IAS 36 (Impairment of Assets) mewajibkan entitas menilai apakah terdapat indikasi penurunan nilai aset dan, bila perlu, menghitung recoverable amount (nilai terpulihkan) untuk memastikan nilai tercatat tidak melebihi nilai yang dapat dipulihkan. Dalam beberapa tahun terakhir, risiko siber—ransomware, kebocoran data, gangguan layanan cloud, hingga kompromi rantai pasok—semakin sering menjadi pemicu yang relevan untuk analisis impairment.

Di sisi lain, organisasi kini banyak mengadopsi AI untuk memperkuat cyber controls defensif: deteksi anomali, korelasi log, otomatisasi respons, hingga pemantauan kepatuhan. Pertanyaannya: bagaimana AI dan kontrol keamanan siber berhubungan dengan IAS 36 impairment secara praktis, terutama untuk memperkuat asumsi arus kas, mengurangi ketidakpastian, dan meningkatkan kesiapan audit?

Kenapa Cyber Risk Relevan dalam IAS 36?

IAS 36 mengharuskan manajemen mempertimbangkan indikator internal maupun eksternal yang dapat menurunkan nilai aset atau cash-generating unit (CGU). Risiko siber relevan karena dapat memengaruhi:

  • Arus kas masa depan (mis. downtime, hilangnya pelanggan, penalti kontrak, penurunan penjualan).
  • Biaya operasional (pemulihan insiden, peningkatan kontrol, biaya asuransi siber, biaya litigasi).
  • Risiko dan tingkat diskonto (peningkatan risk premium akibat profil risiko yang memburuk).
  • Nilai wajar (persepsi pasar dan valuasi dapat turun pasca insiden besar).
  • Umur manfaat aset (mis. sistem TI tertentu harus diganti lebih cepat akibat kerentanan atau EOL).

Dengan kata lain, keamanan siber bukan sekadar isu teknis. Ia dapat menjadi variabel keuangan yang memengaruhi pengukuran IAS 36.

Contoh Indikator Impairment yang Dipicu Insiden Siber

Berikut contoh indikator yang sering muncul (dan biasanya menarik perhatian auditor):

  • Gangguan operasi signifikan akibat ransomware atau outage berkepanjangan.
  • Kehilangan data kritikal yang memengaruhi kemampuan menyediakan layanan atau produk.
  • Kebocoran data yang memicu denda regulator, class action, atau kompensasi pelanggan.
  • Penurunan kinerja unit bisnis digital karena penurunan kepercayaan (churn naik, CAC naik).
  • Perubahan regulasi keamanan/privasi yang menuntut investasi besar dan mengurangi margin.
  • Kegagalan vendor/third party (cloud, payment gateway, managed service) yang berdampak material.

Jika indikator tersebut ada, IAS 36 umumnya mendorong organisasi untuk menilai apakah nilai tercatat CGU/aset masih dapat dipulihkan.

Di Mana AI Masuk: AI sebagai Penguat Cyber Controls (Bukan Pengganti Governance)

AI dapat membantu meningkatkan efektivitas dan ketepatan waktu kontrol keamanan siber. Namun, dari perspektif IAS 36, nilai utamanya adalah mengurangi ketidakpastian dan memperbaiki kualitas bukti bahwa risiko siber dikelola secara memadai, sehingga asumsi arus kas dan profil risiko lebih dapat dipertanggungjawabkan.

Area AI yang paling sering berdampak pada kontrol defensif:

  • Deteksi anomali pada jaringan, endpoint, dan identitas (mengurangi dwell time).
  • Korelasi peristiwa lintas log (SIEM/UEBA berbasis AI) untuk mempercepat investigasi.
  • Prioritisasi kerentanan berbasis konteks (eksposur, criticality aset, dan threat intel) untuk menekan probabilitas insiden.
  • Otomatisasi respons (SOAR) untuk membatasi dampak insiden.
  • Monitoring kepatuhan dan drift konfigurasi di cloud secara berkelanjutan.

Kontrol yang lebih baik dapat mengurangi frekuensi/keparahan insiden, menurunkan volatilitas arus kas, dan memperkuat argumen manajemen saat menyusun model recoverable amount.

Jembatan antara Cyber Controls dan Uji IAS 36

Uji IAS 36 biasanya melibatkan estimasi arus kas masa depan, asumsi pertumbuhan, margin, belanja modal, serta tingkat diskonto. Cyber controls menjadi relevan pada tiga titik:

  • Input model: dampak siber pada pendapatan, biaya, dan capex.
  • Risk adjustment: apakah risiko siber tercermin pada discount rate atau arus kas.
  • Evidence & governance: seberapa kuat bukti bahwa organisasi mengelola risiko siber (mengurangi bias optimistis).

