Di banyak organisasi, uji penurunan nilai (impairment) sering dipandang sebagai proses akuntansi murni: model arus kas, asumsi pertumbuhan, tingkat diskonto, lalu kesimpulan apakah ada rugi penurunan nilai. Namun, di era ancaman siber yang semakin sering dan mahal, asumsi-asumsi itu tidak berdiri sendiri. Serangan ransomware, kebocoran data, downtime sistem kritikal, dan kegagalan kontrol keamanan dapat mengubah profil risiko, memengaruhi kinerja unit penghasil kas (CGU), serta menjadi indikator impairment menurut IAS 36 Impairment of Assets.

Artikel ini membahas bagaimana cyber controls (kontrol keamanan siber) dan AI dapat membantu proses impairment menjadi lebih realistis, terukur, dan siap diuji oleh auditor—tanpa masuk ke instruksi teknis yang dapat disalahgunakan.

Mengapa Risiko Siber Relevan untuk IAS 36?

IAS 36 mengharuskan entitas menilai apakah terdapat indikasi penurunan nilai aset dan, bila perlu, menghitung recoverable amount (jumlah terpulihkan). Recoverable amount adalah nilai yang lebih tinggi antara:

  • Fair value less costs of disposal (nilai wajar dikurangi biaya pelepasan), dan
  • Value in use (nilai pakai) melalui proyeksi arus kas masa depan.

Risiko siber masuk secara alami ke dua jalur tersebut. Misalnya:

  • Value in use: insiden siber dapat menurunkan pendapatan (gangguan layanan), menaikkan biaya (pemulihan, forensik, peningkatan keamanan), dan meningkatkan ketidakpastian arus kas.
  • Fair value: pasar bisa mendiskon valuasi perusahaan/CGU bila reputasi rusak, pelanggan churn, atau ada risiko litigasi/regulasi akibat kebocoran data.

Artinya, keamanan siber bukan sekadar “biaya IT”, melainkan variabel ekonomi yang memengaruhi asumsi impairment.

Ringkasan Praktis IAS 36 untuk Konteks Siber

Agar diskusi tetap terarah, berikut komponen IAS 36 yang paling sering bersinggungan dengan keamanan siber:

  • Indikator impairment: perubahan negatif signifikan dalam lingkungan teknologi, pasar, atau hukum; kinerja di bawah ekspektasi; atau peningkatan risiko yang memengaruhi tingkat diskonto.
  • CGU (cash-generating unit): aset diuji pada level yang menghasilkan arus kas independen. Banyak aset digital (platform, aplikasi inti, data) secara ekonomi melekat pada CGU tertentu.
  • Asumsi arus kas: proyeksi harus “reasonable and supportable”, konsisten dengan bukti eksternal dan internal.
  • Tingkat diskonto: mencerminkan nilai waktu uang dan risiko spesifik aset/CGU yang belum disesuaikan dalam arus kas.

Risiko siber dapat muncul sebagai indikator, memengaruhi arus kas, atau tercermin dalam diskonto—tergantung sifat risikonya dan bagaimana manajemen memodelkannya.

Contoh Indikator Impairment yang Dipicu Siber (Defensif)

Berikut contoh indikator yang sering relevan, tanpa mengasumsikan “pasti impairment”, tetapi cukup untuk memicu penilaian:

  • Downtime berkepanjangan pada sistem yang menghasilkan pendapatan (mis. e-commerce, payment, core banking) sehingga realisasi kinerja turun.
  • Kebocoran data pelanggan yang memicu denda/regulasi, biaya notifikasi, biaya pemulihan, dan potensi penurunan basis pelanggan.
  • Kegagalan kontrol material yang diungkap dalam audit internal/eksternal (mis. kontrol akses, patching, backup) sehingga risiko arus kas meningkat.
  • Perubahan lanskap ancaman atau tuntutan regulasi baru (mis. kewajiban pelaporan insiden) yang membuat biaya kepatuhan dan keamanan meningkat signifikan.
  • Ketergantungan pihak ketiga (vendor/cloud) yang mengalami insiden dan mengganggu layanan, memaksa re-architecture atau migrasi yang mahal.

Intinya: IAS 36 menuntut manajemen menangkap perubahan risiko yang “material”. Di banyak industri, risiko siber sudah memenuhi ambang tersebut.

Cyber Controls sebagai “Bukti” Kualitas Arus Kas

Di proses impairment, pertanyaan yang sering muncul adalah: Seberapa dapat diandalkan proyeksi arus kas? Di sinilah cyber controls berperan. Kontrol keamanan yang kuat tidak menjamin tidak ada insiden, tetapi dapat:

  • menurunkan probabilitas gangguan besar,
  • memperpendek durasi downtime (melalui DR/BCP yang efektif),
  • mengurangi dampak finansial (melalui deteksi cepat dan isolasi),
  • memberi dasar yang lebih masuk akal untuk asumsi “steady state”.

