Mengapa IAS 36 dan keamanan siber kini saling terkait

Keyword seperti AI, IAS 36 impairment, dan cyber controls makin sering muncul bersamaan karena dampak insiden siber tidak berhenti di operasional TI. Serangan ransomware, kebocoran data, atau gangguan layanan dapat mengubah proyeksi arus kas, menaikkan biaya, dan menurunkan nilai ekonomis aset—yang pada akhirnya memicu kebutuhan uji penurunan nilai (impairment) sesuai IAS 36.

Di sisi lain, organisasi juga semakin menggunakan AI untuk memperkuat kontrol keamanan, mendeteksi anomali, dan mempercepat respons insiden. Tantangannya: bagaimana memastikan sinyal dan metrik dari cyber controls (termasuk yang dibantu AI) diterjemahkan secara tepat ke dalam asumsi uji impairment yang konsisten, terdokumentasi, dan dapat diaudit?

Ringkas IAS 36: apa yang dinilai dalam uji impairment

IAS 36 (Impairment of Assets) mengharuskan entitas menilai apakah terdapat indikasi penurunan nilai aset. Jika ada, entitas menghitung recoverable amount, yaitu nilai yang lebih tinggi antara:

  • Fair value less costs of disposal (nilai wajar dikurangi biaya pelepasan), dan
  • Value in use (nilai pakai), biasanya melalui proyeksi arus kas masa depan yang didiskonto.

Penilaian ini sering dilakukan pada tingkat cash-generating unit (CGU), terutama untuk aset seperti goodwill atau aset tak berwujud dengan umur manfaat tidak terbatas. Dalam praktik, IAS 36 sangat sensitif terhadap asumsi: pertumbuhan pendapatan, margin, belanja modal, biaya operasional, tingkat diskonto, dan risiko.

Bagaimana risiko siber menjadi “indikasi impairment” yang nyata

IAS 36 mengenal indikator internal dan eksternal. Dalam konteks keamanan siber, beberapa kondisi berikut dapat menjadi indikator atau penguat kebutuhan uji impairment:

  • Gangguan operasi (downtime) yang menurunkan penjualan atau menunda pengiriman jasa.
  • Kehilangan pelanggan karena reputasi menurun setelah kebocoran data.
  • Kenaikan biaya untuk pemulihan, peningkatan keamanan, litigasi, denda, asuransi, dan kepatuhan.
  • Perubahan lingkungan regulasi (misalnya tuntutan kontrol lebih ketat) yang meningkatkan biaya berkelanjutan.
  • Indikasi kelemahan pengendalian internal yang memengaruhi keandalan data keuangan dan operasional.

Poin pentingnya: bahkan tanpa “serangan besar”, tren insiden kecil yang berulang, temuan audit, atau penilaian maturity yang buruk dapat mengubah estimasi arus kas dan risiko, sehingga berdampak pada recoverable amount.

Cyber controls yang paling relevan untuk asumsi IAS 36

Dalam uji impairment, kontrol keamanan siber berperan sebagai bukti penopang bahwa asumsi arus kas dan risiko yang digunakan manajemen adalah wajar. Berikut kontrol yang paling sering berpengaruh secara material:

1) Kontrol ketersediaan (availability) dan ketahanan (resilience)

  • Backup, restore testing, dan disaster recovery yang teruji akan menurunkan ekspektasi durasi downtime.
  • Business continuity yang matang membantu menjaga arus kas saat terjadi gangguan.

Implikasi IAS 36: proyeksi kehilangan pendapatan akibat downtime menjadi lebih terukur, dan skenario terburuk bisa ditekan secara realistis.

2) Kontrol integritas data (data integrity) dan logging

  • Change management, kontrol akses, dan pemantauan perubahan konfigurasi.
  • Log management dan korelasi kejadian untuk mendeteksi manipulasi.

Implikasi IAS 36: kualitas data historis dan basis proyeksi meningkat; risiko salah saji karena data rusak/terubah dapat dipertimbangkan dalam tingkat diskonto atau penyesuaian arus kas.

3) Kontrol akses dan identitas (IAM)

  • MFA, prinsip least privilege, dan review akses berkala.
  • Privileged access management untuk akun administrator.

Implikasi IAS 36: menurunkan probabilitas insiden berdampak besar (misalnya takeover sistem inti) yang dapat mengubah ekspektasi biaya pemulihan dan kerugian pendapatan.

4) Kontrol pihak ketiga (third-party risk)

  • Penilaian vendor, klausul keamanan, dan monitoring kepatuhan.
  • Kontrol untuk layanan cloud, payment processor, atau BPO.

