Apa itu segregation of duties (SoD)?
Segregation of duties (SoD) atau pemisahan tugas adalah sebuah kontrol internal yang bertujuan buat mencegah kesalahan atau kecurangan dengan cara memastikan bahwa minimal dua orang yang bertanggung jawab atas bagian berbeda dari suatu tugas. Intinya, SoD itu memecah suatu tugas yang awalnya bisa diselesaikan satu orang menjadi beberapa bagian, supaya tidak ada satu orang yang pegang kendali penuh.
SoD, yang juga dikenal dengan sebutan separation of duties, adalah bagian penting dari sistem kontrol perusahaan. Tujuannya adalah membagi-bagi proses atau transaksi ke beberapa orang, agar tidak ada yang bisa menyalahgunakan kekuasaan atau akses untuk melakukan tindakan curang, seperti menggelapkan uang perusahaan.
Salah satu contoh umum penerapan SoD adalah di bagian penggajian (payroll). Karena risiko kesalahan atau kecurangan cukup tinggi di sana, biasanya tugas-tugasnya dipisah. Misalnya, satu orang ngurus pencatatan akuntansi, sementara orang lain yang tanda tangan cek atau menyetujui pencairan dana.
Kenapa segregation of duties itu penting?
Dasar dari SoD adalah bahwa menjalankan bisnis itu bukan pekerjaan satu orang. Nggak boleh ada satu orang yang punya kekuasaan penuh dalam suatu proses yang berpotensi disalahgunakan. Jadi, SoD ini sebenarnya tentang berbagi tanggung jawab. Beberapa fungsi penting dibagi ke orang atau departemen berbeda, untuk mengurangi risiko penyalahgunaan kekuasaan atau tindakan tidak etis lainnya.
SoD jadi bagian penting dalam manajemen risiko perusahaan dan kepatuhan terhadap undang-undang seperti Sarbanes-Oxley Act of 2002 (SOX).
Dengan memisahkan tugas, kita bisa mencegah penyalahgunaan kendali dan berbagai tindakan tidak etis. Misalnya, dengan SoD yang baik, lebih kecil kemungkinan satu orang atau kelompok bisa melakukan hal-hal berikut:
- menggelapkan dana perusahaan;
- melakukan spionase korporat;
- membalas dendam karena merasa dipecat atau diturunkan jabatan secara tidak adil;
- memalsukan laporan keuangan demi menyenangkan stakeholder, memenuhi target pendapatan atau menaikkan harga saham secara tidak wajar.
Contoh umum penerapan segregation of duties di lingkungan perusahaan
Segregasi tugas adalah konsep umum di dunia keuangan dan akuntansi. Contohnya bisa kita lihat pada pengelolaan gaji atau payroll, yang merupakan salah satu area paling cocok dan bahkan penting banget untuk diterapkan SoD.
Contoh lain misalnya di gudang. Orang yang menerima barang dari supplier berbeda dengan orang yang mengotorisasi pembayaran. Selain itu, orang yang mencatat stok barang bukan orang yang menyimpan barangnya secara fisik. Ini membantu mencegah pencurian atau laporan stok yang dimanipulasi.
Di bisnis properti juga ada contoh yang bagus. Orang yang menjual aset tetap seperti rumah atau tanah ke pelanggan, tidak boleh sekaligus yang mencatat penjualannya atau menerima pembayarannya. Dengan begitu, tidak ada celah untuk melakukan potongan ilegal dari pelanggan atau menyembunyikan sebagian pendapatan perusahaan.
Contoh lainnya lagi ada di dunia pengembangan perangkat lunak. Developer hanya bertanggung jawab menulis kodenya, tapi tidak boleh langsung me-deploy ke produksi. Harus ada orang lain yang mereview dan menyetujui sebelum kode masuk ke sistem live. Tujuannya jelas, untuk mencegah kode jahat atau kesalahan fatal masuk ke sistem tanpa kontrol.
Berikut beberapa contoh umum penerapan SoD lainnya:
- Otorisasi atau persetujuan transaksi
- Penerimaan dan penyimpanan aset
- Pencatatan transaksi
- Rekonsiliasi seperti pencocokan rekening koran bank, cek, dan entri buku besar (general ledger)
- Menyetorkan uang tunai
- Menyetujui timesheet atau absensi
Intinya, organisasi bisa menerapkan SoD pada berbagai proses, baik yang berhubungan dengan keuangan, IT, keamanan siber, software, atau fungsi bisnis lain yang punya dampak krusial terhadap pendapatan, reputasi, maupun relasi dengan pelanggan.
Tantangan dan Kekurangan dari Segregation of Duties
Segregasi tugas memang meningkatkan keamanan dan mengurangi risiko penyalahgunaan kontrol oleh seseorang untuk hal-hal yang tidak etis. Tapi di sisi lain, memecah satu tugas jadi beberapa bagian bisa bikin proses kerja jadi lebih lambat dan kurang efisien. Kalau efisiensi adalah hal utama, maka perusahaan harus siap menanggung risiko kontrol yang lebih lemah dan kemungkinan terjadinya kecurangan karena SoD tidak bisa diterapkan atau malah dikurangi.
