TIGA POINTER DALAM SISTEM PENGENDALIAN INTERNAL

1)             Pengendalian preventif, detektif dan korektif.

Dalam kegiatan pengendalian, terdapat 3 tipe pengendalian, yaitu preventiv, detektif dan
korektif. Perbandingan antara ketiga tipe tersebut adalah sebagai berikut:
Pengendalian Preventif
Yaitu kegiatan pengendalian yang dilakukan untuk mencegah terjadinya suatu permasalahan
(error condition) dari suatu proses bisnis, atau dengan kata lain pengendalian yang dilakukan
sebelum masalah timbul. Kegiatan pengendalian ini relatif murah jika dibandingkan kedua tipe
pengendalian lainnya.
Contoh pengendalian preventif:
1.            Dibuatnya standar operasional prosedur untuk suatu kegiatan entitas;
2.            Dibuatnya pemisahan fungsi dalam suatu entitas;
3.           Dibuatnya rentang otorisasi dalam suatu entitas.

Pengendalian Detektif
Yaitu kegiatan pengendalian yang dilakukan dalam rangka mencari atau mendeteksi adanya
suatu permasalahan dan mencari akar permasalahan tersebut, atau dengan kata lain pengendalian
yang dilakukan dimana telah terdapat suatu permasalahan. Kegiatan pengendalian ini lebih
mahal dari kegiatan pengendalian preventif.
Contoh pengendalian detektif:
1.            Dilakukan rekonsiliasi kas;
2.            Dilaksanakannya audit secara periodik;

Kegiatan Korektif
Yaitu kegiatan pengendalian yang dilakukan untuk memperbaiki kondisi jika terdapat suatu
permasalahan yang menyebabkan resiko tidak tercapainya tujuan organisasi, yang telah
ditemukan pada kegiatan pengendalian preventif maupun detektif. Kegiatan Korektif relatif lebih
mahal dari kegiatan peventif maupun detektif.
Contoh kegiatan korektif:
Dilakukannya perbaikan suatu sistem informasi atas kesalahan data yang disebabkan adanya eror
dalam sistem informasi suatu entitas
 1. Pengendalian Preventif.
Yaitu pengendalian yang mencegah masalah sebelum timbul.Pengendalian preventif yang
digunakan organisasi secara umum digunakan untuk membatasi akses terhadap sumber daya
informasi.COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah
fasilitator kritis lainnya untuk keamanan informasi yang eefektif.Oleh karena itu, pelatihan
adalah sebuah pengendalian preventif yang kritis.Seluruh pegawai harus diajarkan tentang
pentingnya ukuran-ukuran keamananbagi kebertahanan jangka panjang organisasi.Selain itu,
pegawai juga dilatih untuk mengikuti praktik-praktik komputasi yang aman. Investasi organisasi
dalam pelatihan keamanan akan menjadi efektif  hanya jika manajemen mendemontrasikan
dengan jelas bahwa mereka mendukung para pegawai yang mengikuti kebijakan keamanan.
Penting memahami bahwa “orang luar” bukan satu-satunya sumber ancaman. Oleh karena itu,
organisasi menerapkan satu set pengendalian untuk melindungi aset informasi. Praktik
manajemen COBIT 5 DSS05.04 menetapkan dua pengendalian atas ancaman terhadap aset
informasi:
a.       Pengendalian autentifikasi, memverifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat mengakses
sistem informasi organisasi.
b.      Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas bagian
spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan.
Untuk mendukung pelaksanaaan kedua pengendalian tersebut, maka solusi di bidang teknologi
informasi sendiri pun diperlukan. Terdapat beberapa  solusi teknologi informasi yang dapat
digunakan:
a.       Pengendalian antimalware. Malware dapat menghancurkan informasi atau memperoleh
akses tanpa ijin. Oleh karena itu, salah satu dari bagian COBIT 5 DSS05.01 mendaftarkan
perlindungan malware sebagi salah satu dari kunci keamanan yang efektif.
b.      Pengendalian akses jaringan. Banyak organisasi menyediakan akses nirkabel terhadaap
sistem mereka. Praktik manajemen COBIT 5 DSS05.02 menunjukkan keamanan jaringan
organisasi dan seluruh upaya untuk tersambung ke dalamnya.
c.       Pengendalian pengukuhan peralatan dan perangkat lunak. Firewall didesain untuk
melindungi parimeter jaringan, namun diperlukan tambahan pengendalian preventif pada stasiun
kerja, server, printer, dan perangkat lainnya (secara kolektif disebut endpoint) yang meliputi
jaringan organisasi. Praktik manajemen COBIT 5 DSS05.03 menjelakan aktivitas yang terlibat
dalam mengelola keamanan endpoint.
d.      Enkripsi. Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses
tanpa ijin terhadap informasi sensitif.
Organisasi secara konstan memodifikasi sistem informasi untuk menunjukkan praktik-praktik
bisnis baru. Pengendalian perubahan dan manajemen perubahan merupakan proses formal yang
digunakan untuk memastikan bahwa modifikasi pada perangkas kera, perangkat lunak, atau pada
proses tidak mengurangi keandalan sistem.
2.      Pengendalian Detektif.
Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak
terelakan.Sebagaian besar sistem muncul dengan kemampuan ekstensif untuk mencatat (logging)
siapa yang mengakses sistem. Sejumlah log yang dibuat menciptakan sebuah jejak audit pada
akses sistem. Analisis log adalah proses pemeriksaan log untuk mengidentifikasi bukti
kemungkinan serangan. Sedangkan, sistem deteksi gangguan (intrusion detection system)
merupakan sebuah sistem yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang
diizinkan untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda atas
gangguan yang diupayakan atau berhasil dilakukan.
Organisasi perlu untuk secara periodik menguji efektivitas proses bisnis dan pengendalian
internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk menerobos ke dalam sistem
informasi organisasi. Oleh karena itu, Praktik manajemen COBIT 5 menekankan pentingnya
pengawasan berkelanjutan dan kepatuhan pegawai terhadap kebijakan keamanan informasi
organisasi serta kinerja keseluruhan proses bisnis.