Implikasi IAS 36: CGU yang sangat bergantung pada vendor kritikal harus memasukkan risiko konsentrasi dan ketergantungan layanan ke skenario arus kas.

5) Incident response dan forensik yang siap

  • Runbook respons insiden, latihan tabletop, dan SLA penanganan.
  • Prosedur komunikasi krisis dan pelaporan regulator.

Implikasi IAS 36: waktu pemulihan dan besaran biaya insiden menjadi lebih dapat diprediksi, mengurangi ketidakpastian estimasi.

Peran AI: dari deteksi ancaman menjadi input uji impairment yang dapat diaudit

AI dapat membantu pada dua level: (1) meningkatkan efektivitas cyber controls, dan (2) menghasilkan insight yang memengaruhi asumsi IAS 36. Namun, agar dapat digunakan untuk pelaporan keuangan, hasil AI harus terkendali, tervalidasi, dan terdokumentasi.

Use case AI yang relevan (defensif)

  • Anomaly detection pada log untuk mendeteksi aktivitas tidak wajar yang berpotensi mengganggu operasi.
  • Prediksi downtime berbasis riwayat insiden, beban sistem, dan tren patching untuk memperkirakan kerugian pendapatan.
  • Risk scoring aset dan aplikasi kritikal untuk memprioritaskan kontrol, sehingga menurunkan risiko kerugian masa depan.
  • Scenario modeling untuk mensimulasikan dampak biaya pemulihan dan peningkatan kontrol terhadap arus kas.
  • Evidence automation (mengumpulkan bukti kontrol, tiket perubahan, hasil restore test) agar audit trail lebih rapi.

Prinsip agar output AI “siap IAS 36”

  • Transparansi asumsi: jelaskan data sumber, periode, dan definisi metrik (misalnya definisi downtime).
  • Validasi dan pengujian: bandingkan prediksi dengan realisasi, dokumentasikan error rate dan perbaikan model.
  • Kontrol perubahan model: catat versi model, parameter, dan alasan perubahan (model governance).
  • Audit trail: simpan bukti input-output dan persetujuan (approval) yang relevan.

Dengan pendekatan ini, AI tidak sekadar “alat TI”, tetapi menjadi bagian dari sistem kontrol yang memperkuat kualitas estimasi impairment.

Menerjemahkan cyber controls ke angka IAS 36: kerangka kerja praktis

Berikut cara defensif dan sistematis untuk menghubungkan keamanan siber ke uji impairment tanpa mengada-ada atau menggandakan perhitungan.

Langkah 1: petakan aset/CGU yang sensitif terhadap gangguan siber

  • Identifikasi CGU dengan ketergantungan tinggi pada platform digital (e-commerce, core banking, aplikasi layanan).
  • Tentukan “crown jewels”: data dan sistem yang jika terganggu akan berdampak langsung pada pendapatan.

Langkah 2: definisikan indikator dan pemicu (trigger) yang dipantau rutin

  • Frekuensi insiden, near-miss, dan tingkat keparahan.
  • Tren kerentanan kritikal yang belum ditangani (patch latency).
  • Hasil uji DR/restore (RTO/RPO tercapai atau tidak).
  • Temuan audit/penilaian kontrol yang material.

Tujuannya adalah menciptakan jembatan antara “bahasa keamanan” dan “bahasa IAS 36”: indikator ini menjadi dasar untuk memutuskan kapan asumsi arus kas perlu direvisi.

Langkah 3: tentukan dampak finansial melalui skenario arus kas

Alih-alih menebak, gunakan skenario yang dapat dijelaskan:

  • Skenario dasar: operasi normal dengan asumsi kontrol berjalan sesuai desain.
  • Skenario gangguan moderat: downtime terbatas + biaya respons insiden standar.
  • Skenario berat: downtime panjang + biaya pemulihan besar + kehilangan pelanggan sementara.

AI dapat membantu mengkalibrasi probabilitas atau besaran dampak berdasarkan tren historis dan maturity kontrol. Namun, keputusan final tetap berada pada manajemen dengan dokumentasi justifikasi.

Langkah 4: refleksikan risiko siber pada tingkat diskonto atau penyesuaian arus kas

Secara umum ada dua pendekatan (yang harus konsisten dan tidak “double count”):

  • Penyesuaian arus kas: memasukkan biaya keamanan tambahan, estimasi kerugian downtime, dan biaya kepatuhan.
  • Penyesuaian tingkat diskonto: merefleksikan peningkatan ketidakpastian risiko yang tidak tertangkap di arus kas.

