AI IFRS cyber disclosure controls menjadi topik yang semakin relevan ketika organisasi diminta menyusun pengungkapan risiko siber, insiden, serta dampaknya terhadap kinerja dan posisi keuangan secara lebih konsisten, cepat, dan dapat diaudit. AI (terutama generative AI) menjanjikan efisiensi: merangkum temuan, menormalkan bahasa, memetakan risiko, hingga menyiapkan draf narasi. Namun, tanpa kontrol yang tepat, AI juga bisa menambah risiko baru: kesalahan fakta, kebocoran data sensitif, dan narasi yang tidak selaras dengan bukti.

Artikel ini membahas cara membangun kontrol disclosure yang defensif untuk pelaporan berbasis IFRS yang menyentuh aspek siber—mulai dari tata kelola, kualitas data, bukti (evidence), hingga cara aman memanfaatkan AI. Fokusnya bukan “cara menyerang”, melainkan bagaimana menutup celah dan meningkatkan kesiapan audit.

Mengapa Pengungkapan Siber dalam Kerangka IFRS Menjadi Sorotan

Walau IFRS tidak selalu memiliki satu standar yang secara spesifik “khusus siber”, risiko siber sering tercermin dalam beberapa area pelaporan, misalnya:

  • Risiko dan ketidakpastian material yang memengaruhi going concern, estimasi, dan pengungkapan utama.
  • Kontinjensi, provisi, dan kewajiban bila insiden siber memicu denda, gugatan, atau biaya pemulihan.
  • Penurunan nilai aset (impairment) bila gangguan operasional memengaruhi arus kas atau nilai aset tak berwujud.
  • Instrumen keuangan dan risiko kredit jika insiden mengubah profil risiko, misalnya akibat fraud, chargeback, atau gangguan layanan.
  • Peristiwa setelah tanggal pelaporan yang mungkin perlu diungkapkan jika insiden terjadi setelah periode pelaporan namun sebelum penerbitan laporan.

Di sisi lain, pasar dan regulator semakin mengharapkan narasi yang transparan: bagaimana organisasi mengelola risiko siber, seberapa matang kontrolnya, dan bagaimana insiden memengaruhi operasi serta keuangan. Inilah titik temu antara fungsi keuangan, audit internal, legal, dan tim keamanan informasi.

Apa Itu “Cyber Disclosure Controls” dan Mengapa AI Membutuhkannya

Disclosure controls adalah rangkaian kebijakan, proses, dan kontrol yang memastikan informasi yang dipublikasikan (misalnya dalam laporan tahunan, catatan laporan keuangan, atau laporan manajemen) akurat, lengkap, konsisten, tepat waktu, dan dapat ditelusuri ke bukti.

Ketika AI ikut terlibat dalam penyusunan konten, risiko berikut meningkat:

  • Hallucination: AI membuat pernyataan yang terdengar meyakinkan tetapi tidak didukung data.
  • Over-sharing: draf mengungkap detail yang seharusnya dirahasiakan (misalnya detail kerentanan atau arsitektur).
  • Inconsistency: narasi tidak konsisten antar bagian laporan atau dengan komunikasi sebelumnya.
  • Data leakage: data sensitif masuk ke sistem AI eksternal tanpa kontrol.
  • Auditability gap: sulit membuktikan siapa mengubah apa, berdasarkan bukti mana, dan kapan.

Karena itu, AI IFRS cyber disclosure controls harus dipahami sebagai gabungan kontrol pelaporan + kontrol keamanan + kontrol tata kelola AI (model risk management).

Pilar Kontrol: Dari Data Hingga Narasi yang Siap Audit

1) Inventarisasi Data dan “Single Source of Truth”

Kontrol disclosure dimulai dari sumber data yang stabil. Untuk topik siber, sumber data bisa berasal dari tiket insiden, SIEM, laporan forensik, GRC, hasil assessment, hingga temuan audit. Tantangan utamanya: data tersebar, definisi “insiden” berbeda-beda, serta status dan dampak sering berubah.

Praktik defensif yang disarankan:

  • Definisikan taksonomi: bedakan “kejadian keamanan”, “insiden”, “insiden material”, dan “near-miss”.
  • Tetapkan sistem rujukan: misalnya satu repositori GRC sebagai referensi kontrol, risiko, dan bukti.
  • Data lineage: catat asal-usul data (sistem, pemilik, tanggal, versi).
  • Quality gates: validasi kelengkapan field penting (tanggal, dampak, status pemulihan, owner).

2) Materiality dan Kriteria Eskalasi yang Terdokumentasi

Dalam konteks IFRS, isu kunci bukan hanya “ada insiden”, tetapi “apakah informasi tersebut material bagi pengguna laporan”. Karena penilaian materiality bersifat judgement, kontrol harus membantu konsistensi dan bukti penilaian.

