AI IFRS S1 cyber governance kini menjadi kombinasi topik yang semakin sering muncul di ruang rapat, audit committee, dan meja kerja tim GRC. Alasannya sederhana: adopsi AI memperluas permukaan risiko (data, model, vendor, dan integrasi), sementara IFRS S1 mendorong perusahaan untuk mengungkap risiko dan peluang keberlanjutan yang material terhadap prospek arus kas, akses pendanaan, dan biaya modal. Risiko siber—termasuk yang dipicu penggunaan AI—makin mudah menjadi material karena dapat menghentikan operasi, memicu denda, atau merusak kepercayaan pasar.

Artikel ini membahas cara menyatukan perspektif keamanan siber, tata kelola AI, dan tuntutan pengungkapan IFRS S1 menjadi praktik cyber governance yang konsisten, defensif, dan siap dipertanggungjawabkan.

Apa itu IFRS S1 dan mengapa relevan untuk risiko siber dan AI?

IFRS S1 (dari ISSB) menetapkan persyaratan umum untuk pengungkapan informasi keuangan terkait keberlanjutan. Intinya: perusahaan perlu menyajikan informasi yang berguna bagi investor untuk menilai bagaimana risiko dan peluang keberlanjutan memengaruhi prospek perusahaan.

Di banyak industri, insiden siber bukan lagi isu teknis semata. Dampaknya dapat meliputi downtime, kehilangan pendapatan, biaya pemulihan, litigasi, penalti regulator, kenaikan premi asuransi, hingga gangguan rantai pasok. Ketika AI digunakan untuk proses inti (misalnya layanan pelanggan, scoring risiko, otomasi operasional, atau deteksi fraud), maka risiko siber dan risiko AI dapat saling memperkuat.

Konsekuensinya: cyber governance perlu dirancang agar menghasilkan bukti (evidence) dan metrik yang dapat mendukung pengungkapan yang kredibel, konsisten, dan tidak sekadar narasi.

Konsep kunci: “governance” dalam IFRS S1 dan penerapannya pada cybersecurity

Struktur pengungkapan IFRS S1 umumnya selaras dengan empat pilar: Governance, Strategy, Risk Management, serta Metrics and Targets. Untuk konteks keamanan siber dan AI, pilar-pilar ini dapat diterjemahkan menjadi pertanyaan praktis:

  • Governance: Siapa yang mengawasi risiko siber/AI? Seberapa sering dibahas? Bagaimana akuntabilitas dan kompetensi ditetapkan?
  • Strategy: Bagaimana risiko siber/AI memengaruhi model bisnis, keputusan investasi, dan ketahanan operasional?
  • Risk Management: Bagaimana risiko diidentifikasi, dinilai, dimitigasi, dan dimonitor? Bagaimana integrasinya dengan ERM?
  • Metrics and Targets: Metrik apa yang digunakan untuk menilai kesiapan dan efektivitas kontrol? Target apa yang ditetapkan dan bagaimana kemajuannya?

Dengan kerangka ini, perusahaan bisa menghindari dua jebakan umum: (1) cyber governance yang “sibuk kontrol” tetapi sulit dijelaskan secara bisnis, dan (2) pengungkapan yang bagus di atas kertas tetapi miskin bukti operasional.

Risiko AI yang memperluas risiko siber: apa yang harus diawasi?

AI menambah aset baru (model, pipeline data, prompt, API, dan konfigurasi), serta pola serangan baru yang relevan secara defensif. Tanpa masuk ke detail penyalahgunaan, berikut kategori risiko yang penting untuk governance:

  • Risiko data: kebocoran data sensitif, penggunaan data tanpa dasar yang jelas, kualitas data buruk, dan retensi data yang tidak terkontrol.
  • Risiko model: model menghasilkan output yang keliru, bias, atau tidak stabil; perubahan performa (model drift) yang memengaruhi keputusan bisnis.
  • Risiko integrasi: AI terhubung dengan sistem inti (ERP, CRM, tiket layanan, sistem pembayaran), sehingga kesalahan atau kompromi berdampak lintas fungsi.
  • Risiko pihak ketiga: layanan AI berbasis cloud, marketplace model, konsultan, dan vendor data menambah ketergantungan serta risiko supply chain.
  • Risiko operasional: kurangnya prosedur perubahan (change management), minim logging, dan keterbatasan respons insiden khusus AI.

Cyber governance yang baik memastikan risiko-risiko ini tidak diperlakukan sebagai proyek terpisah, melainkan sebagai bagian dari risiko perusahaan yang bisa berdampak finansial.

