting dari pengendalian dan prosedur organisasi.
Otorisasi sering kali didokumentasikan sebagai penandatanganan, pemberian tanda paraf, PIN, Pasword, atau memasukkan kode otorisasi atas dokumen atau catatan transaksi. Sistem komputer saat ini mampu mencatat tanda tangan digital (digital signature) (atau sidik jari), yaitu sebuah cara untuk menandatangani dokumen dengan sebuah data yang tidak dapat dipalsukan.
Para pegawai yang memproses transaksi harus memverifikasi keberadaan otorisasi yang sesuai. Auditor meninjau transaksi untuk memverifikasi otorisasi yang memadai, karena ketidakberadaan otorisasi yang memadai menunjukkan kemungkinan masalah pengendalian. Misalnya, ketika meninjau transaksi pembelian ditemukan bahwa beberapa pembelian tidak memiliki permintaan pembelian (purchase requisition). Sebagai gantinya, mereka "secara pribadi diotorisasi" oleh, wakil presiden bagian pembelian, Sebagai tambahan, Kemudian ditemukan bahwa beberapa pembayaran faktur vendor telah diotorisasi tanpa adanya dokumen pendukung yang memadai, seperti pesanan pembelian dan laporan penerimaan. Penemuan-penemuan ini menimbulkan pertanyaan mengenai kecukupan internal control prosedur perusahaan tertentu.
Beberapa aktivitas atau transaksi tertentu terjadi karena keadaan khusus, sehingga pihak manajemen memberikan otorisasi khusus (specific authorization) agar dapat dilaksanakan. Biasanya, diperlukan peninjauan dan persetujuan pihak manajemen jika transaksi penjualan dipandang cukup material, seperti di atas jumlah Rp20.000.000,- pengeluaran modal melebihi Rp10.000.000,- atau untuk penghapusan piutang usaha tak tertagih melebihi Rp50.000.000,- Sebaliknya, pihak manajemen dapat memberi otorisasi pada pegawai untuk menangani transaksi rutin tanpa persetujuan khusus, atau disebut sebagai prosedur otorisasi umum (general authorization). Pihak manajemen harus memiliki kebijakan tertulis baik mengenai otorisasi khusus maupun umum, untuk semua jenis transaksi.
2. Pemisahan Tugas
Internal Control yang baik mensyaratkan bahwa tidak ada pegawai yang diberi tanggung jawab terlalu banyak atau tanggung jawab atas transaksi yang saling berhubungan. Seorang pegawai seharusnya tidak berada dalam posisi untuk melakukan penipuan dan menyembunyikan penipuan atau kesalahan yang tidak disengaja. Seperti yang diperlihatkan dalam gambar di bawah ini, pemisahan tugas yang efektif dicapai ketika fungsi-fungsi berikut ini dipisahkan:
Gambar 1: Pemisahan Fungsi Pada Organisasi
Mencegah para pegawai memalsukan catatan untuk
menyembunyikan pencurian aset yang dipercayakan padamereka
FUNGSI-FUNGSI PENYIMPANAN FUNGSI-FUNGSI PENCATATAN
Menangani kas
Menangani persediaan, peralatan atau aktiva tetap
Menuliscek .
Menerima cek lewat surat
Mempersiapkan dokumen sumber Memelihara catatan jurnal. buku besar, atau file lainnya Mempersiapkan rekonsiliasi Mempersiapkan laporan kinerja
FUNGSI-FUNGSI OTORISASI Mencegah otorisasi
transaksi fiktif atau yang tidak akurat, yang merupakan cara menutupi pencurian aset
Otorisasi transaksi Mencegah pegawai
memalsukan catatan untuk menutupi transaksi yang tidak diotorisasi secara layak
Otorisasi menyetujui transaksi dan keputusan
Pencatatan mempersiapkan dokumen sumber, memelihara catatan jurrnal, buku besar, dan file lainnya, mempersiapkan rekonsiliasi, serta mempersiapkan laporan kinerja.