Selain itu, SoD juga bisa menambah biaya operasional, bikin proses jadi lebih rumit, dan butuh lebih banyak orang untuk menjalankan satu workflow. Karena itu, kebanyakan organisasi hanya menerapkan SoD untuk area-area yang benar-benar penting atau rawan, misalnya yang berdampak langsung ke keuangan, reputasi, atau keamanan.
Di perusahaan kecil, tantangannya makin besar karena keterbatasan jumlah staf. Misalnya, satu orang bisa aja bertanggung jawab penuh untuk urusan payroll—mulai dari hitung gaji sampai tanda tangan cek. Ini jelas melanggar prinsip SoD, tapi bisa jadi satu-satunya solusi karena keterbatasan sumber daya.
Konsep Penting dalam Segregation of Duties
Ada dua istilah penting yang perlu dipahami dalam konteks SoD: konflik SoD dan pelanggaran SoD.
Konflik SoD. Ini terjadi kalau satu orang punya akses ke lebih dari satu peran dalam proses kerja, yang memungkinkan dia untuk bertindak demi kepentingan pribadi dan bertentangan dengan kepentingan perusahaan. Misalnya, seseorang yang bisa menyetujui transaksi sekaligus mencatatnya. Kondisi kayak gini bisa membahayakan integritas proses.
Untuk mencegah konflik kayak gitu, perusahaan perlu mengidentifikasi potensi konflik dan menerapkan kontrol yang kuat. Salah satu caranya adalah dengan pakai role-based access control (RBAC), di mana tiap peran dianalisis agar tidak ada tumpang tindih akses yang rawan penyalahgunaan, baik dalam satu peran maupun antar peran.
Pelanggaran SoD. Ini terjadi saat seseorang menyalahgunakan akses atau peran mereka (biasanya dengan sengaja) untuk melakukan tindakan yang dilarang. Larangan ini bisa jadi berasal dari kebijakan internal atau peraturan eksternal.
Misalnya, ada aturan bahwa orang yang menyetujui absensi tidak boleh juga yang membagikan gaji. Tapi kalau satu orang melanggar itu dan melakukannya demi keuntungan pribadi, maka itu adalah pelanggaran SoD.
Contoh pelanggaran karena peraturan eksternal adalah jika CEO atau CFO memanipulasi laporan keuangan dan melanggar regulasi SOX. Ini bisa berujung denda besar atau bahkan hukuman penjara.
Mengenal SoD Matrix (Matriks Segregasi Tugas)
Penerapan SoD bisa cukup kompleks, jadi banyak perusahaan memakai alat bantu berupa matriks segregasi tugas. Matriks ini bantu manajer untuk memetakan siapa yang punya akses ke proses atau aktivitas tertentu dan melihat potensi konflik sebelum terjadi masalah.
Biasanya, di sumbu X dan Y ada peran-peran pengguna, lalu dicek apakah ada tumpang tindih tanggung jawab yang berisiko. Matriks ini juga memetakan aktivitas terhadap peran dalam workflow untuk memastikan tugas-tugas yang tidak boleh digabung bisa dipisah dengan benar.
Contoh matriks SoD untuk proses kompensasi karyawan:
| Prosedur/ fungsi | Grup pengguna (peran) | Rekrut karyawan | Ubah kompensasi | Ubah benefit | Buat slip gaji |
| Rekrut karyawan | 1 | √ | |||
| Ubah kompensasi | 2 | √ | √ | ||
| Ubah benefit | 3 | √ | √ | ||
| Buat slip gaji | 4 | √ |
Di sini, jelas bahwa orang yang bertugas merekrut tidak boleh juga yang mengubah kompensasi atau membuat slip gaji. Hal yang sama berlaku untuk yang menangani benefit, dia tidak boleh juga merekrut.
Berikut contoh lain matriks SoD untuk proses pengembangan perangkat lunak:
| Prosedur/ fungsi | Grup pengguna (peran) | Develop software | Test software | Backup data | Deploy ke produksi |
| Develop software | 1 | √ | |||
| Test software | 2 | √ | |||
| Backup data | 3 | √ | |||
| Deploy ke produksi | 4 | √ |
Developer nggak boleh nge-test, backup, atau push kode ke produksi. Begitu juga yang push ke produksi nggak boleh ngerjain tiga tugas lainnya.
Matriks kayak gini bisa dibuat manual (misalnya di Excel), tapi di perusahaan besar biasanya pakai software ERP biar otomatis.
2 Pendekatan Matriks SoD versi ISACA
Diagram dan flowchart memang cukup jelas untuk menggambarkan SoD, tapi kadang nggak sesuai dengan realita tugas tiap pegawai. Nah, ISACA menyarankan dua pendekatan biar matriks SoD jadi lebih efektif dan informatif:
- Kelompokkan atau hapus aktivitas-aktivitas tertentu.
- Biarkan semua aktivitas tetap ada dan beri label konflik SoD secara jelas.
Opsi pertama bikin matriks jadi lebih ringkas dan mudah dianalisis, tapi bisa menghasilkan false positive atau error. Sedangkan opsi kedua akan menghasilkan matriks yang besar tapi jauh lebih akurat dalam merepresentasikan realitas proses dan peran di lapangan.
Lihat juga: pendeteksian penipuan, kontrol kompensasi, prinsip empat mata, penghindaran risiko, tata kelola perusahaan, kesalahan akuntansi, kepatuhan regulasi, beban kepatuhan.