AI, IASB, dan urgensi cyber disclosure controls

Keyword ai iasb cyber disclosure controls semakin sering muncul karena dua tren berjalan beriringan: peningkatan insiden siber yang berdampak finansial, serta ekspektasi pemangku kepentingan agar perusahaan transparan dan konsisten saat mengungkapkan risiko serta kejadian material. Di sisi lain, AI mulai digunakan untuk memantau ancaman, mengolah bukti, dan membantu menyiapkan narasi pelaporan. Kombinasi ini memunculkan pertanyaan praktis: bagaimana memastikan pengungkapan terkait siber akurat, tepat waktu, dan dapat dipertanggungjawabkan—tanpa menambah risiko baru?

Dalam konteks standar pelaporan keuangan, IASB (International Accounting Standards Board) menetapkan IFRS yang mendorong pengungkapan yang relevan dan material untuk pengambilan keputusan. Meski IASB tidak menerbitkan “standar cyber” khusus, dampak siber dapat mempengaruhi berbagai area pelaporan: ketidakpastian kelangsungan usaha, provisi, penurunan nilai aset, kewajiban kontinjensi, serta risiko likuiditas dan operasional yang mempengaruhi angka dan catatan laporan keuangan.

Di sinilah cyber disclosure controls berperan: serangkaian kebijakan, proses, peran, dan bukti yang memastikan informasi siber yang diungkapkan (di laporan tahunan, laporan keuangan, MD&A, atau komunikasi regulator) adalah lengkap, akurat, konsisten, dan disetujui oleh pihak yang tepat. Artikel ini membahas cara mendesain kontrol tersebut dengan pendekatan defensif, termasuk bagaimana memanfaatkan AI secara aman.

Apa itu cyber disclosure controls dan mengapa terkait IASB?

Cyber disclosure controls adalah kontrol internal yang mengatur bagaimana organisasi:

  • mengumpulkan fakta insiden dan risiko siber,
  • menilai materialitas dan dampak finansial,
  • menyusun narasi pengungkapan yang konsisten,
  • menyetujui dan mendokumentasikan keputusan pengungkapan,
  • menjaga jejak audit (audit trail) dan bukti pendukung.

Kaitannya dengan IASB muncul karena pengungkapan dalam IFRS sangat menekankan relevansi dan materialitas. Insiden siber dapat memicu kebutuhan pertimbangan akuntansi dan pengungkapan, misalnya:

  • Peristiwa setelah periode pelaporan: insiden terjadi setelah tanggal laporan tetapi sebelum laporan diterbitkan, perlu dievaluasi apakah menyesuaikan angka atau hanya diungkapkan.
  • Provisi dan kewajiban: biaya pemulihan, denda, atau gugatan dapat menimbulkan kewajiban kini/estimasi.
  • Penurunan nilai: gangguan operasi atau hilangnya pelanggan dapat mempengaruhi recoverable amount aset/cash-generating unit.
  • Risiko keuangan: serangan ransomware dapat mempengaruhi arus kas, likuiditas, dan risiko kredit.

Intinya, ketika dampak siber berpotensi material bagi pengguna laporan keuangan, organisasi memerlukan kontrol yang disiplin agar pengungkapan tidak sekadar reaktif, tetapi terstruktur dan terverifikasi.

Peran AI dalam pengungkapan siber: peluang dan risiko

AI dapat membantu meningkatkan kualitas dan kecepatan proses, terutama untuk organisasi besar dengan banyak sistem dan vendor. Namun AI bukan pengganti governance. Dalam konteks ai iasb cyber disclosure controls, peran AI sebaiknya diposisikan sebagai pendukung yang memperkuat kontrol, bukan sebagai penentu tunggal.

Peluang penggunaan AI (defensif)

  • Normalisasi data insiden: menyatukan temuan dari SIEM, EDR, ticketing, dan laporan vendor ke format yang konsisten.
  • Analisis tren dan indikator: membantu mengidentifikasi pola berulang yang dapat menjadi “risk factor” untuk diungkapkan.
  • Drafting terkontrol: membantu menyiapkan draf narasi pengungkapan berbasis template yang telah disetujui (dengan review manusia).
  • Deteksi anomali dokumentasi: menandai inkonsistensi antara kronologi insiden, estimasi biaya, dan catatan internal.

Risiko AI yang perlu dikontrol

  • Hallucination: AI dapat “mengarang” detail insiden atau estimasi bila input tidak lengkap.
  • Data leakage: memasukkan detail insiden sensitif ke layanan AI publik dapat melanggar kerahasiaan atau kontrak.
  • Bias dan overconfidence: rekomendasi AI dapat mendorong kesimpulan materialitas yang tidak selaras dengan kebijakan akuntansi.
  • Auditability: tanpa logging dan kontrol versi, sulit membuktikan siapa memutuskan apa dan berdasarkan data apa.

Karena itu, kontrol AI harus mencakup pembatasan data, persetujuan manusia, dan jejak audit yang kuat.