Penyimpanan menangani kas, memelihara tempat penyimpanan persediaan, menerima cek yang masuk dari pelanggan, menulis cek atas rekening bank organisasi.
Apabila, dua dari ketiga fungsi tersebut merupakan tanggung jawab satu orang, maka akan muncul masalah. Contohnya, bendahara kota Virginia Amerika Serikat, telah dihukum atas pencurian sebesar $600.000,- dari kekayaan kota. Ketika penduduk menggunakan uang tunai untuk membayar pajak mereka, bendahara tersebut akan menyimpannya. Dia mencatat penerimaan pajak dalam catatan pajak bangunan, tetapi tidak melaporkannya ke kontroler kota. Kemudian, dia akan membuat jurnal penyesuaian untuk menyesuaikan catatannya dengan catatan kontroler. Ketika bendahara tersebut menerima uang tunai untuk membayar biaya ijim usaha atau biaya pengadilan, dia mencatat transaksi- transaksi ini ke daftar penerimaan kas dan menyimpan uang tersebut setiap harinya. Dia mencuri sebagian uang tersebut dan menyembunyikan perbedaan selisih dalam penyimpanan di bank dengan menggunakan cek lain-lain yang diterima melalui surat dan yang tidak akan terlacak ketika cek tersebut tidak dicatat. Oleh karena bendahara tersebut bertanggung jawab atas penyimpanan tanda terima tunai dan pencatatan atas tanda terima tersebut, dia dapat mencuri tanda terima dan memalsukan akun, untuk menutupi kesalahan. Di bawah ini diberi beberapa contoh pelanggaran internal control yang baik, yang mengakibatkan kerugian pemerintah dan menguntungkan diri sendiri maupun koleganya.
Direktur fasilitas umum di Newport Beach, Kalifornia, Amerika Serikat yang bertanggung jawab untuk mengotorisasi transaksi dan memiliki fungsi penyimpanan kas, dituntut atas pencurian sebesar $1,2 juta. Dia memalsukan faktur atau dokumen hak untuk melewati tanah milik seseorang (easement document) dengan mengotorisasi pembayaran ke pemilik fiktif atau asli. Para pejabat bagian keuangan memberikan cek untuk dikirim ke para pemilik properti tersebut. Dia memalsukan tanda tangan, mengesahkan cek untuk dirinya sendiri, dan menyimpannya ke dalam rekening miliknya sendiri. Oleh karena dia diberikan wewenang penyimpanan cek secara fisik untuk transaksi-transaksi yang berada dalam otorisasinya, maka dia dapat mengotorisasi transaksi fiktif dan mencuri pembayaran.
Direktur bagian penggajian Los Angeles Didgers, yang bertanggung jawab baik atas fungsi otorisasi maupun pencatatan, diputuskan bersalah atas pencurian sebesar $330.000,- dari tim tersebut. Dia mengkredit para pegawai untuk jam-jam mereka tidak bekerja, dan kemudian menerima pengembalian sebesar 50% dari kompensasi ekstra mereka. Dia juga menambahkan nama karyawan fiktif dalam sistem penggajian Dodgers, dan menguangkan cek pembayarannya. Penipuan ini ditemukan saat direktur bagian penggajian tersebut jatuh sakit dan digantikan oleh pegawai lainnya. Oleh karena penipu tersebut harus dipertanggungjawabkan untuk mengotorisasi pengontrakkan pegawai dan pencatatan jam kerja pegawai, dia tidak perlu mempersiapkan atau menangani cek pembayaran sesungguhnya. Bendahara klub tersebut hanya akan mengirim cek-cek tersebut ke alamat yang disebutkan oleh direktur bagian penggajian.
