Mengapa “AI IAS 38 data defense” Jadi Topik Penting?

Di banyak organisasi, data dan model AI sudah menjadi sumber keunggulan kompetitif: meningkatkan akurasi keputusan, mengoptimalkan operasi, dan membuka produk baru. Namun, semakin tinggi nilai strategisnya, semakin tinggi pula risikonya. Kebocoran data, manipulasi dataset pelatihan, atau hilangnya akses ke data dapat berdampak langsung pada pendapatan, reputasi, dan kepatuhan.

Di sisi lain, tim keuangan dan audit makin sering bertanya: apakah data, dataset berlabel, atau model AI dapat diperlakukan sebagai aset tak berwujud sesuai IAS 38? Jawabannya tidak sesederhana “ya” atau “tidak”, karena IAS 38 menekankan bukti identifiability, control, dan future economic benefits. Di sinilah konsep data defense menjadi relevan: keamanan dan tata kelola bukan hanya urusan IT, melainkan juga fondasi untuk menunjukkan kontrol dan menjaga manfaat ekonomis di masa depan.

Artikel ini membahas cara menyelaraskan strategi AI, pertimbangan IAS 38, dan praktik data defense secara defensif dan operasional.

Ringkasan IAS 38: Apa yang Dikejar Standar Ini?

IAS 38 mengatur perlakuan akuntansi untuk intangible assets (aset tak berwujud), yaitu aset non-moneter tanpa bentuk fisik yang dapat diidentifikasi. Dalam konteks data dan AI, ada tiga gagasan utama yang sering menjadi titik evaluasi:

  • Dapat diidentifikasi: aset dapat dipisahkan dan dijual/ditransfer, atau timbul dari hak kontraktual/legal.
  • Kontrol: entitas memiliki kemampuan untuk memperoleh manfaat dan membatasi akses pihak lain.
  • Manfaat ekonomis masa depan: aset berkontribusi pada arus kas masuk, efisiensi biaya, atau nilai ekonomis lain yang dapat dipertanggungjawabkan.

Walau IAS 38 adalah ranah akuntansi, praktik cybersecurity dan data governance membantu menyediakan bukti “kontrol” dan menjaga manfaat ekonomis melalui perlindungan terhadap kehilangan, penyalahgunaan, dan penurunan kualitas data.

Data dan Model AI sebagai Aset: Di Mana Tantangannya?

Secara praktis, data dan model AI menghadapi tantangan yang berbeda dibanding aset tak berwujud tradisional seperti paten atau software:

  • Asal-usul data beragam: data dapat berasal dari pelanggan, mitra, sensor, transaksi internal, atau pihak ketiga dengan lisensi yang kompleks.
  • Ketergantungan pada kualitas dan integritas: data yang bias, rusak, atau terkontaminasi membuat model AI menurun performanya, sehingga manfaat ekonomis ikut turun.
  • Risiko regulasi dan privasi: pembatasan penggunaan data (misalnya persetujuan, purpose limitation, retensi) dapat memengaruhi “kontrol” dan kemampuan monetisasi.
  • Model AI rentan perubahan: model membutuhkan pembaruan, pemantauan drift, dan pipeline yang aman agar tetap bernilai.

Karena itu, data defense untuk AI bukan hanya “memasang firewall”, tetapi membangun sistem bukti bahwa organisasi mengendalikan, melindungi, dan mengelola aset data secara konsisten.

Apa Itu Data Defense dalam Konteks AI?

Data defense adalah pendekatan defensif untuk melindungi data sepanjang siklus hidupnya—pengumpulan, penyimpanan, pemrosesan, berbagi, hingga penghapusan—dengan kontrol keamanan, tata kelola, dan pemantauan risiko. Pada sistem AI, data defense mencakup juga perlindungan dataset pelatihan, fitur, label, prompt, serta artefak model.

Tujuannya dua: mengurangi risiko (kebocoran, manipulasi, downtime) dan memperkuat kontrol (akses, hak penggunaan, jejak audit) sehingga aset data dan AI lebih terjaga nilainya dan lebih mudah dipertanggungjawabkan.

Pilar Data Defense yang Selaras dengan Prinsip IAS 38

1) Identifiability: inventarisasi dan klasifikasi aset data/AI

Untuk menunjukkan aset dapat diidentifikasi, organisasi perlu tahu apa yang dimiliki. Praktik defensif yang relevan:

  • Data inventory: daftar dataset penting, sumber, pemilik, tujuan penggunaan, dan lokasi penyimpanan.
  • Data classification: penandaan tingkat sensitivitas (misalnya publik, internal, rahasia, sangat rahasia).
  • Model registry: pencatatan versi model, dataset yang digunakan, dependensi, metrik, dan approval.