  • Kriteria kuantitatif: estimasi dampak finansial langsung (biaya respons, downtime, penalti), serta dampak tidak langsung (kehilangan pendapatan).
  • Kriteria kualitatif: dampak reputasi, gangguan layanan kritis, keterlibatan regulator, paparan data pribadi.
  • Jejak keputusan: notulen komite (security, risk, finance), siapa menyetujui, data pendukung, dan tanggal.

AI bisa membantu merangkum data untuk diskusi materiality, tetapi keputusan akhir harus tetap melalui proses governance yang jelas.

3) Kontrol Narasi: Konsistensi, Akurasi, dan Pembatasan Detail Sensitif

Pengungkapan siber perlu cukup informatif untuk transparansi, namun tidak membocorkan detail yang memperbesar risiko. Kontrol narasi bertujuan menyeimbangkan keduanya.

  • Template terstandar: struktur pengungkapan (apa yang terjadi, dampak, respons, perbaikan, status).
  • Style guide: istilah yang boleh/tidak boleh, tingkat detail teknis yang diperkenankan.
  • Consistency checks: selaraskan dengan kebijakan risiko, laporan keberlanjutan, dan komunikasi investor.
  • Redaction rules: larang menyebut detail seperti versi sistem, konfigurasi spesifik, atau indikator yang bisa disalahgunakan.

4) Bukti (Evidence) dan Audit Trail End-to-End

Kontrol disclosure yang kuat selalu dapat menunjukkan bukti. Dalam konteks AI, audit trail harus mencakup: sumber data, prompt (jika relevan), versi model, siapa yang menjalankan, output yang dipakai, serta review/approval.

  • Versioning: setiap revisi narasi memiliki nomor versi, penulis, dan alasan perubahan.
  • Link ke evidence: setiap klaim penting dihubungkan ke laporan insiden, timeline, atau metrik yang disetujui.
  • Segregation of duties: pembuat draf, reviewer keamanan, reviewer keuangan, dan approver akhir berbeda.

Peran AI: Di Mana Aman, Di Mana Harus Dibatasi

Use case AI yang umumnya defensif dan bernilai

  • Ringkasan eksekutif: meringkas timeline insiden dari data internal untuk bahan rapat komite.
  • Normalisasi bahasa: memastikan istilah konsisten dan tidak terlalu teknis bagi pembaca laporan.
  • Deteksi inkonsistensi: membandingkan draf pengungkapan dengan kebijakan risiko/kerangka kontrol untuk menemukan gap.
  • Klasifikasi dokumen: menandai dokumen mana yang relevan sebagai evidence (misalnya laporan post-incident review).

Use case yang perlu pembatasan ketat

  • Estimasi dampak finansial otomatis: AI tidak boleh menjadi satu-satunya dasar angka; harus ada perhitungan dan sign-off finance.
  • Mengambil keputusan materiality: AI hanya memberi rekomendasi berbasis kriteria, bukan memutuskan.
  • Memasukkan data sensitif ke layanan AI publik: hindari tanpa kontrol kontraktual, enkripsi, dan kebijakan data yang jelas.

Blueprint Kontrol untuk AI IFRS Cyber Disclosure Controls

1) Kebijakan Data untuk AI (Data Handling & Classification)

Tentukan kategori data yang boleh diproses AI, misalnya:

  • Public: boleh untuk AI eksternal.
  • Internal: boleh untuk AI internal/enterprise dengan logging.
  • Confidential/Restricted: hanya untuk lingkungan terisolasi, dengan akses terbatas dan persetujuan.

Kontrol inti: minimisasi data, masking, dan pembatasan retention.

2) Kontrol Prompt dan Output (Prompt Governance)

  • Approved prompt library: prompt standar yang sudah ditinjau legal/security.
  • Output labeling: setiap output AI diberi label “draft—requires human verification”.
  • Grounding: batasi AI hanya pada sumber internal terkurasi (retrieval dari repositori yang disetujui).

3) Validasi dan Review Berlapis

Rancang alur kerja yang jelas:

  • Reviewer keamanan: memastikan tidak ada detail sensitif yang berbahaya dan klaim teknis akurat.
  • Reviewer keuangan: memastikan dampak dan terminologi sesuai pelaporan.
  • Legal/Compliance: memastikan selaras dengan kewajiban regulasi dan risiko litigasi.
  • Approval committee: keputusan final terdokumentasi.

4) Kontrol Model dan Vendor (Model Risk Management)

  • Evaluasi vendor: lokasi pemrosesan data, enkripsi, hak penggunaan data, dan auditability.
  • Model card internal: tujuan penggunaan, batasan, data yang dilarang, metrik kualitas.
  • Monitoring: uji kualitas output secara berkala, termasuk bias dan drift pada ringkasan.

