AI IFRS Cyber Control Matrix adalah cara sistematis untuk memetakan risiko siber dan kontrol keamanan ketika organisasi menggunakan AI (termasuk machine learning dan generative AI) dalam proses yang berdampak pada pelaporan keuangan berbasis IFRS. Tujuannya bukan sekadar “aman”, tetapi aman dan dapat diaudit: siapa melakukan apa, data apa yang dipakai, bagaimana model berubah, dan bukti apa yang tersedia saat auditor atau internal audit meminta.

Di banyak perusahaan, AI mulai dipakai untuk otomatisasi rekonsiliasi, klasifikasi transaksi, deteksi anomali, penyusunan estimasi akuntansi (misalnya expected credit loss), hingga membantu penyusunan narasi laporan. Jika tidak dikendalikan, penggunaan ini membuka risiko baru: integritas data terganggu, akses berlebihan, perubahan model tidak terkelola, ketergantungan vendor, dan kesulitan membuktikan “ketertelusuran” keputusan model.

Apa Hubungan AI, IFRS, dan Risiko Siber?

IFRS menekankan kualitas informasi keuangan: relevan, andal, dapat dibandingkan, dan dapat diverifikasi. Ketika AI terlibat, kualitas ini bisa terdampak oleh isu siber, misalnya:

  • Integrity risk: data input dimodifikasi (sengaja atau tidak), menghasilkan output salah.
  • Availability risk: pipeline data/model terganggu, proses pelaporan terlambat.
  • Confidentiality risk: data keuangan atau data pelanggan bocor saat training/inference.
  • Model risk: model “drift”, bias, atau salah konfigurasi sehingga estimasi akuntansi melenceng.
  • Governance & auditability: sulit menjelaskan asal-usul data, versi model, dan log keputusan.

Karena itu, organisasi membutuhkan matriks kontrol yang menyatukan cybersecurity + governance AI + kebutuhan evidencing untuk kepatuhan dan audit.

Apa Itu Cyber Control Matrix untuk AI dalam Konteks IFRS?

Secara sederhana, Cyber Control Matrix adalah tabel/kerangka yang memetakan:

  • Proses (misalnya: ekstraksi data GL, training model, deployment, penggunaan output di reporting).
  • Risiko (misalnya: akses tidak sah, perubahan tidak tercatat, data tidak valid).
  • Kontrol (preventive/detective/corrective).
  • Pemilik kontrol (IT, Security, Finance, Data, Risk, Vendor).
  • Frekuensi (real-time, harian, per rilis, kuartalan).
  • Bukti (log, tiket perubahan, hasil review, laporan monitoring).

Dalam konteks IFRS, matriks ini biasanya disejajarkan dengan kontrol yang berdampak pada pelaporan keuangan (sering disebut IT General Controls/ITGC dan kontrol aplikasi), tetapi diperluas untuk mencakup kontrol spesifik AI seperti manajemen dataset, versioning model, dan evaluasi drift.

Komponen Inti AI IFRS Cyber Control Matrix

Berikut domain yang umum digunakan untuk menyusun matriks yang praktis. Anda dapat menyesuaikan kedalaman sesuai tingkat materialitas proses terhadap laporan keuangan.

1) Governance & Akuntabilitas (RACI yang jelas)

Masalah paling sering bukan teknologi, melainkan “siapa yang bertanggung jawab”. Kontrol yang disarankan:

  • Kebijakan penggunaan AI untuk proses pelaporan: mendefinisikan use case yang boleh, dilarang, dan butuh persetujuan khusus.
  • RACI & pemilik model: setiap model punya owner bisnis (Finance) dan owner teknis (Data/IT) serta penanggung jawab keamanan (Security).
  • Model inventory: daftar model yang mempengaruhi angka/narasi pelaporan, termasuk tujuan, sumber data, versi, dan lokasi deployment.

Bukti: dokumen kebijakan, daftar inventaris model, notulen komite risiko/AI.

2) Data Governance (kualitas, lineage, dan minimisasi)

IFRS sangat bergantung pada kualitas data. AI memperbesar ketergantungan itu karena “garbage in, garbage out”. Kontrol yang relevan:

  • Data classification: penandaan data keuangan sensitif, PII, dan data pihak ketiga, termasuk aturan akses dan retensi.
  • Data lineage: ketertelusuran dari sumber (ERP/GL) ke feature store dan output model.
  • Validasi kualitas data: cek kelengkapan, duplikasi, outlier ekstrem, serta rekonsiliasi terhadap sumber otoritatif.
  • Minimisasi & masking: hanya gunakan data yang diperlukan; masking untuk data sensitif pada lingkungan non-produksi.

Bukti: laporan data quality, diagram lineage, aturan masking, hasil rekonsiliasi.