Inventaris ini membantu mengaitkan “aset” dengan bukti operasional: siapa pemiliknya, bagaimana digunakan, dan bagaimana dikendalikan.

2) Control: pembatasan akses, hak, dan penggunaan

“Kontrol” dalam IAS 38 erat dengan kemampuan membatasi akses pihak lain. Dalam data defense, kontrol diwujudkan melalui:

  • Identity and access management: akses berbasis peran, prinsip least privilege, dan tinjauan akses berkala.
  • Segregation of duties: pemisahan wewenang antara pembuat data pipeline, reviewer, dan approver.
  • Kontrak dan lisensi: dokumentasi hak penggunaan data pihak ketiga, batasan pemrosesan, dan ketentuan retensi.
  • Data loss prevention: kebijakan dan kontrol untuk mencegah data sensitif keluar tanpa otorisasi.

Kontrol ini bukan sekadar teknis; ia menghasilkan audit trail yang menunjukkan organisasi benar-benar mengendalikan akses dan pemanfaatan.

3) Future economic benefits: menjaga kualitas, ketersediaan, dan keandalan

Nilai data dan AI bergantung pada manfaat ekonomi di masa depan. Data defense membantu memastikan manfaat itu tidak “tergerus” oleh insiden atau degradasi kualitas:

  • Data quality controls: validasi, deduplikasi, dan pengujian konsistensi untuk menjaga dataset tetap dapat diandalkan.
  • Backup dan disaster recovery: strategi pemulihan untuk dataset dan artefak model agar bisnis tidak kehilangan kemampuan operasional.
  • Monitoring dan alerting: pemantauan anomali akses data dan indikator risiko yang dapat berdampak pada layanan AI.
  • Model monitoring: pemantauan performa dan drift agar output tetap relevan dan tidak menimbulkan kerugian bisnis.

Jika insiden menurunkan performa model atau menghentikan layanan, dampaknya dapat menyerupai penurunan nilai secara ekonomi. Karena itu, data defense menjadi bagian penting dari menjaga “future economic benefits”.

Kontrol Keamanan Kunci untuk AI dan Data (Praktik Defensif)

Berikut kontrol yang umum dipakai organisasi untuk memperkuat data defense tanpa masuk ke detail penyalahgunaan:

  • Enkripsi at-rest dan in-transit: melindungi data saat tersimpan dan saat ditransmisikan antar sistem.
  • Tokenisasi atau masking: mengurangi eksposur data sensitif pada lingkungan non-produksi atau analitik.
  • Logging terpusat: catatan akses data dan perubahan konfigurasi, lengkap dengan retensi log yang memadai.
  • Kontrol perubahan (change management): setiap perubahan pipeline data, fitur, atau model melewati review dan persetujuan.
  • Isolasi lingkungan: memisahkan dev/test/prod serta membatasi pergerakan data antar lingkungan.
  • Secure SDLC untuk AI: pemeriksaan dependensi, kerentanan, dan kebijakan penggunaan komponen pihak ketiga.
  • Vendor risk management: penilaian risiko penyedia cloud, data provider, dan tool AI, termasuk klausul keamanan.

Kontrol-kontrol tersebut memperkuat bukti bahwa organisasi memiliki pengamanan memadai untuk mempertahankan nilai aset data dan AI.

Dokumentasi yang Membantu: Jembatan antara Tim Cyber dan Tim Keuangan

Salah satu hambatan terbesar dalam “AI IAS 38 data defense” adalah bahasa yang berbeda antara tim keamanan dan tim akuntansi. Agar selaras, siapkan dokumentasi yang dapat dipakai lintas fungsi:

  • Data lineage: dari sumber hingga konsumsi (model, dashboard, produk), termasuk titik transformasi penting.
  • Data ownership dan stewardship: siapa penanggung jawab kualitas, akses, dan kepatuhan.
  • Risk register: risiko keamanan/privasi yang berdampak pada data dan model, plus mitigasi dan statusnya.
  • Evidence pack: bukti kontrol (kebijakan akses, hasil review akses, laporan audit, baseline konfigurasi).
  • Incident postmortem: jika pernah terjadi insiden, sertakan akar masalah, perbaikan, dan pencegahan berulang.

Dokumentasi ini tidak hanya mendukung kepatuhan dan audit, tetapi juga menegaskan aspek “kontrol” dan “keandalan manfaat” yang relevan saat berdiskusi tentang perlakuan aset tak berwujud.

Risiko Utama yang Mengancam Nilai Aset Data dan AI

Agar strategi data defense tepat sasaran, pahami risiko yang paling sering memengaruhi nilai ekonomis aset data:

  • Kebocoran data: menimbulkan biaya respons, potensi sanksi, dan hilangnya kepercayaan pelanggan.
  • Downtime dan kehilangan data: mengganggu operasi dan menurunkan kemampuan model menghasilkan nilai.
  • Korupsi data dan kualitas buruk: keputusan bisnis menjadi salah, performa AI menurun, biaya koreksi meningkat.
  • Ketidakjelasan hak penggunaan: data tidak dapat digunakan untuk tujuan tertentu, sehingga manfaat ekonomis dibatasi.
  • Risiko privasi: pembatasan retensi atau kewajiban penghapusan dapat memengaruhi strategi pelatihan AI.

