Kenapa “AI ISA 700 cyber evidence” jadi topik penting sekarang

Audit laporan keuangan tidak berdiri sendiri dari realitas teknologi. Ketika proses bisnis, pencatatan, dan pelaporan keuangan semakin bergantung pada sistem digital (ERP, cloud, aplikasi pembayaran) dan bahkan otomatisasi berbasis AI, maka kualitas bukti audit juga ikut bergeser. Auditor tidak hanya menilai angka, tetapi juga menilai apakah angka itu berasal dari proses yang dapat dipercaya.

Di sinilah konsep cyber evidence (bukti digital terkait keamanan siber dan operasional TI) menjadi krusial. Kebocoran data, serangan ransomware, penyalahgunaan akun, atau perubahan konfigurasi tanpa otorisasi bisa memengaruhi integritas transaksi dan pelaporan. Pada akhirnya, auditor yang mengikuti ISA 700 tetap harus membentuk opini yang tepat, dan opini tersebut bergantung pada apakah bukti yang tersedia memadai, relevan, dan andal.

Ringkas tentang ISA 700: apa yang dinilai auditor

ISA 700 (Forming an Opinion and Reporting on Financial Statements) mengatur bagaimana auditor membentuk opini dan menyusun laporan audit atas laporan keuangan. Walau ISA 700 bukan standar “audit keamanan siber”, standar ini menekankan satu hal yang relevan untuk TI: auditor hanya dapat menyatakan opini jika memiliki dasar yang cukup dari bukti audit.

Dalam konteks organisasi modern, bukti audit mencakup:

  • bukti transaksi dan dokumentasi akuntansi;
  • bukti kontrol internal dan kepatuhan proses;
  • bukti yang berkaitan dengan sistem informasi yang menghasilkan dan memproses transaksi.

Karena banyak transaksi dihasilkan dan diproses oleh sistem digital, maka bukti terkait sistem (termasuk cyber evidence) dapat menjadi penguat atau justru “titik lemah” yang membuat auditor menilai risiko salah saji material meningkat.

Apa itu cyber evidence dalam konteks audit

Cyber evidence adalah bukti digital yang menunjukkan bagaimana sistem diakses, diubah, dan dioperasikan, serta bagaimana insiden ditangani. Dalam audit, cyber evidence biasanya dipakai untuk mendukung keyakinan bahwa:

  • hanya pihak berwenang yang dapat mengakses sistem dan melakukan perubahan;
  • transaksi tidak dimanipulasi atau diubah tanpa jejak;
  • kontrol berjalan konsisten sepanjang periode audit;
  • insiden siber (jika terjadi) ditangani dengan prosedur yang memadai dan terdokumentasi.

Contoh cyber evidence yang sering diminta atau berguna untuk audit:

  • Log autentikasi dan aktivitas dari IAM/SSO/MFA (siapa login, dari mana, kapan, gagal/berhasil);
  • Audit trail aplikasi (misalnya perubahan master data vendor, perubahan rekening bank pemasok, perubahan limit persetujuan);
  • Log cloud (CloudTrail/Activity Log) untuk perubahan konfigurasi dan akses resource;
  • Catatan change management: tiket perubahan, persetujuan, hasil uji, jadwal rilis;
  • Laporan kerentanan dan patching (kerentanan kritikal, SLA perbaikan, pengecualian yang disetujui);
  • Dokumentasi incident response: kronologi, dampak, sistem terdampak, pemulihan, komunikasi;
  • Backup & restore evidence: jadwal backup, hasil uji restore, integritas backup;
  • Endpoint/EDR alerts dan ringkasan investigasi untuk insiden yang material;
  • Data loss prevention atau bukti kontrol eksfiltrasi data (kebijakan, alert, tindak lanjut).

Peran AI: memperkuat bukti, tapi juga menambah risiko

AI masuk ke audit dan keamanan siber dalam dua arah. Pertama, organisasi menggunakan AI untuk operasional (misalnya otomatisasi rekonsiliasi, deteksi fraud internal, chatbot keuangan, atau klasifikasi invoice). Kedua, tim audit internal/keamanan menggunakan AI untuk menganalisis log, menilai anomali, dan menyusun ringkasan insiden.

Namun, agar cyber evidence tetap dapat diandalkan dalam kerangka audit, AI perlu dikelola dengan benar. AI dapat:

  • Mempercepat analisis jutaan baris log untuk menemukan pola anomali;
  • Meningkatkan konsistensi triase alert dan pengelompokan insiden;
  • Menghasilkan ringkasan kronologi insiden untuk kebutuhan manajemen dan auditor.

Di sisi lain, AI juga dapat menimbulkan pertanyaan audit:

  • Apakah output AI dapat dijelaskan dan ditelusuri ke data sumber?
  • Apakah ada risiko hallucination (ringkasan salah) atau bias yang mengubah interpretasi?
  • Apakah data yang dipakai melanggar privasi atau kebijakan data perusahaan?
  • Apakah model dan prompt disimpan sebagai bagian dari jejak audit (auditability)?

