Adopsi AI di area keuangan dan pelaporan meningkat cepat: dari otomatisasi rekonsiliasi, klasifikasi transaksi, deteksi anomali, hingga penyusunan draft disclosure. Di sisi lain, organisasi yang menyusun laporan keuangan berbasis IFRS menghadapi ekspektasi kontrol yang kuat: data harus andal, proses dapat ditelusuri, dan risiko salah saji material perlu dikendalikan. Ketika AI masuk ke dalam rantai proses pelaporan, pertanyaan besar muncul: bagaimana memastikan cyber control dan auditability memadai tanpa mematikan inovasi?

Artikel ini merangkum pendekatan defensif untuk menggabungkan AI, IFRS, dan cyber control audit. Fokusnya bukan pada “cara membobol”, melainkan bagaimana merancang kontrol, bukti, dan tata kelola agar penggunaan AI dapat dipertanggungjawabkan saat audit internal maupun eksternal.

Mengapa AI Menjadi Perhatian dalam Audit IFRS

IFRS menekankan penyajian yang wajar, konsistensi kebijakan akuntansi, dan pengungkapan yang relevan. Ketika AI membantu menghasilkan angka, klasifikasi, atau narasi disclosure, auditor akan menilai apakah:

  • Input data lengkap, akurat, dan berizin.
  • Proses pengolahan data dapat ditelusuri (traceability) dan terkontrol.
  • Output dapat direkonsiliasi dengan sumber dan tervalidasi terhadap aturan akuntansi.
  • Perubahan model atau prompt tidak mengubah hasil secara tak terduga tanpa persetujuan.

Dalam konteks audit, AI biasanya diperlakukan sebagai bagian dari ekosistem TI yang mempengaruhi pelaporan keuangan. Artinya, kontrol TI umum (misalnya akses, perubahan, operasi) dan kontrol aplikasi (validasi, rekonsiliasi) tetap relevan, tetapi perlu diperluas untuk mencakup karakteristik AI seperti ketergantungan pada data pelatihan, model drift, dan risiko keluaran yang tidak konsisten.

Peta Risiko: AI + IFRS + Siber

Agar audit cyber control efektif, mulai dari peta risiko yang jelas. Berikut kategori risiko yang paling sering muncul saat AI dipakai di proses pelaporan IFRS:

  • Risiko integritas data: data transaksi berubah, hilang, atau terkontaminasi sebelum masuk pipeline AI; risiko manipulasi data sumber.
  • Risiko akses dan otorisasi: akun layanan AI, API key, atau konektor ke ERP/GL disalahgunakan; akses berlebihan pada dataset sensitif.
  • Risiko perubahan (change risk): model di-update tanpa uji, prompt atau aturan pasca-proses berubah, sehingga hasil berbeda dan sulit ditelusuri.
  • Risiko kerahasiaan: data keuangan atau PII terkirim ke layanan AI eksternal tanpa kontrol; kebocoran melalui log, cache, atau integrasi pihak ketiga.
  • Risiko ketersediaan: ketergantungan pada layanan AI membuat proses penutupan buku rentan downtime.
  • Risiko kualitas output: halusinasi teks disclosure, klasifikasi akun yang salah, atau rekomendasi jurnal yang tidak sesuai kebijakan.

Pemetaan risiko ini membantu menentukan ruang lingkup audit: kontrol mana yang wajib (must-have) untuk mendukung keandalan pelaporan IFRS, dan kontrol mana yang “nice-to-have” untuk meningkatkan kematangan.

Prinsip Desain Kontrol agar “Audit-Ready”

Audit menyukai kontrol yang jelas, konsisten, dan bisa dibuktikan. Untuk AI dalam pelaporan keuangan, gunakan prinsip berikut:

  • Traceability end-to-end: dari sumber data → transformasi → pemrosesan AI → post-processing → output final yang dipakai dalam laporan IFRS.
  • Separation of duties: pemilik proses bisnis, pemilik data, tim model, dan tim operasi tidak memegang hak istimewa yang saling tumpang tindih.
  • Least privilege: akses minimal untuk AI service account, konektor, dan pengguna.
  • Change control: perubahan model, prompt, parameter, atau pipeline harus terdokumentasi, diuji, dan disetujui.
  • Evidence by design: kontrol harus menghasilkan artefak bukti secara otomatis (log, approval ticket, hasil uji) untuk memudahkan audit.