Di dalam sistem informasi yang modern saat sekarang, software komputer sudah dapat diprogram untuk melaksanakan satu atau lebih fungsi-fungsi inti yang telah disebutkan sebelumnya, mengganti pegawai. Prinsip pemisahan tugas tetaplah sama, satu-satunya perbedaan adalah EDP (elecronic data processing), bukan manusia, yang melaksanakan fungsi tersebut. Contohnya, banyak pompa bensin yang sekarang dilengkapi dengan pompa yang memungkinkan pelanggan memasukkan kartu kredit untuk membayar bensin yang dibelinya, sehingga peranan manusia semakin berkurang, dan kehilangan uang dari hasil penjualan minyak dapat dihindari.
Di dalam kasus semacam ini, fungsi penyimpanan "kas" dan pencatatan dilaksanakan secara electronik dengan komputer. Sebagai tambahan atas perbaikan internal control, alat-alat ini benar- benar memperbaiki proses pelayanan pada pelanggan dengan cara meningkatkan kenyamanan dan menghilangkan antrian untuk membayar bensin.
Di dalam sebuah sistem yang memasukkan pemisahan tugas secara efektif, merupakan hal yang sulit bagi seorang pegawai untuk melakukan pencurian. Mendeteksi penipuan yang melibatkan dua atau lebih pegawai yang berkolusi untuk melanggar pengendalian, merupakan hal yang lebih sulit. Misalkan, dua orang wanita yang dipekerjakan oleh sebuah perusahaan kartu kredit, berkolusi untuk mencuri dana. Salah seorang dari mereka diberikan otorisasi untuk membuat rekening atas kartu kredit, sementara lainnya memiliki otorisasi untuk menghapus rekening tak tertagih dengan jumlah kurang dari Rp1.000.000,- Wanita pertama membuat rekening baru untuk mereka berdua dengan menggunakan data fiktif. Ketika jumlah yang belum dibayar mendekati batas Rp1.000.000,- wanita yang bekerja di bagian penagihan akan menghapusnya. Wanita pertama kemudian akan membuat dua kartu baru lagi, dan proses selanjutnya akan berulang. Kedua wanita tersebut tertangkap ketika salah satu bekas pacar mereka membalas dendam; dia menelepon perusahaan kartu kredit dan mengungkapkan skema penipuan tersebut.
3. Desain dan Penggunaan Dokumen serta Catatan yang Memadai
Desain dan penggunaan catatan yang memadai membantu untuk memastikan pencatatan yang akurat dan lengkap atas seluruh data traksaksi yang berkaitan. Bentuk dan isinya harus dijaga agar tetap sesederhana mungkin untuk mendukung pencatatan yang efisien, meminimalkan kesalahan pencatatan, dan memfasilitasi peninjauan serta verifikasi. Dokumen-dokumen yang mengawali sebuah transaksi harus memiliki ruang untuk otorisasi. Dokumen-dokumen yang dipergunakan untuk memindahkan aset ke orang lain, harus memiliki ruang untuk tanda tangan pihak penerima aset. Dalam rangka mengurangi kesempatan penggunaan dokumen untuk penipuan, dokumen harus diberikan nomor urut yang telah dicetak lebih dahulu, agar setiap dokumen dapat dipertanggungjawabkan. Jejak audit (audit trail) yang baik memfasilitasi pelacakan ke setiap transaksi melalui sistem, perbaikan kesalahan, dan verifikasi output sistem.