Praktik yang baik adalah menyatakan dengan jelas risiko apa yang sudah masuk ke arus kas dan apa yang masih tercermin di diskonto, agar auditor dapat menilai konsistensinya.

Langkah 5: siapkan dokumentasi kontrol untuk mendukung asumsi

Dokumentasi yang membantu uji IAS 36 biasanya meliputi:

  • Ringkasan program keamanan siber dan perubahan signifikan dalam periode berjalan.
  • Hasil pengujian DR/backup restore dan metrik RTO/RPO.
  • Ringkasan insiden material dan pembelajaran (lessons learned) serta tindakan perbaikan.
  • Bukti monitoring kontrol (dashboard, laporan SOC) dengan definisi metrik yang jelas.
  • Jika memakai AI: kebijakan model, hasil validasi, dan catatan versi.

Kesalahan umum yang membuat impairment “rawan debat”

  • Overreliance pada skor AI tanpa penjelasan sumber data dan batasan model.
  • Double counting: risiko siber dimasukkan sekaligus ke arus kas dan tingkat diskonto tanpa rekonsiliasi.
  • Kontrol di atas kertas: kebijakan ada, tetapi tidak ada bukti operasional (misalnya restore test tidak pernah diuji).
  • Mengabaikan third-party risk padahal CGU bergantung pada vendor kritikal.
  • Data tidak konsisten antara tim keamanan, operasional, dan keuangan (definisi downtime, klasifikasi insiden).

Menghindari kesalahan ini biasanya lebih berdampak daripada sekadar menambah alat keamanan baru.

Checklist cepat: “cyber controls readiness” untuk IAS 36

  • Governance: peran dan akuntabilitas jelas (CISO/IT/Finance) untuk indikator impairment berbasis siber.
  • Metrics: definisi KPI keamanan terdokumentasi dan konsisten lintas fungsi.
  • Evidence: ada bukti periodik untuk backup/restore, patching, IAM review, incident response exercise.
  • Scenario: skenario dampak siber terhadap arus kas disetujui manajemen dan ditinjau berkala.
  • AI governance: jika memakai AI, ada validasi, kontrol perubahan, dan audit trail.

FAQ

Apa hubungan langsung insiden siber dengan IAS 36 impairment?

Insiden siber dapat menurunkan recoverable amount karena memengaruhi arus kas masa depan (pendapatan turun akibat downtime atau kehilangan pelanggan, biaya naik untuk pemulihan dan kepatuhan) dan/atau meningkatkan risiko yang tercermin pada tingkat diskonto. Jika indikasi penurunan nilai muncul, IAS 36 mengharuskan entitas melakukan uji impairment pada aset atau CGU terkait.

Apakah kelemahan cyber controls saja cukup untuk memicu uji impairment?

Bisa, tergantung materialitas dan dampaknya terhadap ekspektasi arus kas. Temuan audit yang material, kegagalan DR test, atau paparan kerentanan kritikal yang tidak tertangani dapat menjadi indikator internal bahwa risiko operasional meningkat. Manajemen perlu menilai apakah hal tersebut membuat nilai tercatat aset berisiko tidak dapat dipulihkan.

Bagaimana AI membantu proses impairment tanpa menggantikan judgement manajemen?

AI dapat membantu menyediakan sinyal dan estimasi berbasis data (misalnya prediksi downtime, tren insiden, atau risk scoring). Namun AI sebaiknya diposisikan sebagai alat pendukung untuk menyusun skenario dan memperkaya bukti, bukan sebagai penentu tunggal asumsi IAS 36. Keputusan final tetap harus dijustifikasi, konsisten, dan terdokumentasi.

Lebih baik menyesuaikan arus kas atau tingkat diskonto untuk risiko siber?

Tidak ada jawaban tunggal. Banyak organisasi memilih memasukkan dampak yang dapat diestimasi secara spesifik ke arus kas (misalnya biaya peningkatan kontrol, biaya pemulihan yang diproyeksikan), dan mencerminkan ketidakpastian residual pada tingkat diskonto. Yang terpenting adalah konsistensi metode dan menghindari double counting.

Bukti apa yang paling dicari auditor terkait cyber controls dalam konteks IAS 36?

Biasanya auditor mencari bukti operasional yang menunjukkan kontrol berjalan efektif: hasil uji backup/restore dan DR, catatan incident response (termasuk latihan), laporan pemantauan keamanan yang definisinya jelas, hasil review akses, serta dokumentasi third-party risk. Jika AI digunakan, auditor juga akan memperhatikan governance model, validasi, dan audit trail.

ai governanceaudit readinesscyber controlscyber riskfinancial reportingGRCIAS 36impairment testinternal controlRisk Management
By