5) Kontrol Keamanan Teknis

  • Access control: MFA, least privilege, dan role-based access untuk fitur AI.
  • Logging & SIEM: catat akses, prompt, dokumen yang diretrieval, dan ekspor data.
  • DLP: pencegahan kebocoran data pada copy/paste, upload, dan email.

Metrik yang Membantu Kesiapan Audit dan Konsistensi Pengungkapan

Agar program disclosure dapat dipertahankan dan ditingkatkan, tetapkan metrik yang bisa diaudit dan tidak sekadar “kosmetik”:

  • Coverage: persentase risiko siber kritis yang memiliki narasi pengungkapan terstandar dan evidence.
  • Cycle time: waktu dari penutupan insiden hingga draf disclosure siap review.
  • Defect rate: jumlah koreksi material pada draf AI (fakta salah, inkonsisten, over-sharing).
  • Approval SLA: kepatuhan terhadap tenggat review lintas fungsi.
  • Traceability score: persentase klaim yang memiliki link bukti yang memadai.

Kesalahan Umum yang Harus Dihindari

  • Menganggap AI sebagai “penulis final”: output AI harus diperlakukan sebagai draf, bukan sumber kebenaran.
  • Kontrol hanya di akhir: jika data dan kriteria materiality kacau, review akhir tidak akan menyelamatkan kualitas.
  • Mengorbankan keamanan demi kecepatan: memasukkan data insiden sensitif ke tool publik tanpa governance adalah risiko besar.
  • Tidak menyatukan bahasa: security dan finance memakai istilah berbeda; hasilnya disclosure tidak koheren.

FAQ: AI IFRS Cyber Disclosure Controls

Apa hubungan IFRS dengan pengungkapan risiko siber?

IFRS menuntut entitas menyajikan informasi yang relevan dan andal tentang posisi keuangan, kinerja, dan risiko. Risiko siber dapat memengaruhi estimasi, kontinjensi, impairment, going concern, atau peristiwa setelah tanggal pelaporan. Karena itu, aspek siber sering muncul sebagai bagian dari pengungkapan risiko dan ketidakpastian material yang berdampak pada keputusan pengguna laporan.

Apakah AI boleh digunakan untuk menyusun narasi pengungkapan?

Boleh, selama digunakan secara defensif: sebagai alat bantu ringkasan, konsistensi bahasa, dan pengecekan inkonsistensi. Output AI harus melalui verifikasi manusia, memiliki jejak audit, dan tidak memproses data sensitif di luar kebijakan. AI tidak boleh menjadi satu-satunya sumber keputusan materiality atau angka dampak finansial.

Bagaimana mencegah AI “mengarang” (hallucination) dalam disclosure?

Terapkan grounding ke sumber internal terkurasi, gunakan template dengan field yang harus diisi dari data, wajibkan tautan klaim-ke-evidence, dan lakukan review berlapis (security, finance, legal). Selain itu, beri label output AI sebagai draf dan ukur defect rate untuk perbaikan berkelanjutan.

Data apa yang sebaiknya tidak dimasukkan ke sistem AI untuk disclosure siber?

Hindari data yang dapat meningkatkan risiko jika bocor, seperti detail kerentanan yang belum ditambal, konfigurasi spesifik, kredensial, indikator sensitif yang belum dipublikasikan, serta data pribadi yang tidak diperlukan. Gunakan prinsip minimisasi data, masking, dan lingkungan AI enterprise yang memiliki kontrol akses serta logging.

Apa tanda bahwa kontrol disclosure sudah “audit-ready”?

Tanda utamanya adalah traceability: setiap pernyataan penting dapat ditelusuri ke sumber data dan bukti yang disetujui, ada versioning dan approval yang jelas, segregasi tugas berjalan, serta kebijakan penggunaan AI terdokumentasi. Metrik seperti traceability score, defect rate, dan approval SLA membantu menunjukkan kedewasaan kontrol secara konsisten.

Penutup: Jadikan AI Akselerator, Bukan Sumber Risiko Baru

Membangun AI IFRS cyber disclosure controls bukan sekadar menambahkan tool AI ke proses pelaporan. Yang dibutuhkan adalah desain kontrol menyeluruh: data yang tertata, kriteria materiality terdokumentasi, narasi yang konsisten dan aman, bukti yang mudah ditelusuri, serta governance AI yang kuat. Dengan pendekatan ini, AI dapat mempercepat proses disclosure tanpa mengorbankan keamanan, akurasi, dan kepatuhan.

ai governanceaudit readinessComplianceCybersecurityData Protectiondisclosure controlsGRCIFRSInternal ControlsRisk Management
By