Contoh kontrol yang sering relevan untuk diskusi impairment (secara konseptual):

  • Identitas & akses: prinsip least privilege, MFA, pengelolaan akun istimewa.
  • Backup & recovery: backup teruji, pemulihan terukur (RTO/RPO), segmentasi backup.
  • Manajemen kerentanan: inventaris aset, patching berbasis risiko, hardening baseline.
  • Monitoring & respons insiden: logging, triage, playbook respons, latihan tabletop.
  • Keamanan pihak ketiga: due diligence vendor, klausul keamanan, pemantauan SLA dan insiden.

Jika kontrol-kontrol ini lemah atau belum matang, manajemen perlu menilai apakah arus kas harus disesuaikan (mis. biaya remediasi) atau risiko tercermin dalam diskonto.

Peran AI dalam Impairment: Bukan Menggantikan Akuntansi, Melainkan Menguatkan Evidence

AI sering disalahpahami sebagai alat “menghasilkan angka”. Dalam konteks IAS 36, penggunaan AI yang paling defensif dan bermanfaat adalah menguatkan input dan evidence trail—bukan menggantikan judgement.

1) Continuous control monitoring (CCM) untuk kontrol siber

AI/ML dapat membantu memantau kepatuhan kontrol secara berkelanjutan, misalnya mendeteksi pola penyimpangan kebijakan akses, anomali konfigurasi, atau tren kerentanan. Dampaknya pada impairment:

  • Manajemen memiliki indikator dini (early warning) atas penurunan posture keamanan yang bisa menjadi indikator impairment.
  • Hasil monitoring dapat menjadi bukti pendukung bahwa asumsi operasi normal masih layak (atau sebaliknya, perlu penyesuaian).

2) Pemodelan skenario risiko siber untuk arus kas

AI dapat membantu menyusun dan mengkalibrasi skenario berbasis data historis internal (insiden, downtime, biaya) dan data eksternal (benchmark industri), lalu menerjemahkannya menjadi rentang dampak finansial. Praktik yang defensif adalah:

  • menggunakan AI untuk estimasi distribusi kemungkinan (mis. skenario ringan/sedang/berat),
  • tetap memastikan keputusan akuntansi mengikuti kebijakan perusahaan dan standar audit,
  • menyimpan jejak asumsi (data sumber, periode, justifikasi).

3) Klasifikasi aset digital dan pemetaan ke CGU

Salah satu tantangan impairment adalah memahami aset apa yang “menghidupi” arus kas CGU. AI dapat membantu menginventarisasi dan mengklasifikasi aset TI (aplikasi, layanan, data) dan keterkaitannya dengan proses bisnis. Dengan pemetaan yang lebih baik:

  • pengujian impairment lebih tepat pada level CGU,
  • diskusi materialitas risiko siber menjadi lebih konkret,
  • prioritas remediasi kontrol dapat dihubungkan dengan dampak finansial.

4) Deteksi anomali untuk menguji kewajaran asumsi “business as usual”

Jika proyeksi arus kas mengasumsikan stabilitas pendapatan dan biaya, AI dapat membantu menandai anomali operasional (mis. lonjakan downtime, peningkatan ticket keamanan, kenaikan fraud) yang berpotensi mengganggu asumsi. Ini berguna sebagai challenge function internal sebelum angka diaudit.

Mengintegrasikan Siber ke Model IAS 36: Pendekatan yang Audit-Ready

Berikut pendekatan yang sering diterima secara tata kelola (bukan formula tunggal), agar integrasi risiko siber tidak “asal tempel”:

Langkah 1: Tetapkan mekanisme indikator impairment berbasis siber

Dokumentasikan pemicu (trigger) yang akan ditinjau berkala, misalnya:

  • insiden berdampak tinggi,
  • kegagalan kontrol material,
  • perubahan regulasi yang memaksa investasi besar,
  • perubahan signifikan pada profil ancaman industri.

Pastikan pemicu ini terhubung dengan proses manajemen risiko, bukan hanya laporan IT.

Langkah 2: Putuskan: penyesuaian arus kas atau tingkat diskonto?

Secara prinsip, hindari double counting. Jika biaya remediasi dan potensi kehilangan pendapatan sudah dimasukkan dalam arus kas, jangan menambahkan risiko yang sama lagi ke diskonto. Diskusikan secara lintas fungsi (Finance, Risk, Security) dan dokumentasikan alasan pemilihan.

Langkah 3: Kuantifikasi dampak yang “reasonable and supportable”

Gunakan kombinasi:

  • data historis internal (downtime, biaya pemulihan, biaya asuransi siber, biaya kepatuhan),
  • benchmark eksternal industri,
  • hasil penilaian kontrol (maturity assessment) dan gap remediation plan,
  • kontrak/komitmen vendor yang memengaruhi risiko (SLA, liability).