Komponen utama cyber disclosure controls yang “siap audit”

Berikut desain kontrol yang umum dipakai organisasi matang, disesuaikan agar relevan dengan kebutuhan pelaporan berbasis IASB/IFRS.

1) Governance: siapa bertanggung jawab atas pengungkapan?

Kontrol dimulai dari struktur. Tanpa RACI (Responsible, Accountable, Consulted, Informed), pengungkapan rawan terlambat atau saling bertentangan.

  • Owner proses: biasanya Finance/Controllership atau Disclosure Committee.
  • Input utama: CISO/Head of Security, Legal/Compliance, Risk Management, IT Ops, Privacy Officer.
  • Approval: CFO, General Counsel, dan bila diperlukan CEO/Board/Audit Committee.
  • Escalation path: kriteria kapan insiden masuk jalur “fast track disclosure review”.

Dokumentasikan rapat, keputusan, dan alasan (rationale) secara konsisten agar dapat diaudit.

2) Definisi dan klasifikasi insiden yang seragam

Sering terjadi “lost in translation”: tim keamanan menyebut “severity tinggi”, sedangkan tim keuangan butuh estimasi dampak finansial. Buat taksonomi bersama:

  • Kategori insiden: ransomware, data breach, DDoS, fraud, vendor compromise, dll.
  • Dimensi dampak: downtime, kehilangan data, gangguan supply chain, biaya respons, potensi litigasi, dampak reputasi.
  • Confidence level: indikasi awal vs terkonfirmasi (penting untuk menghindari overstatement/understatement).

Kontrol: setiap insiden yang melewati ambang tertentu wajib memiliki “incident summary” standar (tanggal, sistem terdampak, status pemulihan, estimasi awal biaya, asumsi).

3) Penilaian materialitas dan “link” ke pelaporan

Materialitas dalam IFRS adalah konsep kunci, dan cyber disclosure controls harus memfasilitasi penilaian ini secara disiplin. Praktiknya, buat matriks materialitas siber yang menghubungkan:

  • Estimasi dampak finansial (biaya langsung, kehilangan pendapatan, denda, klaim asuransi),
  • Probabilitas (untuk kewajiban/ketidakpastian),
  • Dampak operasional (misalnya gangguan layanan kritikal),
  • Faktor kualitatif (regulator, pelanggan kunci, data sensitif).

Kontrol: keputusan “perlu diungkap / tidak” harus memiliki dokumentasi yang menjelaskan data yang digunakan, ketidakpastian, serta siapa yang menyetujui. Ini penting untuk menjaga konsistensi ketika auditor atau regulator menanyakan alasan di balik keputusan.

4) Kontrol kualitas data: dari SOC ke Finance

Pengungkapan yang baik bergantung pada data yang benar. Karena sumber data insiden tersebar, terapkan kontrol berikut:

  • Single source of truth: repositori insiden terpusat (GRC/ticketing) dengan kontrol akses.
  • Change control: setiap perubahan kronologi/estimasi harus memiliki catatan versi.
  • Rekonsiliasi: biaya insiden di ticketing vs invoice vendor vs jurnal akuntansi harus dapat ditelusuri.
  • Data retention: kebijakan penyimpanan bukti forensik dan dokumentasi keputusan.

Jika memakai AI untuk merangkum data, kontrolnya adalah: input harus berasal dari repositori resmi, output diberi label “draft”, dan wajib melalui review manusia sebelum digunakan untuk pengungkapan eksternal.

5) Template narasi dan kontrol konsistensi antar dokumen

Perusahaan sering memiliki banyak kanal pengungkapan: laporan keuangan, laporan tahunan, situs investor relations, serta komunikasi insiden. Risiko utamanya adalah narasi tidak konsisten.

  • Template risiko siber: definisi, cakupan, dan bahasa yang disetujui Legal dan Finance.
  • Kontrol “cross-document consistency”: checklist yang membandingkan angka/kalimat kunci antar dokumen.
  • Disclosure style guide: aturan istilah (misalnya “insiden”, “akses tidak sah”, “data pribadi”) agar tidak ambigu.

AI dapat membantu melakukan perbandingan konsistensi, tetapi keputusan final tetap pada komite pengungkapan.

6) Integrasi dengan incident response dan komunikasi krisis

Cyber disclosure controls tidak boleh berdiri sendiri. Ia harus terhubung ke incident response plan agar aliran informasi jelas sejak menit pertama insiden.

  • Trigger: kriteria kapan IR harus memberi notifikasi ke Finance/Disclosure Committee.
  • Cadence: rapat harian selama insiden besar untuk memperbarui estimasi dampak.
  • Legal hold: mekanisme membekukan log/dokumen relevan untuk kebutuhan investigasi dan audit.

Tujuannya bukan “mengungkap sedini mungkin” tanpa verifikasi, melainkan memastikan organisasi siap membuat pengungkapan yang tepat ketika diwajibkan dan ketika informasi telah cukup andal.