4. Penjagaan Aset dan Pencatatan yang Memadai
Ketika orang berpikir tentang penjagaan aset, mereka sering kali berpikir tentang kas dan aset fisik, seperti persediaan dan perlengkapan. Akan tetapi, di masa sekarang ini, salah satu aset terpenting perusahaan adalah informasi. Oleh sebab itu, harus diambil langkah-langkah untuk menjaga baik aset berupa informasi maupun fisik. Prosedur-prosedur berikut ini adalah untuk menjaga aset dari pencurian, penggunaan tanpa otorisasi, dan vandalisme:
Mensupervisi dan memisahkan tugas secara efektif,
Membatasi akses secara fisik ke aset (mesin kas, lemari besi, brankas, dan akses terbatas ke safe deposit box kas, sekuritas, dan aset dalam bentuk surat-surat berharga. Area penyimpanan yang terlarang, dipergunakan untuk melindungi persediaan. Contoh, lebih dari $1 juta dicuri dari Perini Corp satu perusahaan di Amerika serikat. karena pengendalian yang buruk. Cek-cek kosong.disimpan dalam ruang penyimpanan yang tidak dikunci. Pegawai hanya perlu mengambil cek, membuat pembayaran untuk vendor fiktif, dan memasukkannya ke dalam mesin penandatangan cek yang juga tidak diletakkan dalam ruangan terkunci, kemudian menguangkan cek tersebut,
Melindungi catatan dan dokumen (area penyimpanan tahan api, kabinet file yang terkunci, dan lokasi pendukung di luar kantor, merupakan cara yang efektif untuk melindungi catatan dan dokumen. Akses ke cek kosong serta dokumen harus dibatasi hanya untuk personil yang memiliki otorisasi. Di Inglewood, Kalifornia, seorang pembersih kantor dituntut karena mencuri 34 cek yang sudah ditanda tangani, ketika membersihkan kantor bagian keuangan kota. Pencuri menguangkan cek-cek tersebut dalam jumlah yang berkisar antara $50.000,- hingga $470.000,- Mengendalikan lingkungan (Perlengkapan komputer yang sensitif harus diletakkan dalam
ruangan yang memiliki alat pendingin dan perlindungan dari api, yang memadai. Ruangan tersebut harus ditinggikan dan diperkuat untuk menghindari banjir dan kejatuhan benda lainnya), dan
Pembatasan akses ke ruang komputer, file komputer, dan informasi. 5. Pemeriksaan Independen atas Kinerja
Internal Control untuk memastikan bahwa seluruh transaksi diproses secara akurat adalah elemen pengendalian lainnya yang penting. Pemeriksaan ini harus independen, karena pemeriksaan umumnya akan lebih efektif apabila dilaksanakan oleh orang lain yang bebas dari kepentingan atas jalannya operasi yang diperiksa.
Berikut ini diberikan kegiatan rutin pemeriksaan Independen atas Kinerja Rekonsiliasi dua rangkaian catatan yang dipelihara secara terpisah
Salah satu cara untuk memeriksa keakuratan dan kelengkapan catatan adalah merekonsiliasi catatan tersebut dengan catatan lainnya yang seharusnya memiliki saldo yang sama. Contoh, rekonsiliasi bank memverifikasi bahwa akun pemeriksa telah sesuai dengan laporan bank. Contoh lainnya adalah membandingkan jumlah total dalam buku pembantu piutang usaha dengan total akun piutang usaha dalam buku besar.
Perbandingan jumlah aktual dengan yang dicatat
Kas dalam laci mesin kas pada akhir pergantian staf administrasi, harus sama jumlahnya dengan jumlah yang dicatat dalam pita mesin kas. Seluruh persediaan harus dihitung paling tidak per tahun, dan hasilnya dibandingkan dengan catatan persediaan. Barang-barang yang berharga, seperti perhiasan atau pakaian bulu binatang, harus lebih sering dihitung.
Pembukuan berpasangan
Dalam akuntansi model double entry mengharuskan bahwa debit harus sama dengan kredit hal ini, memberikan kesempatan besar untuk pemeriksaan internal. Contoh, debit dalam akun penggajian mungkin dialokasikan ke berbagai persediaan dan/atau akun beban (expense), oleh departemen akuntansi biaya. Kredit dialokasikan ke beberapa akun kewajiban untuk utang upah dan gaji. Sebagai kesimpulan dari kedua operasi yang kompleks ini, perbandingan jumlah total debit dengan jumlah total kredit merupakan pemeriksaan yang memadai atas keakuratan kedua proses tersebut. Perbedaan selisih apa pun menunjukkan adanya satu atau lebih kesalahan.