AI bisa membantu mengolah data, namun pastikan ada validasi dan review manusia.

Langkah 4: Perkuat disclosure dan dokumentasi

Jika risiko siber material terhadap asumsi, siapkan narasi yang konsisten: apa risikonya, bagaimana manajemen merespons (kontrol), dan bagaimana dampak finansial dipertimbangkan dalam proyeksi. Ini membantu mengurangi gap ekspektasi dengan auditor dan komite audit.

Kesalahan Umum yang Perlu Dihindari

  • Menganggap siber hanya “kejadian sekali” dan tidak memengaruhi asumsi jangka menengah, padahal biaya penguatan kontrol sering multi-tahun.
  • Overreliance pada AI tanpa governance: data training tidak relevan, bias, atau hasil tidak dapat dijelaskan (lack of explainability).
  • Double counting risiko antara arus kas dan diskonto.
  • Tidak mengaitkan kontrol dengan dampak bisnis: laporan keamanan banyak metrik teknis, tetapi tidak diterjemahkan ke implikasi arus kas CGU.
  • Dokumentasi lemah: asumsi tidak punya sumber data dan justifikasi, sehingga sulit dipertahankan saat audit.

Checklist Praktis: Menyatukan Finance, Security, dan Risk

Gunakan daftar berikut untuk mempercepat kolaborasi:

  • Scope CGU jelas: layanan digital dan data yang krusial sudah dipetakan ke CGU terkait.
  • Risk register siber up-to-date: ada penilaian likelihood/impact dan rencana mitigasi.
  • Status cyber controls terukur: ada hasil assessment, temuan audit, dan timeline remediasi.
  • Data dampak tersedia: downtime, biaya respons, biaya peningkatan keamanan, dan tren insiden.
  • Model impairment konsisten: risiko dicerminkan sekali (arus kas atau diskonto) dengan dokumentasi keputusan.
  • AI governance: sumber data, batasan model, dan proses review dijelaskan, termasuk kontrol privasi.

FAQ

1) Apakah insiden siber otomatis berarti harus mengakui impairment menurut IAS 36?

Tidak otomatis. Insiden siber lebih tepat dipandang sebagai indikator yang memicu penilaian: apakah dampaknya menurunkan recoverable amount di bawah nilai tercatat. Jika dampaknya kecil atau sudah pulih cepat tanpa perubahan prospek arus kas, bisa jadi tidak ada impairment. Yang penting adalah penilaian yang terdokumentasi dan didukung bukti.

2) Lebih baik memasukkan risiko siber ke arus kas atau ke tingkat diskonto?

Keduanya mungkin, tetapi prinsip utamanya adalah hindari double counting. Jika organisasi dapat mengestimasi biaya keamanan tambahan, potensi downtime, atau penurunan pendapatan secara masuk akal, penyesuaian di arus kas sering lebih transparan. Jika risikonya sulit dikuantifikasi langsung dalam arus kas, sebagian pihak mempertimbangkan penyesuaian diskonto. Apa pun pilihannya, dokumentasi dan konsistensi kebijakan sangat penting.

3) Bagaimana AI membantu tanpa membuat proses impairment “black box”?

Gunakan AI untuk tugas yang memperkuat bukti: monitoring kontrol, analisis tren insiden, pengelompokan aset, dan pemodelan skenario yang dapat dijelaskan. Pastikan ada human review, log sumber data, serta ringkasan asumsi yang mudah ditelusuri oleh auditor dan komite audit.

4) Kontrol siber apa yang paling sering berdampak pada asumsi impairment?

Yang paling sering terkait langsung dengan dampak finansial adalah backup & recovery (menentukan lama downtime), monitoring & incident response (menentukan kecepatan deteksi dan isolasi), serta identity & access management (mengurangi risiko pengambilalihan akun dan akses ilegal). Kontrol pihak ketiga juga penting jika CGU sangat bergantung pada vendor atau cloud.

5) Apa yang paling dicari auditor saat risiko siber dianggap material dalam impairment?

Biasanya auditor mencari: konsistensi asumsi dengan bukti (internal dan eksternal), kejelasan hubungan risiko siber terhadap arus kas/diskonto, bukti atas kondisi kontrol dan rencana remediasi, serta dokumentasi keputusan untuk menghindari double counting. Auditor juga akan menilai apakah disclosure yang relevan telah dipertimbangkan sesuai kebijakan pelaporan.

Dengan mengaitkan cyber controls dan AI ke proses IAS 36 secara disiplin, organisasi dapat menghasilkan uji impairment yang lebih realistis: bukan menakut-nakuti, tetapi mengakui bahwa ketahanan siber adalah komponen nyata dari kemampuan aset menghasilkan manfaat ekonomi di masa depan.

AIauditcyber controlsfinancial reportingGRCIAS 36impairmentInformation Securityinternal controlRisk Management
By