Keyword utama: ai ifrs cyber assurance checklist

Adopsi AI di fungsi keuangan semakin umum: mulai dari otomatisasi rekonsiliasi, deteksi anomali transaksi, klasifikasi jurnal, hingga analitik yang memengaruhi estimasi akuntansi. Ketika AI ikut membentuk angka, narasi, atau keputusan yang berdampak pada pelaporan keuangan, pertanyaan berikutnya bukan lagi “bisa atau tidak”, tetapi “bagaimana memastikan AI tersebut dapat diaudit dan aman”. Di sinilah cyber assurance menjadi krusial.

Walau IFRS adalah standar pelaporan keuangan (bukan standar keamanan siber), organisasi yang melapor berdasarkan IFRS tetap perlu menunjukkan bahwa proses, data, dan sistem yang menghasilkan laporan keuangan dapat diandalkan. Risiko siber—misalnya manipulasi data, akses tidak sah, kebocoran informasi material, atau perubahan model AI tanpa kontrol—dapat merusak integritas pelaporan. Artikel ini menyajikan AI IFRS cyber assurance checklist yang praktis untuk tim Finance, IT/Security, Risk/Compliance, dan auditor internal.

Kenapa “AI + IFRS” Butuh Cyber Assurance?

Dalam konteks IFRS, kualitas pelaporan dipengaruhi oleh ketepatan, kelengkapan, dan keterlacakan data serta proses. Jika AI digunakan untuk memproses data keuangan atau menyusun insight yang memengaruhi penilaian, maka organisasi perlu memastikan:

  • Integritas data: data sumber tidak dimanipulasi dan pipeline data terjaga.
  • Kontrol perubahan: perubahan model, parameter, atau prompt (untuk LLM) tidak mengubah hasil tanpa persetujuan.
  • Akses dan segregasi tugas: siapa yang boleh melihat, mengubah, dan menyetujui.
  • Audit trail: bukti yang cukup untuk menelusuri “bagaimana angka/keputusan dibuat”.
  • Keamanan dan privasi: khususnya jika memproses data sensitif, PII, atau informasi material non-publik.

Cyber assurance di sini bukan sekadar “aman dari hacker”, melainkan jaminan bahwa kontrol TI dan keamanan mendukung keandalan pelaporan serta ketahanan operasional.

Ruang Lingkup: AI yang “Menyentuh” Pelaporan Keuangan

Sebelum checklist, tetapkan dulu ruang lingkup AI yang relevan untuk assurance. Contoh area yang biasanya perlu perhatian khusus:

  • AI untuk klasifikasi transaksi dan mapping COA (chart of accounts).
  • AI untuk deteksi fraud/anomali yang memicu penyesuaian jurnal.
  • AI untuk estimasi (misalnya impairment, provisioning, fair value inputs).
  • LLM untuk drafting narasi laporan (MD&A, disclosure) atau ringkasan kebijakan akuntansi.
  • AI yang mengolah data operasional yang menjadi input angka IFRS.

Jika AI hanya dipakai untuk tugas non-material (misalnya penjadwalan rapat), risikonya berbeda. Namun jika AI memengaruhi angka, jurnal, atau disclosure, maka checklist berikut relevan.

AI IFRS Cyber Assurance Checklist (End-to-End)

Gunakan checklist ini sebagai baseline. Organisasi dapat menambah kontrol sesuai industri, regulator, dan profil risiko.

1) Tata Kelola (Governance) & Akuntabilitas

  • Owner jelas: ada pemilik bisnis (Finance) dan pemilik teknis (IT/AI) untuk setiap use case AI yang memengaruhi pelaporan.
  • RACI terdokumentasi: siapa yang membangun, menguji, menyetujui, menjalankan, dan memantau.
  • Kebijakan AI: prinsip penggunaan AI, batasan, dan persyaratan kontrol (termasuk untuk LLM/prompting).
  • Risk acceptance: mekanisme persetujuan risiko residual oleh pihak yang berwenang.
  • Inventaris AI: daftar model, vendor, versi, dependensi data, dan keterkaitannya dengan proses pelaporan.

Bukti yang dicari auditor: dokumen kebijakan, notulen komite, risk register, inventaris model, dan persetujuan manajemen.

2) Klasifikasi Data & Lineage (Jejak Data)

  • Klasifikasi data: input AI ditandai (publik, internal, rahasia, PII, material non-public information).
  • Data lineage: jejak dari sumber (ERP, sub-ledger, data mart) ke fitur/model hingga output.
  • Kontrol kualitas data: validasi kelengkapan, duplikasi, outlier, dan rekonsiliasi dengan sumber.
  • Retention & disposal: kebijakan retensi dataset pelatihan dan log, serta pemusnahan aman.
  • Data minimization: hanya data yang diperlukan yang digunakan, terutama untuk PII.

Tujuan assurance: memastikan output AI bisa ditelusuri kembali ke data yang sah dan tidak “muncul dari ruang gelap”.

