AI makin sering dipakai tim finance, audit, dan compliance untuk membantu kepatuhan IAS 24 (pengungkapan pihak berelasi). Alasannya jelas: identifikasi pihak berelasi dan transaksi terkait biasanya melibatkan data yang tersebar (ERP, HR, procurement, CRM), definisi hubungan yang kompleks, serta kebutuhan jejak audit yang rapi. AI—termasuk machine learning dan NLP—dapat membantu menghubungkan entitas, mendeteksi pola, dan menyarankan daftar transaksi yang perlu ditinjau.

Namun, ada sisi yang sering diremehkan: data IAS 24 sangat sensitif. Ia bisa memuat hubungan kepemilikan, kompensasi manajemen kunci, struktur grup, hingga rincian transaksi yang berdampak reputasi. Karena itu, penerapan AI untuk IAS 24 harus disertai cyber controls yang kuat agar hasilnya dapat dipercaya, aman, dan dapat diaudit.

Artikel ini membahas kontrol keamanan siber dan tata kelola yang relevan saat Anda mengadopsi AI untuk proses IAS 24—tanpa membahas teknik penyalahgunaan, melainkan fokus defensif dan praktik terbaik.

Memahami Risiko: Mengapa AI untuk IAS 24 Perlu Cyber Controls Khusus?

IAS 24 mengharuskan entitas mengungkap hubungan dan transaksi dengan pihak berelasi secara tepat. Ketika AI dilibatkan, permukaan risiko melebar karena:

  • Konsolidasi data lintas sistem: Integrasi ERP, HRIS, sistem vendor, dan data kepemilikan meningkatkan risiko kebocoran saat ETL, sinkronisasi, atau akses API.
  • Data sangat sensitif: Relasi keluarga, beneficial ownership, remunerasi manajemen kunci, dan detail transaksi bisa masuk kategori data pribadi atau rahasia perusahaan.
  • Risiko kesalahan model: False positive/false negative dapat memicu pengungkapan yang salah, atau melewatkan transaksi yang seharusnya diungkapkan.
  • Risiko supply chain AI: Ketergantungan pada vendor (platform AI, LLM, integrator) memunculkan risiko pihak ketiga.
  • Jejak audit: Auditor akan menanyakan dasar kesimpulan. AI yang “black box” tanpa logging dan kontrol perubahan menyulitkan pembuktian.

Cyber controls di sini bukan sekadar antivirus. Yang dibutuhkan adalah kombinasi kontrol identitas, data, model, proses, dan pihak ketiga agar sistem end-to-end aman dan dapat dipertanggungjawabkan.

Arsitektur Aman: Di Mana AI Ditempatkan dalam Proses IAS 24?

Sebelum memilih kontrol, pahami alur tipikal penggunaan AI untuk IAS 24:

  • Ingest data dari ERP/GL, AP/AR, master vendor, HR, direktori perusahaan, dan data struktur grup.
  • Normalisasi & resolusi entitas (entity resolution): menyamakan nama vendor dengan nama pihak berelasi, mendeteksi variasi ejaan, alamat, NPWP, rekening.
  • Klasifikasi relasi: menilai apakah suatu entitas memenuhi kriteria pihak berelasi.
  • Deteksi transaksi: menandai transaksi yang berpotensi perlu pengungkapan.
  • Human review: tim finance/compliance meninjau rekomendasi, menambah konteks, dan menyetujui daftar final.
  • Pelaporan & audit evidence: menyimpan bukti, alasan keputusan, dan output pengungkapan.

Setiap tahap perlu kontrol spesifik, terutama pada data sensitif dan keputusan yang berdampak pada laporan keuangan.

Cyber Controls Utama untuk AI IAS 24

1) Kontrol Identitas & Akses (IAM) yang Granular

Karena data IAS 24 sensitif, prinsip least privilege wajib diterapkan. Praktik yang disarankan:

  • Role-based access control (RBAC) untuk membedakan akses finance, compliance, auditor internal, admin sistem, dan data engineer.
  • Segregation of duties: pihak yang mengelola pipeline data tidak otomatis bisa mengubah aturan keputusan/pelabelan.
  • Multi-factor authentication untuk akun privileged dan akses jarak jauh.
  • Just-in-time access untuk akses administratif (mis. hanya saat maintenance).
  • Audit log IAM: siapa mengakses dataset apa, kapan, dari mana, dan tindakan apa yang dilakukan.

Tujuannya mencegah akses tidak sah sekaligus memudahkan pembuktian saat audit.

