Yang dimaksud dengan internal control adalah alur dari suatu organisasi baik berupa kegiatan, struktur organisasi, alur kewenangan, alur management informasi yang didesain sedemikian rupa untuk membantu suatu organisasi untuk mencapai tujuannya.
Internal control terdiri dari sekumpulan kebijakan, prosedur, best pratices dan struktur organisasi yang sudah di implementasikan untuk mengurangi resiko. Internal control bisa dilakukan secara manual atau otomatis, dimana akan selalu berkutat pada 2 hal yaitu :
- Apa yang akan diraih
- Apa yang harus dihindari
Internal control prosedur memiliki 2 katagori yaitu :
- Prosedur control umum
- Prosedur control Information Technology
Dari 2 ( dua) kategori diatas nantinya akan dibagi lagi menjadi internal control yang sifatnya preventive, detective dan corrective.
- Preventive : Fungsinya memprediksi , dan mendeteksi problem / incident sebelum muncul.
- Corretive : Fungsimya meminimalisasi impact dari threat yang ada ( yang menyebabkan problem / incident).
- Detective : Fungsimya mendeteksi dan melaporkan adanya error, monitoring, attack saat sedang terjadi.
Sebagai contohnya adalah misalnya scenario terjadinya penetrasi kedalam database, maka fungsi preventive adalah mencegah jangan sampai ada yang bisa masuk kedalam database, fungsi detective adalah monitoring kejadian user login logout yang akses ke database tersebut, sedangkan fungsi corrective ialah fungsi seandainya database tersebut sudah terlanjur rusak karena suatu penetrasi maka restore database itulah corrective nya.
Contoh lain IS control Objectives adalah :
- Memastikan integritas dari system yang ada misalnya OS System Integrity nya apakah sudah full pacth, lastest system.
- Memastikan integritas dari aplikasi yang dianggap kritikal dan sensitive ,misalnya melindungi data keuangan, customer.
- Pengamanan asset , melakukan pembatasan ke semua asset, melakukan review secara berkala untuk memastikan keamanan asset.
- Memastikan bahwa kegiatan operasional tetap efektif dan efisien.
- Memastikan proses autenfikasi dari user sesuai dengan level akses mereka.
- Memastikan bahwa tujuannya tetap objective.
- Memastikan semua layanan tetap berjalan melalui BCP ( Business Continuity Planning) dan DRP ( Disaster Recovery Plan.
- Memastikan bahwa semua system sesuai dengan peraturan dan hukum yang ada, sesuai dengan AD ART dan Aturan Perusahaan, sesuai dengan kebutuhan user.
Salam Share !