Aktivitas Pengendalian (control activities) adalah kebijakan, prosedur, dan aturan yang memberikan
jaminan memadai bahwa tujuan pengendalian telah dicapai dan respons risiko dilakukan. Manajemen
harus memastikan bahwa :
1. Pengendalian dipilih dan dikembangkan untuk membantu mengurangi risiko hingga level yang
dapat diterima ;
2. Pengendalian umum yang sesuai dipilih dan dikembangkan melalui teknologi ;
3. Aktivitas pengendalian diimplementasikan dan dijalankan sesuai dengan kebijakan dan
prosedur perusahaan yang telah ditentukan.
Pengendalian akan jauh lebih efektif ketika dijalankan sejak sistem dibangun, daripada sesudah
dibangun.
Otorisasi
Penetapan kebijakan bagi para pegawai untuk diikuti dan kemudian memberdayakan mereka guna
melakukan fungsi organisasi tertentu. Otorisasi sering didokumentasikan dengan penandatanganan,
penginisialisasian, atau pemasukan kode pengotorisasian pada sebuah dokumen atau catatan.
Aktivitas atau transaksi tertentu bisa jadi merupakan konsekuensi bahwa manajemen
memberikan otorisasi khusus (specific authorization) agar aktivitas atau transaksi tersebut terjadi.
Sebaliknya, manajemen mengotorisasi pegawai untuk menangani transaksi rutin tanpa persetujuan
khusus, sebuah prosedur yang dikenal sebagai otorisasi umum (general authorization).
PEMISAHAN TUGAS
Pengendalian internal yang baik mensyaratkan tidak ada satu pegawai pun yang diberi terlalu banyak
tanggung jawab atas transaksi atau proses bisnis. Seorang pegawai tidak boleh berada di sebuah posisi
untuk melakukan dan menyamarkan penipuan. Pemisahan tugas dibahas dalam dua sesi terpisah :
pemisahan tugas akuntansi dan pemisahan tugas sistem.
Sebagaimana yang ditunjukkan pada Figur 7-2, pemisahan tugas akutansi (segregation of accounting
duties) yang efektif tercapai ketika fungsi-fungsi berikut dipisahkan.
Dalam sebuah sistem dengan pemisahan tugas yang efektif, sulit bagi seorang pegawai untuk dapat
berhasil menggelapkan. Mendeteksi penipuan dengan dua atau lebih orang yang terlibat kolusi
(collusion) dalam usahanya menolak pengendalian akan lebih sulit karena lebih mudah untuk
melakukan dan menyamarkan penipuan.
Dalam sebuah sistem informasi, prosedur yang dijalankan oleh individu berbeda dikombinasikan. Oleh
karena itu, setiap orang yang memiliki akses yang tidak terbatas ke komputer, program, dan data
langsung dapat melakukan serta menyamarkan penipuan. Untuk melawan ancaman ini, organisasi
menerapkan pemisahan tugas sistem (segregation of system duties). Wewenang dan tanggung jawab
harus dibagi dengan jelas menurut fungsi-fungsi sebagai berikut :
1. Administrator sistem
2. Manajemen jaringan
3. Manajemen keamanan
4. Manajemen perubahan
5. Pengguna
6. Analisis sistem
7. Pemrograman
8. Operasi komputer
9. Perpustakaan sistem informasi
10. Pengendalian data
Beberapa perusahaan mempekerjakan seorang sistem inegrator (system integrator) untuk mengelola
sebuah upaya pengembangan sistem yang melibatkan personel dalam perusahaan, kliennya, dan
vendor lainnya.
Organisasi memodifikasi sistem yang berjalan untuk merefleksikan praktik-praktik bisnis baru dan
untuk memanfaatkan penguasaan TI. Mereka yang bertugas untuk perubahan barus memastikan
bahwa mereka tidak memperkenalkan kesalahan hingga memfasilitasi penipuan.
Desain dan penggunaan dokumen elektronik dan kertas yang sesuai dapat membantu memastikan
pencatatan yang akurat serta lengkap dari seluruh data transaksi yang relevan. Bentuk dan isinya
harus sesederhana mungkin, meminimalkan kesalahan, dan memfasilitasi tinjauan serta verifikasi.
Dokumen yang mengawali sebuah transaksi harus menyediakan sebuah ruang untuk otorisasi. Mereka
yang mentransfer aset membutuhkan sebuah ruang untuk tanda tangan pihak penerimaan. Dokumen
harus dinomori secara urut, sehingga masing-masing dapat dibukukan. Jejak audit memfasilitasi
penelusuran transaksi individu melalui sistem, memperbaiki kesalahan, dan memverifikasi output
sistem.
Para pegawai merupakan risiko keamangan yang lebih besar dibandingkan orang luar. Mereka
mampus menyembunyikan tindakan ilegal mereka dengan lebih baik karena mereka mengetahui
kelemahan sistem dengan lebih baik.