2) Klasifikasi Data, Minimasi, dan Masking

AI sering “lapar data”, tetapi kepatuhan dan keamanan menuntut data minimization. Kontrol yang penting:

  • Data classification: tandai field seperti identitas personal, remunerasi, rekening, alamat, kepemilikan sebagai sensitif.
  • Masking/pseudonymization pada field tertentu selama training atau eksplorasi (mis. ganti nama individu dengan ID).
  • Tokenisasi untuk identifier yang tidak perlu ditampilkan ke pengguna bisnis.
  • Retention policy: batasi lama penyimpanan dataset kerja dan cache model; hapus aman (secure deletion) sesuai kebijakan.

Dengan ini, kebocoran data menjadi lebih kecil dampaknya, dan ruang lingkup insiden lebih mudah dikelola.

3) Enkripsi End-to-End dan Manajemen Kunci

Enkripsi wajib mencakup data in transit dan data at rest:

  • TLS untuk koneksi API/ETL antar sistem.
  • Encryption at rest untuk database, data lake, object storage, dan backup.
  • Key management terpusat: rotasi kunci, pemisahan per lingkungan (dev/test/prod), dan pembatasan akses ke KMS.
  • Secrets management: hindari menyimpan credential di kode atau file konfigurasi terbuka.

Enkripsi bukan hanya soal kepatuhan, tetapi juga menurunkan risiko eksfiltrasi data jika terjadi akses tidak sah pada storage.

4) Logging, Audit Trail, dan Evidence yang Siap Audit

IAS 24 menuntut ketertelusuran. Saat AI memberikan rekomendasi, perusahaan perlu dapat menjelaskan prosesnya. Kontrol yang disarankan:

  • Log pipeline: sumber data, waktu ekstraksi, versi skema, dan hasil validasi.
  • Model lineage: versi model, parameter, dataset training, dan tanggal rilis.
  • Decision log: mengapa suatu transaksi ditandai (fitur/aturan apa), siapa yang menyetujui/menolak, dan catatan justifikasi.
  • Immutable logs (mis. WORM atau kontrol integritas) untuk mencegah manipulasi bukti.

Audit trail yang baik memperkuat kepercayaan auditor dan mengurangi waktu klarifikasi saat closing.

5) Kontrol Perubahan (Change Management) untuk Model dan Aturan

AI yang “berubah sendiri” tanpa kontrol adalah risiko. Terapkan:

  • Model governance: persetujuan sebelum model baru dipakai di produksi.
  • Testing & validation: uji akurasi, bias, dan dampak terhadap false positive/negative.
  • Canary release atau penerapan bertahap untuk mengurangi risiko perubahan drastis.
  • Dokumentasi: perubahan definisi pihak berelasi, threshold, atau mapping harus terdokumentasi dan dapat ditelusuri.

Kontrol perubahan membantu memastikan konsistensi pengungkapan dari periode ke periode.

6) Keamanan Prompt/Output untuk LLM (Jika Menggunakan GenAI)

Jika Anda memakai LLM untuk merangkum transaksi atau menulis draft disclosure, fokus pada keamanan berikut:

  • Batasi data yang dikirim ke layanan pihak ketiga; prioritaskan deployment private/enterprise bila memungkinkan.
  • Kontrol konteks: hanya berikan potongan data yang diperlukan untuk tugas tertentu.
  • Output filtering: cegah LLM mengeluarkan data pribadi yang tidak relevan atau melebihi kebutuhan pengungkapan.
  • Human-in-the-loop: semua narasi pengungkapan tetap harus ditinjau manusia sebelum dipublikasikan.

Tujuannya bukan melarang GenAI, melainkan memastikan penggunaan yang aman dan sesuai tujuan pelaporan.

7) Kontrol Integritas Data dan Kualitas (Data Quality Controls)

Kesalahan data dapat berubah menjadi risiko kepatuhan. AI juga bisa memperbesar dampak jika dilatih dengan data salah. Terapkan:

  • Validasi skema: deteksi perubahan field dari sumber (mis. perubahan format ID vendor).
  • Rekonsiliasi: pastikan total transaksi yang dianalisis konsisten dengan GL/ledger.
  • Duplicate detection: cegah entitas ganda yang memecah jejak transaksi.
  • Quality metrics: completeness, timeliness, consistency, dan alert saat terjadi anomali.

Data quality adalah bagian dari cyber controls karena berkaitan langsung dengan integritas dan keandalan sistem.

8) Kontrol Pihak Ketiga dan Kontrak (Vendor & Supply Chain)

Banyak implementasi AI melibatkan vendor. Pastikan ada:

  • Due diligence: evaluasi keamanan vendor, sertifikasi, dan kontrol operasional.
  • Data processing agreement: batasan penggunaan data, lokasi pemrosesan, retensi, dan kewajiban notifikasi insiden.
  • Penilaian risiko untuk integrasi API dan konektor pihak ketiga.
  • Rencana exit: cara mengambil kembali data, model, dan log jika kontrak berakhir.

Kontrol vendor membantu mencegah kebocoran melalui rantai pasok dan memastikan akuntabilitas.