3) Akses & Segregation of Duties (SoD)

Kontrol akses menjadi kritikal karena AI biasanya melibatkan banyak komponen: data lake, notebook, pipeline, model registry, dan aplikasi reporting.

  • Least privilege untuk data training/inference dan repositori model.
  • SoD: pemisahan peran antara pembuat model, approver, dan deployer (terutama untuk model yang mempengaruhi angka material).
  • Multi-factor authentication pada akun admin, akses cloud, dan sistem pipeline.
  • Periodic access review untuk grup akses kritikal (kuartalan/semesteran).

Bukti: daftar role, hasil access review, log autentikasi, tiket permintaan akses.

4) Keamanan Pipeline & Infrastruktur (MLOps/LLMOps)

AI bergantung pada pipeline otomatis. Jika pipeline tidak aman, output bisa rusak tanpa terlihat.

  • Hardening lingkungan: baseline konfigurasi, patching terjadwal, dan kontrol endpoint pada server/notebook.
  • Secrets management: kunci API, kredensial database, dan token disimpan di vault; dilarang hardcode.
  • Network segmentation: pemisahan jaringan untuk data sensitif dan workload AI.
  • Container/image scanning dan dependency management untuk mengurangi risiko supply chain.

Bukti: laporan vulnerability scanning, konfigurasi vault, bukti patching, diagram segmentasi.

5) Change Management & Versioning (data, kode, model)

Dalam pelaporan IFRS, perubahan kecil bisa berdampak besar. Dengan AI, perubahan bisa terjadi di data, kode, parameter, atau prompt.

  • Version control untuk kode dan konfigurasi pipeline.
  • Model registry dengan versi, tanggal rilis, metrik performa, dan persetujuan.
  • Approval workflow sebelum model/prompt digunakan pada proses pelaporan.
  • Reproducibility: kemampuan mengulang training/inference dengan dataset & versi yang sama untuk kebutuhan audit.

Bukti: tiket perubahan, catatan persetujuan, tag rilis, artefak training dan parameter.

6) Monitoring, Logging, dan Deteksi Anomali

Kontrol detektif memastikan masalah terlihat cepat sebelum angka masuk laporan final.

  • Centralized logging untuk akses data, eksekusi pipeline, dan penggunaan model.
  • Model performance monitoring: drift data, drift konsep, penurunan metrik, serta alert.
  • Reconciling control: perbandingan output AI terhadap baseline (aturan akuntansi/threshold) dan sampling review oleh Finance.
  • Audit trail: siapa menjalankan apa, kapan, input apa, output apa.

Bukti: dashboard monitoring, alert history, log SIEM, hasil review sampling.

7) Kontrol Output: Human-in-the-Loop dan Validasi Akuntansi

AI sebaiknya tidak menjadi “kotak hitam” yang langsung mengubah angka pelaporan. Kontrol output membantu memenuhi prinsip kehati-hatian dan verifiability.

  • Human review untuk jurnal material, estimasi signifikan, atau perubahan klasifikasi akun.
  • Business rule guardrails: aturan akuntansi minimum yang harus dipenuhi sebelum output diterima (misalnya batas toleransi).
  • Exception handling: alur penanganan saat AI memberi hasil aneh (fallback manual, eskalasi).

Bukti: checklist review, daftar pengecualian, persetujuan final Finance controller.

8) Manajemen Pihak Ketiga (Vendor, Cloud, Model Provider)

Jika AI menggunakan layanan cloud/LLM pihak ketiga, risiko kepatuhan dan kebocoran meningkat.

  • Vendor due diligence: evaluasi keamanan, lokasi data, subprocessor, dan komitmen kontraktual.
  • Kontrak & DPA: klausul retensi, penggunaan data untuk training, pelaporan insiden, dan hak audit.
  • Configuration review: memastikan mode privasi, enkripsi, dan pembatasan logging sensitif.

Bukti: hasil penilaian vendor, klausul kontrak, konfigurasi tenant, laporan kepatuhan vendor.

9) Incident Response & Backup/Recovery

Karena pelaporan IFRS memiliki deadline ketat, ketahanan operasional sangat penting.

  • Runbook insiden AI: skenario kebocoran data, output salah masif, pipeline gagal, atau kompromi akun.
  • Backup untuk dataset penting, artefak model, dan konfigurasi pipeline.
  • Disaster recovery test: uji pemulihan untuk memastikan proses pelaporan tetap berjalan.

Bukti: laporan drill, hasil uji restore, timeline penanganan insiden (jika pernah).