3) Kontrol Akses, Segregasi Tugas, dan Identitas

  • Least privilege: akses ke dataset, pipeline, model registry, dan deployment dibatasi sesuai peran.
  • MFA dan SSO: akses admin dan akses sensitif wajib kuat dan terpusat.
  • Segregasi tugas: pembuat model tidak sekaligus menjadi approver produksi tanpa kontrol kompensasi.
  • Privileged access management: akun istimewa dicatat, disetujui, dan diaudit.
  • Review akses berkala: recertification minimal triwulanan/semester untuk aset kritis.

Risiko yang ditekan: perubahan model tanpa izin, akses data sensitif oleh pihak tidak berwenang, dan konflik kepentingan.

4) Keamanan Infrastruktur & Konfigurasi

  • Hardening: baseline konfigurasi aman untuk server, container, notebook, dan layanan AI.
  • Patch & vulnerability management: SLA patching, pemindaian kerentanan rutin, dan prioritisasi risiko.
  • Network segmentation: pemisahan lingkungan dev/test/prod dan isolasi data sensitif.
  • Enkripsi: data at-rest dan in-transit terenkripsi, kunci dikelola dengan baik.
  • Backup & recovery: backup pipeline dan model registry, uji restore berkala.

Untuk konteks pelaporan IFRS, ketahanan operasional penting: gangguan pada pipeline AI di periode closing dapat menjadi risiko pelaporan.

5) Kontrol Model: Validasi, Perubahan, dan Versi

  • Model validation: pengujian performa, bias, stabilitas, dan edge cases sebelum produksi.
  • Versioning: versi model, dataset, dan kode tercatat; bisa melakukan rollback.
  • Change management: perubahan model (termasuk retraining) butuh tiket, review, dan persetujuan.
  • Monitoring drift: pemantauan data drift dan concept drift; ada threshold dan respons.
  • Uji regresi: memastikan perubahan tidak merusak kontrol atau hasil pada skenario penting.

Catatan IFRS: jika model memengaruhi estimasi akuntansi, organisasi perlu mampu menjelaskan asumsi, metode, dan konsistensi—serta mengelola perubahan secara terkontrol.

6) Kontrol Output: Keterjelasan, Review, dan Human-in-the-Loop

  • Definisi penggunaan: output AI bersifat rekomendasi atau keputusan final?
  • Human review: untuk area material, wajib ada review manusia sebelum posting jurnal/disclosure.
  • Reasonableness checks: pembandingan dengan baseline historis, toleransi materialitas, dan aturan bisnis.
  • Exception handling: alur penanganan jika AI memberi hasil anomali (siapa eskalasi, kapan stop).
  • Dokumentasi output: log output, waktu, versi model, dan data input yang relevan.

Kontrol ini penting untuk menghindari “automation bias” dan memastikan keputusan tetap dapat dipertanggungjawabkan.

7) Keamanan untuk LLM: Prompt, Data Leakage, dan Konten

  • Guardrails: kebijakan prompt, batasan konteks, dan pencegahan keluarnya data rahasia.
  • Kontrol konektor: jika LLM terhubung ke dokumen internal/ERP, akses harus mengikuti IAM.
  • Redaksi data: masking PII atau informasi sensitif sebelum dikirim ke layanan AI.
  • Logging aman: log prompt dan respons disimpan dengan kontrol akses dan retensi yang tepat.
  • Uji kualitas konten: khusus untuk drafting disclosure, ada review untuk akurasi dan konsistensi.

Tujuan assurance: mencegah kebocoran informasi material dan memastikan output naratif tidak menyesatkan.

8) Manajemen Vendor & Kontrak (Jika Pakai Cloud/Third Party AI)

  • Due diligence: evaluasi kontrol keamanan vendor, lokasi data, dan sub-processor.
  • SLA & incident notification: komitmen waktu notifikasi insiden dan dukungan investigasi.
  • Hak audit: klausul audit atau evidence sharing untuk kebutuhan assurance.
  • Data usage: pastikan data organisasi tidak dipakai melatih model vendor tanpa persetujuan.
  • Exit plan: rencana migrasi dan penghapusan data saat kontrak berakhir.

Vendor risk sering menjadi titik lemah, terutama jika data finance/PII diproses di luar kontrol langsung organisasi.

9) Incident Response, Forensik, dan Kesiapan Audit

  • Runbook AI: prosedur insiden khusus (model compromise, data poisoning, kebocoran prompt).
  • Log terpusat: SIEM atau sistem logging yang mengumpulkan log akses, perubahan, dan eksekusi.
  • Alerting: notifikasi untuk perubahan konfigurasi, lonjakan akses, atau hasil anomali.
  • Latihan berkala: tabletop exercise menjelang periode tutup buku.
  • Evidence readiness: kemampuan mengekspor bukti audit trail dengan cepat dan konsisten.

Untuk kebutuhan assurance, kecepatan mengumpulkan bukti sering sama pentingnya dengan kontrol itu sendiri.

