Jenis Kegiatan Pengendalian Framework COSO menyatakan bahwa kegiatan pengendalian terdapat di semua level perusahaan yang secara umum dapat diklasifikasikan menjadi 2, yaitu kegiatan pengendalian secara entity-wide atau business process. Sedangkan di dalam Framework Internal Audit COSO ditambahkan satu kegiatan pengendalian lagi yaitu kegiatan pengendalian transaksi. Kegiatan pengendalian transaksi ini merupakan bagian dari kegiatan pengendalian proses bisnis. Terdapat beberapa jenis kegiatan pengendalian yang dilakukan organisasi untuk meningkatkan kemungkinan tujuan organisasi dapat terpenuhi. Hal yang harus diingat adalah bahwa beberapa kegiatan pengendalian dapat memiliki nama atau sebutan yang berbeda di setiap organisasi walaupun secara substansi sama. Hal lain yang lebih signifikan dibandingkan dengan nama kegiatan pengendalian adalah jenis kegiatan pengendalian yang dilakukan. Jenis kegiatan pengendalian yang dilakukan oleh suatu organisasi kadangkala tidak dapat dikotak-kotakkan secara jelas, masih dimungkinkan suatu kegiatan pengendalian yang dilakukan oleh suatu organisasi memenuhi 2 atau lebih kriteria untuk suatu jenis kegiatan pengendalian secara bersamaan. Kegiatan pengendalian dapat diklasifikasikan dalam berbagai cara dan dapat menggunakan klasifikasi yang berbeda secara bersamaan. Berikut ini akan disajikan mengenai berbagai jenis pengendalian dan tujuan masing-masing pengendalian tersebut. A. Menurut Tingkat Penerapannya Sebagaimana telah dijelaskan sebelumnya, Framework Internal Audit COSO membagi kegiatan pengendalian menjadi tiga, yaitu: Entity Level, Process Level, dan Transaction Level Control. Hal ini didasarkan kepada cakupan/luas kegiatan pengendalian kegiatan yang dilakukan. Kegiatan pengendalian dilakukan tidak hanya atas kegiatan operasional (proses bisnis) namun juga mencapai tingkatan seluruh entitas (entity level).
Entity-Level Control merupakan kegiatan pengendalian yang beroperasi terhadap seluruh entitas, tidak terikat ataupun diasosiasikan dengan kegiatan tertentu. EntityLevel Control memiliki focus yang sangat luas dan seringkali berkaitan dengan lingkungan organisasi. Entity-Level Control didesain untuk memitigasi secara langsung risiko pada-Level entitas, baik berasal dari internal maupun eksternal organisasi. Kegiatan pengendalian ini juga secara tidak langsung memitigasi risiko pada-Level proses dan-Level transaksi Public Company Accounting Oversight Board menyebutkan pada Auditing Standard no.5 bahwa kegiatan pengendalian yang termasuk Entity-level control adalah sebagai berikut: i. Controls related to the control environment ii. Controls over management override iii. The companys risk assessment process iv. Centralized processing and controls, including shared service environments v. Controls to monitor results of operations vi. Controls to monitor other controls, including activities of the internal audit function, the audit committee, committee, and self-assessment self-assessment programs vii. Controls over the period-end financial reporting process viii. Policies that address significant business control and risk management practices
Entity-Level Control masih dapat dibagi lagi menjadi governance control dan management-oversight control. Pembagian ini dilakukan berdasarkan siapa yang menetapkan kegiatan pengendalian yang dilakukan pada-Level entitas. Governance Control ditetapkan oleh board dan executive management, sedangkan Managementoversight controls ditetapkan oleh manajemen pada unit bisnis terkait.