7) Kontrol pihak ketiga (vendor) dan supply chain

Banyak kejadian material berasal dari pihak ketiga: SaaS, payment processor, data center, atau MSP. Kontrol yang disarankan:

  • Kontrak: klausul notifikasi insiden, SLA pelaporan, dan hak audit.
  • Due diligence: penilaian kontrol keamanan dan bukti (misalnya laporan assurance) sebelum onboarding.
  • Vendor incident intake: format standar untuk menerima laporan insiden dari vendor agar cepat dinilai dampaknya.

Checklist implementasi 90 hari (realistis untuk banyak organisasi)

Jika Anda memulai dari nol atau kontrol masih ad hoc, berikut langkah bertahap yang umum berhasil:

  • Minggu 1–2: bentuk disclosure working group lintas fungsi; tetapkan RACI dan jalur eskalasi.
  • Minggu 3–6: buat taksonomi insiden, template ringkasan insiden, dan matriks materialitas siber.
  • Minggu 7–10: siapkan repositori terpusat, kontrol versi, dan checklist konsistensi antar dokumen.
  • Minggu 11–13: lakukan tabletop exercise (simulasi) insiden besar untuk menguji alur data, keputusan materialitas, dan approval.

Untuk penggunaan AI, mulai dari kasus aman: peringkasan internal berbasis data yang sudah disanitasi, dengan logging dan persetujuan manusia. Hindari memasukkan bukti forensik mentah ke layanan AI publik tanpa review keamanan dan legal.

Kesalahan umum yang membuat pengungkapan siber berisiko

  • Menunda pelibatan Finance: estimasi biaya jadi terlambat dan tidak tertelusur.
  • Tidak ada audit trail: keputusan “tidak material” tanpa dokumentasi rentan dipertanyakan.
  • Narasi terlalu teknis: pengguna laporan keuangan butuh dampak, asumsi, dan ketidakpastian—bukan detail alat/eksploit.
  • AI tanpa guardrails: output AI dipakai langsung, menyebabkan ketidakakuratan atau kebocoran data.
  • Template copy-paste: pengungkapan generik yang tidak mencerminkan profil risiko perusahaan dapat dianggap kurang informatif.

FAQ: AI, IASB, dan cyber disclosure controls

Apa hubungan IASB dengan pengungkapan insiden siber?

IASB menetapkan IFRS yang menuntut pengungkapan informasi material bagi pengguna laporan keuangan. Insiden siber dapat berdampak pada angka (biaya, provisi, impairment) maupun catatan (risiko, ketidakpastian, peristiwa setelah periode pelaporan). Karena itu, kontrol pengungkapan diperlukan agar informasi yang disajikan konsisten, dapat dibuktikan, dan selaras dengan prinsip IFRS.

Apakah setiap insiden siber harus diungkapkan di laporan keuangan?

Tidak selalu. Yang menjadi kunci adalah materialitas dan relevansi terhadap pengguna laporan keuangan, termasuk dampak finansial serta faktor kualitatif. Cyber disclosure controls membantu memastikan keputusan “diungkap/tidak” dibuat melalui proses yang terdokumentasi, bukan sekadar intuisi.

Bagaimana menggunakan AI tanpa meningkatkan risiko kepatuhan dan kebocoran data?

Terapkan guardrails: batasi jenis data yang boleh masuk, gunakan sumber data internal yang terkontrol, aktifkan logging, dan wajibkan review manusia sebelum output dipakai untuk komunikasi eksternal. Idealnya gunakan lingkungan AI yang disetujui perusahaan (misalnya enterprise setup) dan lakukan penilaian risiko vendor.

Siapa yang seharusnya menjadi pemilik proses cyber disclosure controls?

Umumnya Finance/Disclosure Committee menjadi pemilik proses karena terkait pelaporan eksternal, sementara tim keamanan (CISO/SOC) menjadi penyedia fakta dan penilaian teknis. Legal, Risk, Privacy, dan Internal Audit berperan penting untuk memastikan kepatuhan, konsistensi, dan kesiapan audit.

Apa indikator bahwa cyber disclosure controls sudah matang?

Indikatornya antara lain: ada repositori insiden terpusat dengan kontrol versi, matriks materialitas yang dipakai konsisten, persetujuan lintas fungsi terdokumentasi, narasi antar dokumen selaras, serta simulasi (tabletop) yang menunjukkan proses tetap berjalan meski di bawah tekanan insiden.

Penutup

Topik ai iasb cyber disclosure controls pada dasarnya adalah tentang membangun jembatan yang dapat diaudit antara dunia keamanan siber dan dunia pelaporan berbasis IASB/IFRS. AI dapat mempercepat analisis dan meningkatkan konsistensi, tetapi hanya efektif bila ditempatkan di dalam kerangka kontrol yang kuat: governance yang jelas, data yang tertelusur, penilaian materialitas yang terdokumentasi, dan proses persetujuan yang disiplin. Dengan pendekatan ini, organisasi dapat meningkatkan transparansi sekaligus mengurangi risiko salah ungkap, keterlambatan, atau inkonsistensi yang dapat merusak kepercayaan pemangku kepentingan.

ai securitycyber disclosure controlsGovernanceGRCIASBIFRSincident responseInternal ControlsRisk Managementthird-party risk
By