Mitigasi risiko ini membutuhkan kolaborasi: keamanan, legal, privacy, data engineering, dan finance.

Langkah Implementasi: Membangun Program AI Data Defense yang Terukur

Berikut urutan langkah yang umum diterapkan organisasi untuk meningkatkan postur defensif sekaligus memperjelas kontrol atas aset:

  • Petakan aset kritikal: identifikasi dataset dan model yang paling berdampak pada pendapatan/operasi.
  • Tetapkan kebijakan akses dan klasifikasi: buat standar minimum untuk data sensitif dan artefak model.
  • Bangun baseline kontrol: enkripsi, logging, backup, dan proses review akses sebagai fondasi.
  • Perkuat governance: bentuk forum lintas fungsi untuk persetujuan penggunaan data, retensi, dan risiko.
  • Ukur dan audit: metrik seperti cakupan enkripsi, kepatuhan review akses, RPO/RTO, dan temuan audit.
  • Siapkan respons insiden: prosedur defensif untuk meminimalkan dampak pada data dan layanan AI.

Hasil akhirnya adalah program yang tidak hanya “aman”, tetapi juga dapat dibuktikan—penting untuk audit dan pembahasan nilai aset.

FAQ: AI, IAS 38, dan Data Defense

1) Apakah data bisa diakui sebagai aset tak berwujud menurut IAS 38?

Secara konsep, IAS 38 mensyaratkan aset tak berwujud harus dapat diidentifikasi, berada dalam kontrol entitas, dan menghasilkan manfaat ekonomis di masa depan. Apakah data memenuhi kriteria tersebut sangat bergantung pada konteks: sumber data, hak legal/kontraktual, kemampuan membatasi akses, serta bukti manfaat ekonomis. Karena itu, data defense dan dokumentasi governance membantu memperkuat bukti kontrol dan penggunaan yang sah.

2) Apa hubungan kontrol keamanan dengan “control” dalam IAS 38?

“Control” dalam IAS 38 bukan hanya akses teknis, tetapi kemampuan entitas untuk memperoleh manfaat dan mencegah pihak lain mengambil manfaat tersebut. Kontrol keamanan seperti manajemen identitas, pembatasan akses, logging, dan pengendalian berbagi data membantu menunjukkan organisasi benar-benar mengendalikan aset data dan model AI secara operasional.

3) Mengapa kualitas data termasuk bagian dari data defense?

Kualitas data memengaruhi manfaat ekonomis masa depan: model AI yang dilatih dari data buruk dapat menghasilkan keputusan yang merugikan, biaya perbaikan tinggi, dan turunnya kepercayaan pengguna. Data defense yang baik mencakup kontrol kualitas, integritas, dan lineage agar data tetap dapat diandalkan untuk tujuan bisnis.

4) Kontrol apa yang paling cepat meningkatkan perlindungan aset data untuk AI?

Biasanya yang paling cepat berdampak adalah kombinasi enkripsi, pembatasan akses berbasis peran, logging terpusat, dan backup teruji. Setelah baseline ini stabil, organisasi dapat memperdalam governance seperti review akses berkala, kontrol perubahan pipeline, dan monitoring performa model.

5) Bagaimana cara menyelaraskan tim cyber, data, dan finance tanpa memperlambat inovasi AI?

Kuncinya adalah standar yang jelas dan bukti yang dapat dipakai ulang: inventaris aset, model registry, kebijakan klasifikasi, serta template penilaian risiko dan persetujuan penggunaan data. Dengan begitu, proyek AI tetap cepat, sementara kontrol dan dokumentasi yang dibutuhkan untuk audit, risiko, dan pembahasan IAS 38 tetap terpenuhi.

Penutup

Keyword AI IAS 38 data defense menggambarkan realitas baru: nilai bisnis dari data dan AI harus diimbangi dengan kontrol yang kuat. IAS 38 menuntut bukti identifiability, control, dan manfaat ekonomis masa depan, sementara data defense menyediakan mekanisme praktis untuk melindungi aset, menjaga kualitas, dan membangun jejak audit. Dengan menggabungkan governance, keamanan, dan dokumentasi lintas fungsi, organisasi dapat mengurangi risiko siber sekaligus memperkuat posisi saat menilai dan mengelola aset tak berwujud berbasis data.

AICybersecuritydata defenseData GovernanceGRCIAS 38intangible assetsmodel securityprivacyRisk Management
By