Langkah Implementasi Praktis: Checklist 30–60–90 Hari

Berikut pendekatan bertahap yang realistis untuk organisasi yang baru memulai AI IAS 24.

0–30 Hari: Fondasi Keamanan dan Ruang Lingkup

  • Petakan sumber data IAS 24 dan lakukan data classification.
  • Tetapkan peran (owner data, owner model, reviewer bisnis, admin) dan RBAC.
  • Aktifkan logging dasar untuk akses data dan perubahan konfigurasi.
  • Tentukan kebijakan retensi dataset kerja dan bukti audit.

31–60 Hari: Governance Model dan Audit Trail

  • Bangun model registry dan prosedur change management.
  • Terapkan decision log untuk hasil AI dan keputusan reviewer.
  • Implementasikan enkripsi menyeluruh dan manajemen secret yang benar.
  • Mulai uji kualitas data dan rekonsiliasi ke GL.

61–90 Hari: Hardening, Monitoring, dan Vendor Controls

  • Tambahkan alerting untuk anomali akses dan lonjakan ekstraksi data.
  • Lakukan review vendor risk dan perkuat klausul kontrak pemrosesan data.
  • Uji prosedur incident response khusus skenario kebocoran data IAS 24.
  • Evaluasi KPI: waktu closing, coverage transaksi, tingkat false positive, dan kepuasan auditor.

Metrik Keberhasilan: Aman, Akurat, dan Siap Audit

Agar AI IAS 24 tidak hanya “canggih” tetapi juga layak operasional, pantau metrik berikut:

  • Security: jumlah akses privileged, kepatuhan MFA, temuan audit log, dan insiden data exposure.
  • Data integrity: tingkat rekonsiliasi ke GL, error pipeline, dan anomali skema.
  • Model performance: precision/recall untuk deteksi transaksi pihak berelasi (diukur dari hasil review manusia).
  • Audit readiness: waktu yang dibutuhkan untuk menyediakan bukti (evidence) atas satu keputusan pengungkapan.

Metrik ini membantu menyeimbangkan kecepatan proses dengan kontrol risiko.

FAQ: AI IAS 24 dan Cyber Controls

1) Apakah AI boleh mengambil keputusan final untuk pengungkapan IAS 24?

Untuk praktik yang aman dan dapat diaudit, AI sebaiknya berperan sebagai alat bantu (rekomendasi dan pemeringkatan risiko). Keputusan final idealnya tetap melalui human review oleh finance/compliance, dengan decision log yang jelas.

2) Data apa yang paling berisiko saat membangun AI untuk IAS 24?

Umumnya yang paling sensitif adalah data kepemilikan/beneficial owner, identitas personal (termasuk hubungan keluarga), kompensasi manajemen kunci, dan detail transaksi bernilai besar. Data ini perlu klasifikasi, minimasi, dan kontrol akses ketat.

3) Jika menggunakan LLM, apakah aman mengirim data transaksi ke layanan cloud publik?

Tergantung kebijakan perusahaan dan perjanjian dengan penyedia. Praktik defensif yang umum adalah membatasi data yang dikirim, menggunakan mode enterprise dengan kontrol retensi dan isolasi, atau memilih opsi deployment privat. Apa pun pilihannya, tetap terapkan enkripsi, logging, dan persetujuan internal.

4) Cyber controls apa yang paling sering diminta auditor untuk proses berbasis AI?

Auditor biasanya fokus pada akses (RBAC/MFA), integritas data (rekonsiliasi dan kontrol perubahan), audit trail (lineage model dan decision log), serta bukti bahwa hasil AI ditinjau dan disetujui oleh pihak berwenang.

5) Bagaimana cara memulai jika organisasi belum punya program AI governance?

Mulai dari yang paling berdampak: tetapkan owner, ruang lingkup data, RBAC, enkripsi, dan logging. Lalu bangun model registry sederhana, prosedur change management, serta template decision log. Setelah itu, kembangkan pengujian model dan kontrol vendor secara bertahap.

Penutup

Penerapan AI untuk kepatuhan IAS 24 dapat mempercepat identifikasi pihak berelasi dan transaksi terkait, mengurangi pekerjaan manual, serta memperkuat konsistensi pengungkapan. Namun manfaat tersebut hanya akan bertahan jika Anda membangun cyber controls yang tepat: kontrol akses granular, minimasi dan perlindungan data, enkripsi, audit trail, change management, dan tata kelola vendor.

Dengan fondasi keamanan yang kuat, AI bukan hanya membantu efisiensi, tetapi juga meningkatkan keandalan dan ketahanan proses pelaporan terhadap risiko operasional dan risiko keamanan.

access managementai governanceaudit trailcyber controlsdata securityGRCIAS 24Model Risk Managementprivacyrelated party disclosure
By