1) Arus Kas: Memodelkan Dampak Downtime dan Loss Event

Insiden siber dapat mengubah proyeksi arus kas. Praktik defensif yang membantu adalah menyusun skenario berbasis risiko, misalnya:

  • Skenario dasar: operasi normal dengan insiden minor (sesuai histori dan kontrol saat ini).
  • Skenario stres: outage besar atau kebocoran data (berdasarkan threat landscape dan eksposur).
  • Skenario perbaikan: setelah program penguatan kontrol (mis. implementasi EDR, segmentasi, backup immutable).

AI membantu bukan untuk “menebak angka”, melainkan untuk memberikan observabilitas: metrik dwell time, tren anomali, hasil penilaian kerentanan, dan bukti perbaikan kontrol yang dapat mendukung pemilihan skenario yang wajar.

2) Tingkat Diskonto: Risk Premium dan Ketidakpastian Siber

Jika profil risiko meningkat (mis. insiden besar, kontrol belum matang, atau ketergantungan vendor tinggi), investor dan auditor bisa menilai bahwa risk premium perlu naik. Kontrol yang matang dapat membantu menahan kenaikan tersebut.

Dokumentasi yang sering dicari untuk mendukung asumsi risiko:

  • Risk assessment yang diperbarui dan dipetakan ke aset/CGU.
  • Hasil pengujian kontrol (internal audit, assurance eksternal, atau laporan kepatuhan).
  • Metrik ketahanan: RTO/RPO, keberhasilan drill, waktu patching, tingkat keberhasilan backup restore.

AI dapat membantu memproduksi metrik secara konsisten, tetapi harus disertai governance agar metrik tersebut dapat dipercaya.

3) Data Integrity: Fondasi Model IAS 36 yang Sering Diremehkan

Model impairment sangat bergantung pada data keuangan dan operasional. Risiko siber seperti manipulasi data, akses tidak sah, atau konfigurasi cloud yang keliru bisa merusak integritas data input, sehingga hasil uji IAS 36 menjadi diragukan.

Kontrol defensif yang relevan untuk integritas data:

  • Identity & access management (MFA, least privilege, review akses berkala).
  • Logging dan monitoring yang memadai untuk perubahan data kritikal.
  • Segregation of duties untuk proses yang memengaruhi angka keuangan.
  • Backup dan recovery yang teruji, termasuk perlindungan dari penghapusan/malware.

AI dapat mendeteksi anomali perubahan data atau pola akses tidak biasa, membantu mempercepat respons sebelum dampaknya material.

Control Framework: Mengaitkan Cyber Controls ke Bahasa Audit dan IAS 36

Agar diskusi dengan finance, risk, dan auditor lebih efektif, cyber controls sebaiknya dipetakan ke kerangka kerja yang dikenal. Contohnya:

  • NIST CSF: Identify, Protect, Detect, Respond, Recover.
  • ISO/IEC 27001: kontrol manajemen keamanan informasi dan perbaikan berkelanjutan.
  • CIS Controls: kontrol prioritas yang operasional dan terukur.

Pemetaan ini membantu menunjukkan bahwa program keamanan tidak ad hoc, melainkan sistematis. Dalam konteks IAS 36, ini memperkuat narasi bahwa risiko siber dikelola, sehingga asumsi arus kas dan risiko lebih dapat dipertanggungjawabkan.

AI Governance: Menghindari “Control yang Terlihat Canggih tapi Tidak Andal”

Jika organisasi menggunakan AI untuk keamanan, auditor dan komite audit biasanya akan menanyakan: apakah AI itu dapat diandalkan, bagaimana mengelola false positive/false negative, dan apakah keputusan kritikal masih diawasi manusia.

Komponen governance yang disarankan:

  • Kebijakan penggunaan AI untuk keamanan (tujuan, batasan, dan eskalasi).
  • Model risk management: validasi, monitoring drift, dan evaluasi performa.
  • Data governance: kualitas data log, retensi, dan kontrol akses.
  • Human-in-the-loop untuk tindakan berisiko tinggi (mis. isolasi sistem produksi).
  • Audit trail yang jelas atas alert, investigasi, dan tindakan respons.

Governance ini penting agar AI benar-benar meningkatkan kontrol, bukan sekadar menambah kompleksitas yang sulit diaudit.

Praktik Dokumentasi untuk Mendukung Uji IAS 36 saat Risiko Siber Meningkat

Berikut jenis bukti yang sering membantu ketika organisasi perlu menjelaskan dampak siber dalam impairment test:

  • Post-incident review dan rencana perbaikan (jika ada insiden) beserta status implementasi.
  • Dashboard metrik keamanan yang konsisten (mis. tren phishing, patch compliance, MTTR).
  • Hasil table-top exercise dan uji pemulihan (restore test) yang terdokumentasi.
  • Third-party risk assessment untuk vendor kritikal yang memengaruhi CGU.
  • Catatan capex/opex keamanan yang direncanakan dan justifikasinya ke arus kas.