Kesimpulannya: AI sangat membantu, tetapi cyber evidence utama tetap harus bertumpu pada data sumber yang terjaga integritasnya (log asli, tiket perubahan, bukti persetujuan, konfigurasi), bukan hanya narasi yang dihasilkan AI.

Karakteristik cyber evidence yang “kuat” untuk kebutuhan audit

Agar bukti digital layak dipakai untuk mendukung keyakinan auditor, perhatikan empat karakteristik berikut.

1) Integritas: bukti tidak mudah dimanipulasi

Log dan audit trail harus terlindungi dari penghapusan/ubah oleh admin operasional. Praktik yang sering dipakai adalah sentralisasi log ke sistem terpisah (misalnya SIEM/log server) dengan kontrol akses ketat dan retensi yang memadai.

2) Kelengkapan: cakupan log sesuai risiko

Yang sering menjadi masalah bukan tidak ada log, melainkan log tidak mencakup sistem penting (ERP, database keuangan, aplikasi pembayaran) atau tidak mencatat event yang relevan (perubahan data kritikal, eskalasi hak akses, aktivitas admin).

3) Keterlacakan: ada jejak audit end-to-end

Auditor biasanya mencari keterhubungan antara bukti: dari permintaan perubahan, persetujuan, implementasi, hingga verifikasi. Untuk insiden, auditor akan menilai apakah kronologi dan dampaknya dapat ditelusuri ke artefak asli (alert EDR, firewall, log aplikasi, tiket IR).

4) Ketepatan waktu: bukti tersedia pada periode audit

Retensi log yang terlalu pendek berisiko menghilangkan bukti untuk periode yang diaudit. Selain itu, jam sistem (time synchronization) penting agar korelasi kejadian tidak rancu.

Bagaimana mengaitkan cyber evidence dengan kebutuhan audit ISA 700

ISA 700 berujung pada opini atas laporan keuangan, sehingga cyber evidence perlu dipetakan ke area yang memengaruhi risiko salah saji material. Pendekatan praktisnya:

  • Mulai dari proses bisnis signifikan (pendapatan, pembelian, persediaan, payroll, kas/bank).
  • Identifikasi aplikasi dan infrastruktur yang memproses transaksi tersebut (ERP, database, integrasi API, cloud storage).
  • Pilih kontrol TI kunci yang menjaga integritas data: akses, change management, operasi, backup, monitoring.
  • Tentukan bukti yang bisa menunjukkan kontrol berjalan konsisten sepanjang tahun.

Contoh pemetaan sederhana:

  • Risiko perubahan rekening bank vendor tanpa otorisasi → bukti: audit trail perubahan master vendor, log persetujuan, bukti MFA admin, tiket perubahan, laporan review periodik.
  • Risiko manipulasi jurnal atau posting transaksi → bukti: log aktivitas user, pemisahan tugas (SoD) di IAM, review akses istimewa, exception report.
  • Risiko downtime sistem memengaruhi cut-off transaksi → bukti: incident timeline, status page internal, log pemulihan, bukti rekonsiliasi pasca insiden.

Checklist defensif: menyiapkan cyber evidence yang siap diaudit

Berikut daftar tindakan defensif yang membantu organisasi menyiapkan bukti digital yang kredibel tanpa masuk ke ranah penyalahgunaan.

  • Tetapkan kebijakan log: event apa yang wajib dicatat, dari sistem mana, retensi, dan pemiliknya.
  • Sentralisasi dan lindungi log: akses berbasis peran, prinsip least privilege, dan pemisahan tugas antara admin sistem dan admin log.
  • Pastikan sinkronisasi waktu pada server, endpoint, dan perangkat jaringan untuk korelasi kejadian yang akurat.
  • Bangun jejak change management yang rapi: tiket, approval, hasil uji, rollback plan, dan bukti implementasi.
  • Review akses istimewa secara berkala: siapa yang memiliki hak admin, mengapa, dan kapan terakhir diverifikasi.
  • Uji backup dan restore secara rutin serta simpan bukti uji (tanggal, sistem, hasil).
  • Dokumentasikan incident response dengan format konsisten: deteksi, triase, containment, eradication, recovery, lessons learned.
  • Kelola AI dengan governance: data sumber, versi model, batasan penggunaan, proses validasi output, dan pencatatan perubahan.
  • Siapkan paket bukti periodik (misalnya per kuartal) agar tidak menumpuk saat audit tahunan.

