IFRS 18 membawa perubahan besar pada cara perusahaan menyajikan kinerja di laporan laba rugi (statement of profit or loss) dan mengungkapkan ukuran kinerja yang dipakai manajemen. Di saat yang sama, tim finance semakin mengandalkan AI untuk mempercepat closing, mengotomasi klasifikasi transaksi, menyiapkan analitik, dan membantu draft narasi pengungkapan.

Kombinasi “standar baru + otomatisasi AI” ini memberi nilai tambah, tetapi juga menambah surface area risiko: data sensitif mengalir ke model, keputusan akuntansi dipengaruhi output AI, dan jejak audit harus tetap jelas. Di sinilah cyber controls menjadi fondasi agar transformasi tidak mengorbankan keandalan pelaporan keuangan.

Apa itu IFRS 18 dan mengapa berdampak ke kontrol

Secara ringkas, IFRS 18 berfokus pada presentation and disclosure di laporan keuangan, termasuk struktur laporan laba rugi yang lebih konsisten, pengelompokan yang lebih jelas, serta penekanan pada transparansi ukuran kinerja yang digunakan manajemen (sering disebut ukuran yang ditentukan manajemen, atau management-defined performance measures).

Implikasinya terhadap kontrol muncul karena:

  • Lebih banyak judgment yang harus dijelaskan: klasifikasi pendapatan/biaya dan penyajian kategori tertentu menuntut dokumentasi yang rapi.
  • Pengungkapan makin granular: data lineage dan rekonsiliasi menjadi lebih penting, terutama saat memakai ukuran kinerja non-IFRS/MPM.
  • Audit trail harus kuat: auditor akan menilai konsistensi penyajian dan dukungan atas angka serta narasi.

Jika AI dipakai untuk mempercepat proses tersebut, maka kontrol harus memastikan AI tidak menurunkan integritas data, tidak memperlemah segregasi tugas, dan tidak menghilangkan jejak audit.

Di mana AI biasanya dipakai dalam konteks IFRS 18

AI dalam finance tidak selalu berarti model generatif. Banyak implementasi yang berupa machine learning, rules engine yang diperkaya AI, atau asisten yang membantu analisis. Beberapa titik penggunaan yang umum:

  • Klasifikasi transaksi (misalnya pemetaan akun, cost center, atau kategori penyajian) berbasis pola historis.
  • Anomali & outlier detection untuk menandai jurnal tidak biasa selama periode pelaporan.
  • Rekonsiliasi otomatis antar sub-ledger, bank statement, dan general ledger.
  • Penyusunan narasi pengungkapan dan ringkasan perubahan (dengan pengawasan manusia).
  • Analitik kinerja yang membantu menyiapkan ukuran kinerja manajemen, rekonsiliasi, dan penjelasan varians.

Setiap titik ini menyentuh data keuangan dan keputusan yang berpengaruh pada penyajian, sehingga cyber controls harus dirancang untuk melindungi kerahasiaan, integritas, dan ketersediaan, sekaligus memenuhi kebutuhan auditability.

Risiko utama: bukan hanya kebocoran, tapi juga integritas pelaporan

Dalam konteks “AI + IFRS 18”, ancaman tidak berhenti pada data leak. Risiko yang sering terlewat justru berada pada kualitas dan jejak perubahan:

  • Data poisoning pada dataset training atau referensi sehingga rekomendasi klasifikasi menjadi bias.
  • Prompt/data leakage saat pengguna memasukkan informasi sensitif ke alat AI yang tidak dikonfigurasi untuk lingkungan perusahaan.
  • Model drift yang mengubah perilaku rekomendasi dari waktu ke waktu tanpa disadari.
  • Override tidak terkontrol (misalnya user mengubah output AI tanpa dokumentasi alasan).
  • Kurangnya lineage: sulit membuktikan asal data dan transformasi yang membentuk angka/pengungkapan.
  • Risiko pihak ketiga dari vendor AI, integrator, atau plugin yang terhubung ke sistem ERP.

Karena IFRS 18 menuntut konsistensi penyajian dan pengungkapan yang jelas, risiko integritas dan keterjelasan proses akan menjadi sorotan.

Cyber controls yang paling relevan untuk AI di pelaporan IFRS 18

Berikut kontrol defensif yang praktis dan sering dinilai efektif. Anda dapat menganggapnya sebagai checklist yang bisa dipetakan ke kerangka kerja internal control, GRC, serta kebutuhan audit.