10) Metrik, Pelaporan, dan Continuous Assurance

  • KPI/KRI: metrik seperti jumlah perubahan model, drift rate, exception rate, dan temuan akses.
  • Kontrol periodik: pengujian kontrol IT dan AI mengikuti kalender risk & audit.
  • Pelaporan ke manajemen: ringkasan risiko dan remediasi untuk komite audit/risiko.
  • Perbaikan berkelanjutan: backlog temuan, root-cause analysis, dan verifikasi perbaikan.

Dengan pendekatan ini, assurance tidak menunggu akhir tahun—tetapi berjalan sepanjang siklus operasi AI.

Cara Memakai Checklist Ini di Organisasi

Agar checklist tidak berhenti sebagai dokumen, gunakan langkah implementasi berikut:

  • Langkah 1: Pilih use case prioritas berdasarkan materialitas dan risiko (misalnya yang memengaruhi jurnal atau disclosure).
  • Langkah 2: Petakan alur data-end-to-end dari sumber hingga output, termasuk pihak ketiga.
  • Langkah 3: Nilai gap kontrol terhadap checklist, lalu klasifikasikan temuan (kritikal/tinggi/sedang/rendah).
  • Langkah 4: Tetapkan bukti yang harus tersedia (policy, log, tiket perubahan, hasil uji, persetujuan).
  • Langkah 5: Jalankan pilot untuk satu proses (misalnya rekonsiliasi atau drafting disclosure) dan perbaiki.

Kolaborasi Finance–IT Security–Risk–Audit internal adalah kunci: Finance memahami materialitas, Security memahami ancaman dan kontrol, Audit memastikan bukti dan pengujian memadai.

Kesalahan Umum yang Menggagalkan Cyber Assurance untuk AI

  • Model diperlakukan seperti aplikasi biasa tanpa monitoring drift dan kontrol data pelatihan.
  • Tidak ada audit trail yang memadai (siapa menjalankan apa, kapan, dengan versi apa).
  • LLM dipakai untuk dokumen sensitif tanpa redaksi data dan kebijakan logging.
  • Perubahan “kecil” di prompt tidak dicatat, padahal bisa mengubah output secara signifikan.
  • Ketergantungan vendor tanpa due diligence dan klausul data usage yang jelas.

FAQ (Pertanyaan yang Sering Ditanyakan)

1) Apakah IFRS mewajibkan kontrol keamanan siber khusus untuk AI?

IFRS tidak menetapkan kontrol siber teknis secara spesifik. Namun, organisasi yang melaporkan berdasarkan IFRS perlu memastikan proses dan sistem yang menghasilkan informasi keuangan dapat diandalkan. Jika AI menjadi bagian dari proses itu, maka kontrol siber, kontrol perubahan, dan audit trail menjadi elemen penting untuk mendukung keandalan dan keterlacakan.

2) Apa bedanya audit IT biasa dengan cyber assurance untuk AI?

Audit IT biasa sering fokus pada kontrol umum TI (akses, perubahan, operasi). Cyber assurance untuk AI menambahkan dimensi seperti data lineage, versi model dan dataset, monitoring drift, validasi model, serta risiko spesifik LLM (kebocoran data via prompt, konektor dokumen, dan kualitas konten).

3) Jika AI hanya memberi rekomendasi dan manusia yang memutuskan, apakah tetap perlu checklist ini?

Ya, terutama jika rekomendasi AI berpengaruh pada keputusan yang berdampak material pada pelaporan (misalnya rekomendasi jurnal penyesuaian atau flag anomali yang memicu investigasi). Kontrol output, review, dan audit trail tetap diperlukan agar keputusan dapat dipertanggungjawabkan.

4) Evidence apa yang paling sering diminta saat assurance untuk AI di proses finance?

Umumnya meliputi: inventaris model/use case, dokumentasi data lineage, kebijakan akses dan hasil review akses, tiket change management untuk perubahan model/prompt, hasil validasi dan uji regresi, log eksekusi (timestamp, user, versi), serta bukti monitoring dan penanganan exception.

5) Bagaimana memulai jika organisasi belum punya AI governance?

Mulailah dengan membentuk inventaris use case AI yang memengaruhi pelaporan, tetapkan owner bisnis dan teknis, definisikan kebijakan minimum (akses, perubahan, logging, human review), lalu terapkan pada satu use case prioritas. Setelah itu, perluas secara bertahap dan integrasikan ke proses GRC serta kalender audit.

Penutup: Menggabungkan AI ke proses pelaporan keuangan dapat meningkatkan efisiensi, tetapi juga menambah permukaan risiko. Dengan AI IFRS cyber assurance checklist di atas, organisasi punya kerangka defensif untuk memastikan AI berjalan aman, terkendali, dan siap diaudit—tanpa mengorbankan integritas informasi keuangan.

ai governanceaudit TICompliancecyber assuranceGRCIFRSkeamanan datakontrol internalModel Risk Managementrisk assessment
By