Process-Level Control merupakan aktivitas pengendalian yang dilaksanakan pada suatu proses tertentu dengan tujuan untuk mencapai tujuan dari proses tersebut. Proses-Level control mempunyai focus yang lebih sempit dibandingkan dengan Entity-Level. Pemilik proses merupakan pihak yang menetapkan kegiatan pengendalian yang digunakan pada Level ini. Contoh kegiatan pengendalian pada process-level control adalah: i. Reconciliations of key accounts ii. Physical verification of assets iii. Process employee supervision and performance evaluations iv. Process-level risk management v. Monitoring specific assessment Transaction-Level Control merupakan kegiatan pengendalian yang dilakukan untuk mengurangi risiko dari kumpulan atau rangkaian kegiatan yang dilakukan dalam organisasi. Secara lebih detail, tujuan dari kegiatan pengendalian ini adalah untuk meningkatkan kemungkinan bahwa setiap kegiatan operasi, tugas, atau transaksi dapat diproses secara tepat waktu dan akurat. Contoh dari kegiatan pengendalian ini adalah: i. Authorizations ii. Documentations iii. Segregation of Duties iv. IT Application controls
B. Menurut Tingkat Kepentingannya Menurut tingkat kepentingan penerapan kegiatan pengendaliannya, kegiatan pengendalian secara umum dapat dibagi menjadi dua jenis yaitu kegiatan pengendalian kunci (Key Control) dan sekunder (Secondary Control). Namun demikian, ada kalanya kegiatan pengendalian kunci tidak dapat dilaksanakan secara lengkap sehingga muncuk yang disebut dengan kegiatan pengendalian kompensasi (Compensating Control). Berikut ini penjelasan singkat mengenai ketiga jenis pengendalian tersebut
Key Control merupakan kegiatan pengendalian yang secara langsung ditujukan untuk mengatasi atau memitigasi risiko yang bersifat kritis terhadap pencapaian tujuan perusahaan. Kegagalan dalam merancang dan menerapkan key control yang cukup dan efektif tidak hanya dapat menyebabkan organisasi gagal mencapai tujuan namun juga dapat menganggu tingkat keberlangsungan hidup organisasi. Secondary Control merupakan kegiatan pengendalian yang dirancang untuk memitigasi risiko terkait tujuan organisasi yang tidak bersifat kritis. Secondary Control juga dapat didesain sebagai pendukung atau back-up dari Key Control. Ketika Key Control tidak dapat dilaksanakan secara efektif, Secondary Control dapat mengurangi level residual risk. Compensating Control merupakan turunan dari Secondary Control. Compensating Control merupakan kegiatan pengendalian yang dirancang sebagai suplemen dari key
control yang tidak dapat bekerja secara efektif. Contoh dari compensating control adalah supervise yang tetap dilakukan ketika pemisahan tugas dirasa tidak cukup. C. Menurut Tujuannya Jenis kegiatan pengendalian dapat dibagi menurut tujuannya menjadi Preventive Control dan Detective Control. Preventive Control dirancang untuk mencegah terjadinya kejadian yang akan menyebabkan munculnya risiko. Sedangkan Detective Control dirancang untuk mendetaksi kejadian yang sudah terjadi dan akan menyebabkan gangguan dalam pencapaian tujuan. Detective Control harus dijalankan secara tepat waktu sebelum kejadian tersebut menghasilkan pengaruh buruk yang lebih besar bagi perusahaan. Saat ini sangat sulit untuk merancang preventive control yang efektif dan efisien mengingat perubahan dan kompleksitas bisnis saat ini. Oleh sebab itu, kebanyakan organisasi menggunakan kombinasi antara preventive control dan detective control dalam merancang internal control. Contohnya adalah penggunaan password dan user id. D. Klasifikasi Lainnya Selain pembagian berdasarkan ketiga poin diatas, masih terdapat satu metode untuk mengklasifikasikan kegiatan pengendalian yang dilakukan oleh organisasi yaitu berupa Technology Control. Hal ini karena semakin tergantungnya organisasi atas teknologi yang digunakan. Secara umum, Technology Control dapat dibagi menjadi dua, yaitu:
General Computing Control, kegiatan pengendalian ini diaplikasikan kepada sebagian besar atau seluruh system aplikasi untuk memastikan system aplikasi tersebut digunakan secara layak. Application Control, kegiatan pengendalian ini meliputi langkah langkah yang terkomputerisasi di dalam software aplikasi dan panduan penggunaan untuk mengendalikan proses dari berbagai jenis transaksi