1) Data governance: klasifikasi, minimisasi, dan kebijakan penggunaan

  • Klasifikasikan data (misalnya publik, internal, rahasia, sangat rahasia) khusus untuk data pelaporan keuangan, data transaksi, dan data pelanggan/vendor yang ikut terbawa.
  • Minimalkan data yang dikirim ke sistem AI: hanya field yang diperlukan untuk tujuan analitik/rekonsiliasi.
  • Kebijakan penggunaan AI untuk finance: data apa yang boleh/tidak boleh dimasukkan, tool yang disetujui, dan aturan penyimpanan.
  • Data retention dan penghapusan: tentukan apakah prompt, log, atau output disimpan, berapa lama, dan di mana.

Tujuan utama: mencegah kebocoran data dan memastikan data yang menjadi dasar penyajian IFRS 18 tidak tercemar.

2) Identity & access management (IAM) dengan segregasi tugas

  • Least privilege: akses ke dataset pelaporan, konfigurasi model, dan output terbatas sesuai peran.
  • Segregation of duties: pemilik model/konfigurasi tidak sama dengan approver pelaporan; pembuat jurnal tidak sama dengan penyetuju final.
  • Multi-factor authentication untuk akses ke platform AI, data lake, dan ERP.
  • Joiner-mover-leaver yang ketat agar akses dicabut segera saat mutasi/keluar.

Dalam audit, kontrol akses yang baik membantu membuktikan bahwa hanya pihak berwenang yang dapat memengaruhi angka dan pengungkapan.

3) Logging, monitoring, dan audit trail yang dapat diuji

  • Log penggunaan AI: siapa mengakses, dataset apa, tujuan apa, dan output apa yang dihasilkan.
  • Versioning: versi model, aturan klasifikasi, dan parameter analitik harus terdokumentasi.
  • Immutable logs atau proteksi integritas log agar tidak mudah dimanipulasi.
  • Monitoring anomali: misalnya lonjakan query data sensitif, ekspor massal, atau perubahan konfigurasi mendadak.

IFRS 18 meningkatkan kebutuhan konsistensi; audit trail membantu menjawab “mengapa angka dan kategori penyajian berubah” dari periode ke periode.

4) Model governance: validasi, drift control, dan human-in-the-loop

  • Validasi sebelum produksi: uji akurasi klasifikasi, false positives pada deteksi anomali, serta dampaknya pada penyajian kategori.
  • Drift monitoring: pantau perubahan performa model dan tetapkan ambang batas untuk retraining atau rollback.
  • Human approval untuk keputusan material: output AI yang memengaruhi angka signifikan harus melalui review dan persetujuan.
  • Dokumentasi keputusan: alasan menerima/menolak rekomendasi AI dicatat (terutama untuk area judgement).

Kontrol ini menegaskan bahwa AI adalah alat bantu, bukan pengambil keputusan final tanpa akuntabilitas.

5) Secure SDLC dan change management untuk pipeline data & AI

  • Change control untuk perubahan mapping akun, aturan ETL, dan konfigurasi model.
  • Code review dan pemindaian keamanan pada skrip integrasi (misalnya konektor ke ERP/data warehouse).
  • Environment separation: dev/test/prod dipisah, data produksi tidak bebas dipakai di lingkungan uji.
  • Rollback plan bila ada masalah pada model/ETL saat periode closing.

Di periode pelaporan, stabilitas pipeline sama pentingnya dengan keamanan. Kontrol perubahan mengurangi risiko angka berubah karena perubahan tidak terotorisasi.

6) Proteksi data: enkripsi, DLP, dan kontrol ekspor

  • Enkripsi at-rest dan in-transit untuk data pelaporan keuangan dan dataset pelatihan.
  • Data loss prevention untuk mencegah upload/ekspor data sensitif ke layanan yang tidak disetujui.
  • Tokenisasi/masking pada data yang tidak perlu terlihat utuh (misalnya identitas pelanggan/vendor dalam analitik tertentu).
  • Kontrol ekspor: pembatasan unduhan massal, watermarking internal, dan approval untuk ekstraksi data besar.

7) Third-party & cloud controls: kontrak, isolasi tenant, dan due diligence

  • Penilaian vendor: keamanan, lokasi pemrosesan data, dan komitmen penghapusan data.
  • Kontrak & SLA: insiden, notifikasi, hak audit, dan persyaratan kontrol.
  • Konfigurasi cloud: isolasi akses, kunci enkripsi yang dikelola pelanggan bila diperlukan, dan pembatasan API key.

AI sering bergantung pada layanan cloud. Kontrol pihak ketiga membantu menjaga kepatuhan dan mengurangi risiko kebocoran dari rantai pasok.

