Mengapa “AI + IAS 36 impairment + cyber controls” makin relevan

IAS 36 (Impairment of Assets) menuntut entitas menilai apakah suatu aset atau cash-generating unit (CGU) mengalami penurunan nilai, serta menghitung recoverable amount berdasarkan value in use atau fair value less costs of disposal. Di sisi lain, risiko siber kini menjadi salah satu sumber risiko operasional paling material: kebocoran data, ransomware, downtime layanan, gangguan rantai pasok digital, hingga denda kepatuhan.

Ketika insiden siber atau kelemahan kontrol keamanan berdampak pada pendapatan, biaya, reputasi, atau kemampuan operasi, maka dampaknya dapat mengalir langsung ke input utama IAS 36: proyeksi arus kas, asumsi pertumbuhan, margin, belanja modal, dan bahkan tingkat diskonto. Di sinilah AI dapat membantu—bukan untuk “mengotomatiskan akuntansi” tanpa kontrol, melainkan untuk memperkuat kualitas data, konsistensi asumsi, dan ketertelusuran (audit trail) dalam menghubungkan temuan keamanan ke penilaian impairment.

Ringkas IAS 36: titik-titik yang bisa dipengaruhi risiko siber

Dalam praktik, ada beberapa titik IAS 36 yang sering bersinggungan dengan cybersecurity:

  • Indikator penurunan nilai (impairment indicators): misalnya penurunan kinerja, perubahan lingkungan bisnis, atau kejadian luar biasa yang merusak kemampuan menghasilkan kas.
  • Penentuan CGU: aset digital dan platform sering kali menghasilkan kas lintas unit; segmentasi CGU yang kurang tepat dapat menutupi dampak cyber.
  • Proyeksi arus kas: dampak downtime, churn pelanggan, biaya pemulihan, peningkatan spend keamanan, biaya asuransi siber.
  • Asumsi tingkat diskonto: risk premium bisa berubah jika profil risiko meningkat atau kontrol melemah.
  • Pengungkapan (disclosure): transparansi asumsi utama, sensitivitas, dan sumber ketidakpastian.

Catatan penting: pengakuan dan pengukuran tetap harus mengikuti standar akuntansi dan kebijakan perusahaan. AI berperan sebagai alat bantu analitik dan tata kelola, bukan pengganti pertimbangan profesional.

Bagaimana risiko siber menjadi “indikator impairment” dalam konteks IAS 36

IAS 36 meminta manajemen menilai apakah ada indikasi bahwa aset mungkin mengalami impairment. Risiko siber dapat menjadi indikator, misalnya:

  • Insiden material: ransomware yang menghentikan operasi, kebocoran data pelanggan, kompromi sistem pembayaran, atau gangguan cloud yang memengaruhi layanan.
  • Perubahan biaya yang signifikan: peningkatan biaya keamanan, biaya kepatuhan (mis. audit tambahan), biaya asuransi siber, atau biaya vendor untuk pemulihan.
  • Penurunan kinerja: hilangnya pelanggan, penurunan transaksi, atau penurunan conversion akibat turunnya kepercayaan.
  • Perubahan regulasi atau kontrak: persyaratan kontrol keamanan baru dari regulator/mitra yang meningkatkan biaya atau membatasi operasi.

Yang sering sulit adalah membuktikan hubungan sebab-akibat dan kuantifikasinya. Di sinilah integrasi data keamanan dan data finansial (secara terkontrol) menjadi krusial.

Peran cyber controls: dari “biaya keamanan” menjadi “pelindung arus kas”

Cyber controls bukan sekadar checklist kepatuhan. Dalam impairment test, kontrol yang efektif dapat dipandang sebagai faktor yang melindungi arus kas masa depan dengan cara:

  • Mengurangi probabilitas insiden (preventive controls) seperti MFA, hardening, patch management.
  • Mempercepat deteksi (detective controls) seperti monitoring, SIEM, EDR.
  • Mengurangi dampak (corrective/recovery controls) seperti backup immutable, DR/BCP teruji, incident response runbook.
  • Mengurangi ketidakpastian melalui tata kelola (GRC, risk acceptance, third-party risk management).

Dalam penilaian arus kas dan risiko, manajemen perlu menilai apakah kontrol yang ada realistis mampu menahan dampak yang diasumsikan—dan apakah ada gap yang menuntut belanja modal/operasional tambahan.