Kontrol Siber Kunci untuk AI yang Mempengaruhi Pelaporan IFRS

1) Kontrol Identitas & Akses (IAM)

Area paling kritis adalah siapa yang bisa mengubah pipeline AI dan siapa yang bisa mengakses data pelaporan. Kontrol yang lazim diuji auditor:

  • MFA untuk akses administratif, termasuk akses ke cloud console, repositori model, dan alat orkestrasi data.
  • Role-based access control untuk memisahkan peran: developer, operator, reviewer akuntansi, dan auditor internal.
  • Service account governance: daftar akun layanan, pemilik, tujuan, rotasi secret, dan larangan penggunaan kredensial bersama.
  • Periodic access review: peninjauan akses berkala dengan bukti persetujuan dan tindak lanjut pencabutan akses.

2) Kontrol Data: Klasifikasi, DLP, dan Enkripsi

Untuk IFRS, data sumber (GL, subledger, data konsolidasi) sering kali material. Kontrol defensif yang penting:

  • Klasifikasi data (misalnya: publik, internal, rahasia, sangat rahasia) dan pemetaan dataset yang masuk ke AI.
  • Enkripsi saat transit dan saat tersimpan, termasuk object storage, database, dan backup.
  • DLP untuk mencegah pengiriman data sensitif ke lokasi yang tidak diizinkan, terutama jika memakai AI pihak ketiga.
  • Data minimization: hanya atribut yang diperlukan yang dipakai AI; hapus atau masking PII jika tidak relevan.

3) Kontrol Perubahan untuk Model, Prompt, dan Pipeline

Dalam sistem AI, “perubahan kecil” bisa berdampak besar pada output. Auditor biasanya mencari:

  • Versioning untuk model, prompt template, aturan post-processing, dan dataset referensi.
  • Approval workflow: siapa yang menyetujui perubahan, kapan, dan atas dasar uji apa.
  • Testing sebelum produksi: uji regresi pada sampel transaksi dan skenario IFRS yang relevan.
  • Rollback plan jika perubahan menurunkan kualitas atau memunculkan anomali.

Catatan penting: prompt dan konfigurasi yang memengaruhi hasil harus diperlakukan sebagai “configuration item” yang diaudit, bukan sekadar catatan informal.

4) Logging, Monitoring, dan Audit Trail

Audit trail adalah jembatan antara kontrol dan bukti. Untuk AI yang terlibat dalam proses keuangan, pastikan:

  • Log akses (siapa mengakses apa) dan log perubahan (siapa mengubah apa) tersimpan aman dan tidak mudah dimanipulasi.
  • Correlation antar log: dari ERP/ETL, platform AI, hingga aplikasi pelaporan.
  • Retention log sesuai kebutuhan audit dan regulasi internal.
  • Alerting untuk aktivitas berisiko: unduhan massal, penggunaan API key abnormal, perubahan model di luar jadwal.

5) Kontrol Vendor & Pihak Ketiga (Jika Menggunakan AI Eksternal)

Bila AI menggunakan layanan eksternal (cloud AI, model hosting, atau SaaS), audit biasanya memperluas pertanyaan ke:

  • Kontrak dan SLA untuk ketersediaan selama periode penutupan buku (close period).
  • Lokasi pemrosesan data dan batasan penggunaan data oleh penyedia.
  • Penilaian keamanan vendor: laporan assurance, penilaian risiko, dan rencana perbaikan.
  • Kontrol integrasi: konektor, token, API gateway, dan pembatasan akses jaringan.

Bagaimana Auditor Menilai AI dalam Konteks Kontrol Pelaporan

Dalam praktik, auditor akan menguji desain dan efektivitas kontrol. Beberapa pendekatan yang sering dipakai:

  • Walkthrough proses: menelusuri satu siklus dari data sumber hingga output yang dipakai pada laporan IFRS.
  • Uji kontrol akses: sampling user dan role, memeriksa bukti review akses, dan memvalidasi pemisahan tugas.
  • Uji perubahan: mengambil sampel perubahan model/prompt/pipeline dan memastikan ada tiket, persetujuan, hasil uji, dan implementasi sesuai prosedur.
  • Reperform/rekalkulasi: memverifikasi output AI terhadap aturan yang disepakati, terutama untuk klasifikasi dan ringkasan yang mempengaruhi angka.
  • Evaluasi kualitas data: memastikan kontrol validasi data (kelengkapan, duplikasi, outlier) berjalan dan terdokumentasi.