Contoh Struktur Matriks (Cara Mengisinya)

Agar tidak berhenti di konsep, gunakan pendekatan “baris per risiko kunci” untuk tiap tahap siklus AI:

  • Tahap: Ingest data GL/ERP → Risiko: data tidak lengkap/terubah → Kontrol: rekonsiliasi + checksum + access logging → Bukti: laporan rekonsiliasi, log akses.
  • Tahap: Training → Risiko: dataset salah versi/terkontaminasi → Kontrol: dataset versioning + approval dataset → Bukti: metadata dataset, tiket persetujuan.
  • Tahap: Deployment → Risiko: model versi tidak sah dirilis → Kontrol: release gate + SoD + CI/CD approval → Bukti: catatan rilis, approval pipeline.
  • Tahap: Inference untuk pelaporan → Risiko: output menyimpang (drift) → Kontrol: monitoring drift + threshold alert + human review → Bukti: dashboard drift, sampling review.

Langkah Implementasi yang Realistis (Bukan Sekadar Dokumen)

1) Tentukan “materiality map”

Daftarkan use case AI yang berdampak langsung pada angka laporan, estimasi, atau pengungkapan. Prioritaskan kontrol ketat untuk yang material.

2) Standarkan definisi bukti (evidence) sejak awal

Sering kali kontrol ada, tetapi bukti tercecer. Tetapkan format bukti: link dashboard, export log, tiket perubahan, atau laporan review yang ditandatangani.

3) Gabungkan bahasa Finance, IT, dan Security

Matriks yang efektif menghindari jargon berlebihan. Pastikan setiap kontrol menjawab: apa yang dicegah/dideteksi, siapa pemiliknya, dan bagaimana membuktikannya.

4) Automasi kontrol yang berulang

Gunakan logging terpusat, policy-as-code untuk konfigurasi, serta alert otomatis untuk drift dan akses anomali. Ini mengurangi human error dan memperkuat audit trail.

5) Uji kontrol dengan tabletop audit

Sebelum audit sungguhan, lakukan simulasi permintaan auditor: minta tim menunjukkan bukti versi model, persetujuan rilis, lineage data, dan hasil monitoring untuk periode tertentu.

Kesalahan Umum yang Perlu Dihindari

  • Menganggap AI = aplikasi biasa tanpa kontrol drift, versioning dataset, dan reproducibility.
  • Over-reliance pada vendor tanpa due diligence dan klausul kontrak yang jelas.
  • Prompt/konfigurasi tidak dikelola (untuk genAI), sehingga perubahan kecil tidak tercatat namun memengaruhi output.
  • Kontrol ada di kertas tetapi bukti tidak siap atau tidak konsisten.

FAQ: AI IFRS Cyber Control Matrix

Apa bedanya AI IFRS Cyber Control Matrix dengan ITGC biasa?

ITGC fokus pada kontrol umum TI (akses, perubahan, operasi) untuk sistem pelaporan. AI IFRS Cyber Control Matrix memperluasnya dengan kontrol spesifik AI: dataset governance, versioning model, monitoring drift, reproducibility, dan kontrol output (human-in-the-loop) yang dibutuhkan agar hasil AI tetap andal dan dapat diverifikasi.

Apakah semua penggunaan AI untuk IFRS harus dikontrol seketat itu?

Tidak semuanya. Terapkan pendekatan berbasis risiko dan materialitas. Use case yang hanya membantu pekerjaan administratif berisiko rendah bisa memiliki kontrol lebih ringan. Namun, jika AI mempengaruhi angka material, estimasi signifikan, atau pengungkapan, kontrol perlu lebih ketat dan bukti harus audit-ready.

Bukti apa yang paling sering diminta auditor terkait AI?

Umumnya auditor meminta audit trail: sumber data dan lineage, siapa yang mengubah model/prompt dan kapan, persetujuan perubahan, hasil monitoring (drift/performa), serta bukti review manual untuk pengecualian. Karena itu, siapkan log terpusat, tiket perubahan, dan laporan review yang konsisten.

Bagaimana jika organisasi memakai layanan LLM pihak ketiga?

Fokus pada kontrol pihak ketiga: due diligence keamanan, klausul kontrak terkait penggunaan/retensi data, konfigurasi privasi, enkripsi, serta pembatasan data sensitif. Pastikan juga ada rencana fallback jika layanan tidak tersedia saat periode pelaporan.

Penutup

AI dapat mempercepat dan meningkatkan kualitas proses pelaporan IFRS, tetapi hanya jika ditopang kontrol siber dan governance yang kuat. Dengan menyusun AI IFRS Cyber Control Matrix, organisasi memperoleh peta yang jelas tentang risiko, kontrol, pemilik, frekuensi, dan bukti. Hasilnya bukan hanya keamanan yang lebih baik, melainkan keandalan pelaporan keuangan dan kesiapan audit yang lebih tinggi.

ai governanceauditControl MatrixCybersecurity ControlsData Governancefinancial reportingGRCIFRSITGCModel Risk Management
By