AI dalam impairment: apa yang boleh dan apa yang harus dikendalikan

AI bisa membantu di tiga area defensif yang paling berguna untuk IAS 36:

  • Data readiness: menggabungkan sinyal dari SOC, ticketing, CMDB, ERP/finance, dan vendor risk secara terstruktur.
  • Analitik risiko keuangan: mengestimasikan skenario downtime, biaya respons, dan pengaruh ke revenue/margin (dengan asumsi yang terdokumentasi).
  • Governance & auditability: menjaga jejak keputusan (model card, data lineage, approval workflow), sehingga auditor dapat menelusuri asal asumsi.

Namun AI harus dibatasi dengan kontrol: kualitas data, bias, penggunaan data sensitif, serta risiko “hallucination” pada model generatif. Untuk konteks akuntansi, hasil AI sebaiknya diperlakukan sebagai indikasi yang memerlukan review manusia, bukan angka final.

Blueprint integrasi: menghubungkan SOC metrics ke input IAS 36 secara aman

Integrasi yang sehat biasanya mengikuti prinsip least privilege dan need-to-know. Alih-alih memindahkan data mentah yang sensitif, organisasi dapat memanfaatkan ringkasan teragregasi dan metadata yang relevan untuk impairment, seperti:

  • Downtime terukur: jam downtime per sistem kritikal per periode, dan estimasi kerugian operasional.
  • Frekuensi insiden & severity: jumlah insiden material vs non-material, tren kuartalan.
  • Posture kontrol: coverage MFA, patch compliance, hasil vulnerability management (agregat), maturity IR/DR.
  • Third-party risk: status vendor kritikal, temuan audit, SLA terkait keamanan.
  • Biaya keamanan: OPEX security, CAPEX untuk perbaikan, biaya asuransi, biaya kepatuhan.

AI kemudian dapat membantu membangun peta sebab-akibat yang terdokumentasi: bagaimana perubahan posture kontrol memengaruhi probabilitas gangguan, lalu memengaruhi arus kas dan sensitivitas. Yang penting, semua transformasi data harus dicatat (data lineage) dan dapat direplikasi.

Contoh penggunaan AI yang defensif untuk IAS 36 (tanpa “angka ajaib”)

1) Pembuatan skenario downtime berbasis histori

Dengan data historis downtime layanan (mis. aplikasi pembayaran atau platform e-commerce), AI dapat membantu mengelompokkan pola gangguan: apakah didominasi kesalahan konfigurasi, kegagalan vendor, atau insiden keamanan. Outputnya bukan hanya rata-rata downtime, tetapi rentang skenario (base, downside, severe) untuk dipakai dalam sensitivitas IAS 36.

2) Mengestimasi biaya pemulihan dan biaya pencegahan

AI dapat merangkum biaya incident response sebelumnya (konsultan, forensik, notifikasi, legal) dan membandingkan dengan rencana peningkatan kontrol (mis. SOC tooling, DR testing). Ini membantu manajemen membedakan biaya one-off vs biaya berulang, yang berdampak pada proyeksi arus kas.

3) Menghubungkan temuan kontrol ke risk premium

Jika hasil penilaian kontrol menunjukkan penurunan maturity (mis. patch compliance turun, backup test gagal, atau vendor kritikal memiliki temuan tinggi), AI dapat menandai area yang berpotensi memerlukan penyesuaian asumsi risiko. Di sini keputusan tetap pada manajemen: apakah implikasinya masuk ke arus kas (biaya tambahan, penurunan pendapatan), atau ke tingkat diskonto (risk premium).

Kontrol yang perlu ada agar AI “audit-ready” untuk IAS 36

Agar penggunaan AI dapat dipertanggungjawabkan dalam proses impairment, pertimbangkan kontrol berikut:

  • Model governance: definisikan tujuan model, batasan, owner, dan proses persetujuan perubahan.
  • Data governance: klasifikasi data, anonimisasi/pseudonimisasi, dan pembatasan akses untuk data sensitif (log, identitas, data pelanggan).
  • Validation & back-testing: bandingkan prediksi skenario vs realisasi (mis. downtime aktual, biaya aktual) untuk mengukur keandalan.
  • Explainability: catat variabel utama yang mendorong output, sehingga pengguna dapat menjelaskan logika ke auditor.
  • Segregation of duties: pembuat model, pengguna, dan pihak yang menyetujui asumsi impairment sebaiknya terpisah.
  • Documentation: simpan dataset versi, parameter, tanggal run, serta ringkasan hasil dan keputusan manajemen.

Jika organisasi menggunakan model generatif untuk merangkum temuan atau menulis memo, pastikan ada review manusia, sumber rujukan yang jelas, dan larangan memasukkan data rahasia ke layanan pihak ketiga tanpa perjanjian dan kontrol yang memadai.