3.      Pengendalian Korektif.
Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta memperbaiki dan
memulihkan dari kesalahan yang dihasilkan. Terdapat tiga pengendalian korektif yang penting:
a.       Pembentukan sebuah tim perespon insiden komputer (computer incident response team
– CIRT). Merupakan sebuah tim yang bertanggung jawab untuk mengatasi insiden keamanan
utama. Sebuah CIRT harus mengarahkan proses respon insiden organisasi melalui empat tahap:
1). Pemberitahuan(recognition) adanya sebuah masalah; 2). Penahanan (containment) masalah;
3). Pemulihan (recovery); dan 4). Tindak lanjut (foloow up). 
b.      Pendesainan individu khusus (Chief Informastion Security Officer – CISO). Penting agar
organisasi menentukan pertanggungjawaban atas keamanan informasi kepada seseorang di level
manajemen senior yang tepat. satu cara untuk memenuhi sasaran adalah menciptakan posisi
CISO, yang harus independen dari fungsi-fungsi sistem informasi lainnya serta harus melapor
baik ke chief operating officer (COO) maupun chief executive officer (CEO). Oleh karena itu,
CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan dan risiko
dilakukan secara teratur serta audit keamanan dilakukan secara periodik.
c.       Penetapan serta penerapan sistem manajemen path yang didesain dengan
baik. Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki
kerentanan tertentu. Manajemen patch adalah proses untuk secara teratur menerapkan patch dan
memperbarui  seluruh perangkat lunak yang digunakan  oleh organisasi. Oleh karena
sejumlah patch merepresentasikan modifikasi perangkat lunak yang sungguh rumit, maka
organisasi perlu menguji dengan cermat efek dari patch sebelum menyebarkannya.