AI governance untuk cyber evidence: apa yang perlu dicatat

Jika tim keamanan atau tim operasional menggunakan AI untuk menganalisis log atau menyusun ringkasan insiden, auditor dapat menanyakan “bagaimana kita tahu output ini benar?”. Untuk memperkuat posisi organisasi, siapkan praktik berikut:

  • Provenance data: data sumber apa yang dianalisis (misalnya SIEM dataset), periode waktu, dan cakupannya.
  • Versi dan konfigurasi: versi model, parameter utama, dan kapan berubah.
  • Human-in-the-loop: ringkasan AI diverifikasi oleh analis sebelum dijadikan laporan resmi.
  • Traceability: setiap klaim penting dalam ringkasan (misalnya “akun X melakukan perubahan Y”) dapat ditelusuri kembali ke log asli.
  • Kontrol akses: siapa yang boleh menjalankan analisis AI, mengunduh hasil, dan mengubah prompt/template.
  • Keamanan data: hindari memasukkan data sensitif ke layanan AI yang tidak disetujui; terapkan klasifikasi data dan kebijakan pemrosesan.

Dengan cara ini, AI menjadi alat bantu analitik, sementara bukti yang diaudit tetap bersandar pada artefak yang dapat diverifikasi.

Jebakan umum yang membuat cyber evidence “ditolak” atau dipertanyakan

  • Log tidak lengkap karena hanya sebagian sistem mengirim ke SIEM.
  • Retensi terlalu pendek sehingga periode audit tidak ter-cover.
  • Akun bersama (shared account) pada sistem kritikal, membuat atribusi aktivitas tidak jelas.
  • Hak admin berlebihan tanpa review berkala, meningkatkan risiko override kontrol.
  • Ringkasan insiden tanpa artefak: laporan ada, tetapi log pendukung tidak tersedia atau tidak dapat diekspor.
  • Ketergantungan pada output AI tanpa validasi dan tanpa bukti sumber.

FAQ: AI, ISA 700, dan cyber evidence

Apa ISA 700 mewajibkan audit keamanan siber?

Tidak secara langsung. ISA 700 fokus pada pembentukan opini dan pelaporan audit laporan keuangan. Namun, karena sistem TI memengaruhi transaksi dan pelaporan, risiko siber dapat memengaruhi penilaian risiko salah saji material dan kebutuhan bukti audit. Karena itu, cyber evidence sering menjadi relevan sebagai bagian dari bukti atas kontrol dan integritas data.

Apakah laporan insiden keamanan (incident report) termasuk bukti audit?

Bisa, terutama untuk menjelaskan kronologi dan dampak. Tetapi auditor biasanya akan menilai kekuatan laporan tersebut berdasarkan dukungan artefak: log asli, tiket penanganan, hasil analisis, bukti pemulihan, dan bukti kontrol pencegahan setelah kejadian. Laporan naratif saja biasanya belum cukup jika menyangkut dampak yang material.

Bolehkah menggunakan ringkasan AI sebagai cyber evidence?

Ringkasan AI lebih aman diposisikan sebagai dokumen pendukung, bukan bukti utama. Agar dapat dipercaya, ringkasan harus dapat ditelusuri ke log dan data sumber, serta melalui verifikasi manusia. Praktik terbaiknya: jadikan AI sebagai alat mempercepat analisis, sementara bukti audit tetap berupa log, audit trail, dan dokumen kontrol yang terjaga integritasnya.

Berapa lama retensi log yang ideal untuk kebutuhan audit?

Tidak ada satu angka yang cocok untuk semua organisasi karena bergantung pada regulasi, risiko, dan kebutuhan audit. Namun secara praktik, organisasi biasanya menargetkan retensi yang mencakup periode audit penuh dan buffer untuk investigasi (misalnya beberapa bulan tambahan). Yang terpenting: kebijakan retensi jelas, dijalankan konsisten, dan dapat dibuktikan.

Jika ada insiden siber mendekati akhir tahun, apa yang sebaiknya disiapkan untuk auditor?

Siapkan paket bukti yang terstruktur: timeline kejadian, sistem terdampak, hasil penilaian dampak terhadap data/transaksi, bukti containment dan recovery, hasil uji integritas (misalnya rekonsiliasi), serta rencana perbaikan kontrol. Tujuannya agar auditor dapat menilai apakah insiden memengaruhi kewajaran laporan keuangan dan apakah manajemen telah melakukan respons yang memadai.

Penutup: jadikan cyber evidence bagian dari kesiapan audit, bukan pekerjaan dadakan

Kata kunci “AI ISA 700 cyber evidence” menggambarkan realitas baru: audit laporan keuangan kini beririsan kuat dengan teknologi, keamanan siber, dan tata kelola AI. Organisasi yang menata logging, kontrol akses, change management, incident response, serta governance AI sejak awal akan lebih siap menyediakan bukti yang konsisten, lengkap, dan dapat ditelusuri.

Hasilnya bukan hanya audit yang lebih lancar, tetapi juga ketahanan operasional yang lebih baik: ketika insiden terjadi, perusahaan punya jejak bukti yang rapi untuk memulihkan layanan, mengukur dampak, dan menjaga kepercayaan pemangku kepentingan.

ai governanceaudit TIcyber evidencedata integritydigital forensicsGRCincident responseinternal controlISA 700log management
By