Tujuannya bukan “membuktikan tidak ada risiko”, melainkan menunjukkan bahwa asumsi model dibuat secara rasional, berbasis bukti, dan konsisten dengan risk management.

Implikasi untuk CGU Digital: SaaS, E-commerce, dan Layanan Berbasis Data

CGU yang sangat bergantung pada ketersediaan layanan dan kepercayaan pelanggan biasanya lebih sensitif terhadap kejadian siber. Dampak non-teknis seperti reputasi dapat menjadi faktor utama impairment. Untuk CGU digital, fokuskan kontrol pada:

  • Availability engineering dan ketahanan (redundancy, DDoS protection, disaster recovery).
  • Data protection (enkripsi, tokenisasi, DLP, kontrol akses ketat).
  • Fraud & abuse monitoring untuk menekan kerugian transaksi dan chargeback.
  • Secure SDLC agar risiko kerentanan aplikasi tidak menjadi biaya kejutan.

AI dapat meningkatkan monitoring dan deteksi, tetapi tetap perlu baseline kontrol dasar yang kuat.

Checklist Ringkas: Menyatukan Finance, Risk, dan Security untuk IAS 36

  • Identifikasi aset/CGU yang paling terdampak oleh risiko siber (data, platform, brand).
  • Definisikan skenario dampak siber ke arus kas (downtime, denda, churn, biaya pemulihan).
  • Pastikan kontrol kunci (IAM, backup, logging, incident response) diuji dan terdokumentasi.
  • Gunakan AI secara terarah untuk observabilitas dan prioritisasi, bukan sekadar “AI washing”.
  • Selaraskan asumsi antara model impairment, risk register, dan rencana keamanan/capex.

FAQ: AI, IAS 36 Impairment, dan Cyber Controls

1) Apakah insiden siber otomatis berarti harus mengakui impairment menurut IAS 36?

Tidak selalu. Insiden siber adalah indikator potensial yang dapat memicu kebutuhan melakukan penilaian impairment. Keputusan akhirnya bergantung pada apakah insiden tersebut (atau eksposur yang terungkap) menurunkan recoverable amount di bawah nilai tercatat aset/CGU.

2) Apakah investasi cyber controls dan AI bisa “mencegah” impairment?

Kontrol yang kuat dapat mengurangi probabilitas dan dampak insiden, sehingga membantu menjaga arus kas dan menstabilkan profil risiko. Namun, impairment tetap merupakan hasil perhitungan IAS 36; kontrol tidak menggantikan kebutuhan untuk menguji dan mendokumentasikan asumsi secara memadai.

3) Bukti apa yang paling membantu auditor ketika cyber risk digunakan dalam asumsi model IAS 36?

Biasanya kombinasi: risk assessment yang mutakhir, hasil uji kontrol, metrik ketahanan (RTO/RPO dan uji pemulihan), catatan insiden dan perbaikan, serta keterkaitan yang jelas antara temuan siber dengan penyesuaian arus kas atau risk premium.

4) Apakah penggunaan AI dalam keamanan menambah risiko kepatuhan atau audit?

Bisa, jika tidak ada governance. AI dapat menimbulkan isu seperti kualitas data, bias, drift model, dan kurangnya audit trail. Karena itu, AI governance (validasi, monitoring, kontrol akses, dan human oversight) penting agar kontrol tetap dapat diandalkan dan dapat diaudit.

5) Bagaimana cara memulai jika tim finance dan security belum selaras?

Mulailah dari pemetaan CGU dan aset kritikal, lalu sepakati skenario dampak siber terhadap arus kas dan biaya. Setelah itu, tentukan kontrol kunci dan metrik yang akan dipantau bersama. Pertemuan rutin triwulanan antara finance, risk, dan security sering efektif untuk menjaga konsistensi asumsi dan dokumentasi.

Kesimpulan: Keyword “AI IAS 36 impairment cyber controls” mencerminkan kenyataan bahwa keamanan siber kini berpengaruh langsung pada pelaporan keuangan. AI dapat memperkuat kontrol defensif, meningkatkan visibilitas risiko, dan memperbaiki kualitas bukti untuk uji impairment. Namun, nilai terbesar muncul ketika AI ditempatkan dalam kerangka governance dan kontrol dasar yang kuat—sehingga model IAS 36 menjadi lebih realistis, konsisten, dan siap diaudit.

ai securityaudit readinesscyber riskdata integrityGRCIAS 36impairmentInformation Securityinternal controlRisk Management
By