8) Incident response khusus AI untuk finance

  • Runbook insiden untuk kasus: kebocoran data via tool AI, kesalahan klasifikasi material, atau drift ekstrem.
  • Prosedur penghentian sementara penggunaan model saat periode closing jika ada indikasi masalah.
  • Forensik berbasis log: kemampuan melacak prompt, output, dan perubahan konfigurasi.
  • Komunikasi ke stakeholder finance, risk, legal, dan audit internal.

Kesiapan respons insiden membantu menahan dampak agar tidak menjalar menjadi salah saji atau keterlambatan pelaporan.

Menyelaraskan kontrol dengan kebutuhan IFRS 18: pendekatan praktis

Agar tidak sekadar “menambah kontrol”, fokuslah pada titik yang paling memengaruhi penyajian dan pengungkapan:

  • Petakan alur data dari sumber transaksi hingga angka yang muncul pada kategori IFRS 18, termasuk transformasi dan sistem perantara.
  • Identifikasi area judgment (misalnya klasifikasi biaya/pendapatan dan rekonsiliasi ukuran kinerja manajemen) lalu wajibkan human approval dan dokumentasi.
  • Tentukan materiality threshold untuk output AI: di atas ambang tertentu harus ada review tambahan.
  • Bangun evidence pack yang mudah diuji auditor: versi model, parameter, log akses, hasil validasi, dan catatan perubahan.

Hasil akhirnya adalah sistem yang bukan hanya aman, tetapi juga audit-ready dan konsisten antar periode.

Roadmap 90 hari: mulai dari yang paling berdampak

Jika Anda perlu langkah awal yang realistis:

  • Minggu 1–2: inventarisasi penggunaan AI di finance, data yang dipakai, dan tool yang disetujui.
  • Minggu 3–6: terapkan IAM, MFA, dan logging minimum; buat kebijakan data yang boleh masuk ke AI.
  • Minggu 7–10: implementasi model governance dasar (validasi, drift monitoring sederhana, human approval untuk output material).
  • Minggu 11–13: uji incident response, rapikan change management, dan siapkan paket bukti untuk audit internal.

Roadmap ini dapat berjalan paralel dengan program IFRS 18, sehingga kontrol tidak menjadi pekerjaan “tambahan” di akhir.

FAQ

Apa hubungan IFRS 18 dengan cybersecurity? Bukankah IFRS soal akuntansi?

IFRS 18 memang standar akuntansi untuk presentation and disclosure, tetapi penerapannya bergantung pada sistem, data, dan proses pelaporan. Saat proses itu terdigitalisasi (apalagi memakai AI), risiko keamanan dan integritas data langsung berdampak pada keandalan laporan serta bukti audit.

Apakah boleh memakai AI generatif untuk menyusun pengungkapan IFRS 18?

Boleh selama ada kebijakan penggunaan, data sensitif tidak dibagikan ke tool yang tidak disetujui, dan ada review manusia yang memverifikasi akurasi serta kesesuaian dengan kebijakan akuntansi perusahaan. Output AI sebaiknya diperlakukan sebagai draft, bukan final.

Kontrol paling penting apa jika saya hanya bisa memilih tiga?

Tiga kontrol berdampak tinggi adalah: IAM dengan least privilege dan MFA (mencegah akses tak sah), logging/audit trail (mendukung investigasi dan audit), serta human-in-the-loop untuk keputusan material (menjaga akuntabilitas atas judgment).

Bagaimana memastikan output AI tidak mengubah angka pelaporan tanpa disadari?

Terapkan change management untuk model dan pipeline data, gunakan versioning, pasang monitoring drift, dan wajibkan approval untuk perubahan yang melewati ambang materialitas. Dengan begitu, perubahan akan terlihat, dapat diuji, dan bisa di-rollback.

Apakah kontrol ini relevan untuk perusahaan yang belum punya tim data science besar?

Relevan. Bahkan implementasi AI yang sederhana (misalnya otomatisasi rekonsiliasi atau asisten analitik) tetap membutuhkan kontrol akses, kebijakan data, dan audit trail. Anda bisa mulai dari kontrol dasar yang proporsional dengan skala dan kompleksitas proses pelaporan.

Catatan: Artikel ini bersifat informatif dan fokus defensif. Untuk penerapan spesifik, selaraskan dengan kebijakan internal, kebutuhan auditor, dan regulasi yang berlaku.

ai governanceaudit readinesscyber controlsdata securityfinancial reportingGRCIFRS 18internal controlRisk Management
By