Organisasi akan lebih siap bila sudah memiliki inventaris use case AI yang jelas: use case mana yang “informational”, mana yang “decision-support”, dan mana yang benar-benar mempengaruhi angka atau disclosure IFRS.

Checklist Praktis Menyiapkan Cyber Control Audit untuk AI

Berikut checklist yang bisa dipakai sebagai titik awal untuk menilai kesiapan audit:

  • Inventaris AI: daftar sistem, model, layanan, integrasi, dan pemilik (business owner, data owner, model owner).
  • Data lineage: diagram alir data dari sumber ke output, termasuk transformasi dan kontrol validasi.
  • Kebijakan penggunaan AI: klasifikasi data yang boleh/tidak boleh, aturan penggunaan AI generatif untuk disclosure, dan proses persetujuan.
  • Kontrol IAM: RBAC, MFA, review akses berkala, dan manajemen kredensial.
  • Change management: versioning, uji regresi, approval, dan rollback.
  • Monitoring: SIEM/monitoring, alerting, dan prosedur respons insiden khusus pipeline AI.
  • Validasi output: aturan rekonsiliasi dan review manusia untuk area material.
  • Dokumentasi bukti: lokasi penyimpanan bukti audit, retensi, dan format yang konsisten.

Menjaga Keseimbangan: Kontrol Kuat Tanpa Memperlambat Close

Masalah umum adalah kontrol yang terlalu berat membuat proses penutupan buku melambat. Strategi yang biasanya efektif:

  • Automasi bukti: integrasikan workflow persetujuan, versioning, dan hasil uji agar bukti audit terkumpul otomatis.
  • Tiering use case: kontrol paling ketat untuk use case yang mempengaruhi angka material; kontrol lebih ringan untuk use case non-material.
  • Human-in-the-loop terarah: review manusia difokuskan pada exception dan area material, bukan semua output.
  • Standarisasi template: standar prompt, standar post-processing, dan standar laporan uji untuk mengurangi variasi.

Intinya, audit bukan penghambat inovasi jika desain kontrol dilakukan sejak awal dan bukti diproduksi secara sistematis.

FAQ: AI IFRS Cyber Control Audit

Apa yang paling dicari auditor ketika AI digunakan untuk pelaporan IFRS?

Auditor biasanya fokus pada keandalan data, audit trail, kontrol akses, dan kontrol perubahan (model/prompt/pipeline). Mereka ingin memastikan output yang mempengaruhi angka atau disclosure dapat ditelusuri ke sumber dan melalui proses yang terkontrol.

Apakah penggunaan AI generatif untuk disclosure IFRS otomatis tidak boleh?

Tidak selalu. Namun, risikonya lebih tinggi karena potensi halusinasi atau wording yang tidak konsisten. Praktik defensif yang umum adalah membatasi AI generatif sebagai drafting assistance, mewajibkan review akuntansi dan legal, serta menyimpan bukti versi, sumber, dan persetujuan.

Kontrol apa yang paling cepat meningkatkan kesiapan audit?

Tiga kontrol yang sering memberi dampak besar: RBAC + MFA untuk akses kritis, change management dengan versioning dan approval, serta logging terpusat yang menghasilkan audit trail end-to-end.

Bagaimana menangani risiko data sensitif terkirim ke layanan AI eksternal?

Gunakan klasifikasi data dan kebijakan data yang jelas, aktifkan DLP, terapkan masking/minimization, serta pastikan kontrak vendor mencakup batasan pemrosesan dan retensi data. Secara teknis, batasi konektivitas melalui gateway terkontrol dan gunakan enkripsi serta manajemen secret yang baik.

Seberapa sering model atau prompt perlu ditinjau dari sisi kontrol?

Minimal saat ada perubahan material pada data, proses, atau kebijakan akuntansi, dan secara berkala sesuai siklus pelaporan (misalnya per kuartal). Untuk area berisiko tinggi, tetapkan metrik monitoring (drift, akurasi, tingkat exception) dan lakukan review lebih sering bila indikator melewati ambang batas.

Kesimpulan: “AI IFRS cyber control audit” pada dasarnya adalah upaya menyatukan tata kelola AI, kontrol siber, dan kebutuhan audit pelaporan keuangan. Dengan inventaris use case, kontrol akses yang ketat, change management yang disiplin, serta audit trail yang kuat, organisasi dapat memanfaatkan AI untuk efisiensi tanpa mengorbankan integritas laporan IFRS.

ai governanceauditComplianceCybersecurityData ProtectionGRCIFRSinternal controlModel Risk ManagementRisk Management
By