Di dalam artikel berjudul Perkenalan dengan Audit, telah disinggung mengenai pengendalian internal atau istilah internal control. Secara singkat, internal control dapat didefinisikan sebagai rancangan di dalam sebuah organisasi yang menyangkut metode dan kebijakan di dalamnya guna mengamankan harta, memastikan ketepatan data akuntasi dan peningkatan efektifitas serta efisiensi di dalam perusahaan. Idealnya, internal control dalam perusahaan dipatuhi oleh semua orang yang terlibat di dalamnya.

Yang akan dibahas secara lebih mendalam di tulisan ini adalah aktivitas pengendalian (control activities) yang umumnya ditemukan dalam perusahaan. Di dalam tulisan ini akan dibahas 4 point yakni:

• Processing of information: Di dalam tahap ini kegiatan yang dilakukan lebih mengarah kepada pengecekan terhadap akurasi dan validasi suatu transaksi. Contoh riil dari kegiatan ini adalah pengecekan dari permintaan pembelian laptop dari departemen IT. Staf IT tersebut harus mengajukan permohonan pembelian untuk sebuah laptop. Manajer dari departemen IT kiranya memberikan persetujuan. Setelah persetujuan ini dilakukan, maka permohonan ini akan dicek dan di-approve oleh departemen finance. Di dalam departemen finance, staf accounts payable, finance manager dan finance controller masing-masing akan melakukan pengecekan secara berturut-turut. Pengecekan dilakukan terhadap adanya dokumen pendukung (misalkan ada dokumen quotation dari vendor (dokumen asli bukan fotokopi)), persetujuan dari kepala departemen IT, angka di quotation tidak menyimpang jauh dari angka di dalam budget IT dan sebagainya. Karena jumlah dari pengajuan ini di bawah dari IDR 20,000,000, maka pembelian ini tidak perlu disampaikan kepada finance director. Tentunya contoh design dari internal control ini tidak baku. Siapa yang melakukan pengecekan dan berapa range angka untuk menentukan layer pengecekan tergantung dari nature bisnis Anda. Pengecekan dan persetujuan pun bisa dilakukan melalui hardcopy approval atau approval via system. Pada umumnya, pengecekan melalui system lebih preferable karena tanda tangan bisa dipalsukan dan juga hardcopy dokumen bisa hilang di antara segala tumpukan dokumen yang lain.
• Segregation of duties: Ini berkaitan dengan pembagian job descriptions di dalam tim. Inti dari control activity ini adalah jangan sampai ada pihak yang melakukan kerjaan yang memungkinkan ia melakukan tindakan penggelapan (fraudulent act). Contoh dari skenario di mana ada kekurangan segregation of duties adalah jika pihak yang menerima cek pembayaran dari klien adalah pihak yang melakukan entry di dalam general ledger. Ini harus dihindari karena bisa saja orang tersebut tidak mencatat pembayaran klien tersebut, melainkan memasukkan itu ke kantongnya sendiri. Anda bisa melihat contoh lain mengenai segregatrion of duties di tulisan Perlindungan terhadap Kas dan Setara Kas.
• Physical control: Yang dimaksud di sini adalah melakukan prosedur untuk melindungi harta perusahaan secara fisik. Contoh: Adanya pemberian password untuk masing-masing komputer perusahaan, password untuk shared folders menyangkut data-data yang bersifat confidential (misalnya data payroll yang di-share antara anggota tim HRD), pergantian tiap log-in password tiap 90 hari, akses terbatas terhadap ruangan-ruangan yang menyimpan data penting dan confidential (misal ruangan HRD, ruangan server). Jika perusahaan Anda merupakan perusahaan trading atau manufaktur, Anda dapat melakukan perhitungan fisik barang-barang Anda di gudang. Kemudian, Anda dapat membandingkan hasil perhitungan tersebut dengan data stock di dalam inventory system.
• Performance reviews: Performance reviews lebih condong kepada management control. Contohnya adalah perbandingan pembelian capital expenditures yang tertera di budget dengan angka actual, pembuatan forecast profit and loss, melakukan profitability analysis per product line, melakukan review terhadap costing calculation dan sebagainya. Benefit dari performance review adalah adanya pengetahuan mengenai performance perusahaan di masa depan dan corporate actions apa yang perlu dilakukan.

Dengan adanya control activities ini, operational flow perusahaan dapat berjalan dengan baik, karena resiko-resiko sudah teridentifikasi dan “pagar-pagar” pencegah masalah (tindakan fraud misalnya) telah terbentuk. Hal mendasar yang perlu diingat adalah:

• Perusahaan perlu mengkomunikasikan dengan jelas kepada semua karyawannya mengenai job descriptions masing-masing individu.
• Tujuan dari internal control tidak bisa tercapai jika tidak dilaksanakan oleh orang-orang yang terlibat di dalamnya. Design yang bagus tidak ada gunanya bilamana tidak diimplementasikan. Oleh karena itu, internal control yang baik harus didukung oleh pegawai yang kompeten, mengerti pekerjaannya dan memiliki integritas.