Kesalahan umum saat mengaitkan cyber risk ke impairment (dan cara menghindarinya)

  • Menganggap semua risiko siber pasti impairment: tidak semua insiden memengaruhi recoverable amount secara material. Fokus pada dampak finansial yang terukur dan relevan untuk CGU.
  • Double counting: memasukkan dampak yang sama di arus kas dan juga menaikkan diskonto tanpa justifikasi yang jelas.
  • Data SOC terlalu teknis: metrik seperti jumlah alert tidak otomatis bermakna finansial. Terjemahkan menjadi KPI yang terkait operasi: downtime, loss event, biaya mitigasi.
  • Asumsi kontrol terlalu optimistis: misalnya mengasumsikan DR selalu berhasil tanpa bukti uji. Gunakan bukti pengujian, audit internal, dan maturity assessment.
  • Kurang disclosure dan sensitivitas: untuk area yang sangat tidak pasti (mis. probabilitas insiden besar), tampilkan analisis sensitivitas yang wajar dan transparan.

Checklist praktis: menyelaraskan tim finance, risk, dan security

Agar impairment test tidak menjadi diskusi ad-hoc saat tutup buku, gunakan checklist lintas fungsi:

  • Finance: petakan CGU yang bergantung pada aset TI kritikal; definisikan asumsi arus kas dan horizon proyeksi.
  • Security (SOC/IR): sediakan ringkasan insiden material, downtime, tren risiko, dan status kontrol kunci (MFA, backup, patching, vendor).
  • Risk/GRC: sinkronkan risk register, risk appetite, dan hasil assessment; dokumentasikan risk acceptance.
  • IT/Operations: validasi kapasitas, rencana peningkatan, dependensi cloud/vendor, dan DR test results.
  • Audit internal: review jejak kontrol, kualitas data, dan konsistensi asumsi untuk audit readiness.

AI dapat berperan sebagai “lem” yang menghubungkan sumber data dan mempercepat analisis, tetapi keputusan impairment harus tetap melalui governance yang jelas.

FAQ: AI, IAS 36 impairment, dan cyber controls

Apa hubungan cyber controls dengan IAS 36 impairment?

Cyber controls memengaruhi kemampuan aset/CGU menghasilkan arus kas di masa depan. Kontrol yang lemah dapat meningkatkan probabilitas dan dampak insiden (downtime, biaya pemulihan, churn), yang kemudian memengaruhi proyeksi arus kas atau risk premium dalam uji impairment.

Apakah insiden siber otomatis berarti harus ada impairment?

Tidak selalu. Insiden siber menjadi indikator yang perlu dievaluasi. Manajemen harus menilai materialitas dampaknya terhadap recoverable amount, apakah dampak bersifat sementara, apakah ada pemulihan, dan bagaimana pengaruhnya terhadap asumsi proyeksi.

Bagaimana AI membantu tanpa melanggar prinsip akuntansi dan audit?

AI membantu merapikan data, menyiapkan skenario, dan merangkum bukti kontrol secara konsisten. Agar audit-ready, organisasi perlu model governance, data governance, validasi, dokumentasi, dan review manusia atas output AI sebelum digunakan dalam memo impairment.

Data keamanan apa yang paling relevan untuk impairment test?

Yang paling relevan biasanya metrik yang mengait ke finansial: downtime sistem kritikal, biaya respons insiden, tren insiden material, status kontrol pemulihan (backup/DR test), dan risiko pihak ketiga pada vendor kritikal. Data sebaiknya dibagikan dalam bentuk agregat untuk mengurangi risiko paparan informasi sensitif.

Bagaimana menghindari double counting saat memasukkan cyber risk ke model?

Tetapkan secara eksplisit apakah dampak risiko siber dimodelkan sebagai penurunan arus kas (mis. biaya tambahan, pendapatan turun) atau sebagai penyesuaian tingkat diskonto (risk premium), lalu dokumentasikan alasan. Jika keduanya digunakan, harus ada justifikasi kuat bahwa komponen risikonya berbeda dan tidak tumpang tindih.

Penutup

Pengujian impairment berdasarkan IAS 36 semakin tidak bisa dilepaskan dari realitas risiko siber. Dengan pendekatan defensif, AI dapat membantu menghubungkan sinyal keamanan dan efektivitas cyber controls ke asumsi arus kas dan risiko secara lebih terstruktur, konsisten, dan dapat diaudit. Kuncinya adalah tata kelola: kualitas data, dokumentasi, validasi, dan keputusan akhir tetap berada pada manajemen dengan pertimbangan profesional.

ai governanceaudit readinesscyber controlscyber riskGRCIAS 36IFRSimpairment testinternal controlRisk Management
By