Mendesain cyber governance yang “IFRS S1-ready” untuk organisasi yang mengadopsi AI

1) Struktur peran dan akuntabilitas: dari Board sampai tim teknis

Untuk mendukung pilar Governance, tetapkan struktur yang jelas:

  • Dewan/Audit Committee: menyetujui risk appetite, menerima laporan metrik kunci, dan menantang manajemen terkait kesiapan ketahanan siber.
  • Manajemen eksekutif: memastikan pendanaan, prioritas, dan integrasi dengan strategi bisnis (misalnya target adopsi AI yang sejalan dengan kontrol).
  • CISO/Head of Security: memiliki mandat dan wewenang untuk kebijakan keamanan, kontrol, dan pelaporan risiko.
  • AI Governance Lead/Model Risk: mengelola inventaris model, penilaian risiko AI, dan persetujuan penggunaan (use-case approval).
  • Risk/Compliance/ERM: menghubungkan cyber risk dengan risk register, skenario, serta penilaian materialitas untuk disclosure.

Dokumentasikan jalur eskalasi, frekuensi rapat, serta format pelaporan. Praktik sederhana seperti notulen, keputusan, dan daftar tindakan menjadi artefak penting ketika organisasi perlu menunjukkan konsistensi governance.

2) Inventaris aset AI dan klasifikasi risiko

IFRS S1 menuntut konsistensi dan kelengkapan informasi. Mulailah dengan inventaris:

  • Daftar use case AI yang aktif dan yang direncanakan (termasuk tujuan bisnis dan pemilik proses).
  • Daftar model (internal, vendor, open-source), versi, lokasi hosting, dan dependensi.
  • Aliran data: sumber, kategori data (publik/internal/rahasia), lokasi penyimpanan, dan retensi.
  • Integrasi: sistem yang diakses AI, hak akses, dan batasan (guardrails).

Klasifikasikan berdasarkan dampak: misalnya AI yang memengaruhi keputusan finansial, layanan pelanggan massal, atau proses kritikal operasional biasanya memerlukan kontrol lebih ketat serta pemantauan lebih intensif.

3) Integrasikan cyber risk ke ERM dan materiality assessment

Untuk relevansi IFRS S1, risiko siber/AI perlu diterjemahkan ke bahasa bisnis:

  • Skenario dampak: downtime, kehilangan pendapatan, biaya pemulihan, penalti, kehilangan kontrak, atau gangguan pemasok.
  • Probabilitas dan eksposur: profil ancaman, ketergantungan pihak ketiga, serta tingkat kesiapan kontrol.
  • Ambang materialitas internal: parameter yang disepakati untuk memutuskan kapan risiko/insiden perlu diangkat ke level disclosure.

Hasilnya harus masuk ke risk register dan dibahas dalam forum risiko yang sama dengan risiko strategis lain, bukan hanya laporan teknis.

4) Kontrol defensif yang relevan untuk AI: fokus pada pencegahan, deteksi, dan ketahanan

Tanpa memberi panduan penyalahgunaan, berikut kontrol defensif yang umumnya paling bernilai untuk AI:

  • Data governance: minimisasi data, kontrol akses berbasis peran, enkripsi, dan kebijakan retensi; pastikan data sensitif tidak “mengalir” ke sistem yang tidak disetujui.
  • Secure SDLC untuk AI: proses review sebelum produksi, pengujian kualitas, dan change management untuk model/prompt/konfigurasi.
  • Logging dan monitoring: jejak audit untuk akses data, panggilan API, perubahan konfigurasi, dan anomali penggunaan.
  • Segregasi lingkungan: pemisahan dev/test/prod dan pembatasan konektivitas ke sistem kritikal.
  • Kontrol pihak ketiga: penilaian keamanan vendor, klausul insiden, SLA, lokasi data, dan hak audit jika memungkinkan.
  • Backup dan disaster recovery: target RTO/RPO untuk layanan penting, termasuk ketergantungan pada penyedia AI.

Inti dari cyber governance bukan daftar kontrol sebanyak mungkin, melainkan kontrol yang terukur dan terhubung ke risiko material.

5) Incident response yang memasukkan konteks AI

Rencana respons insiden perlu mengakomodasi komponen AI:

  • Kriteria eskalasi: kapan insiden terkait AI dianggap berdampak tinggi (misalnya menyentuh data sensitif atau memengaruhi keputusan kritikal).
  • Prosedur isolasi layanan: kemampuan menonaktifkan fitur AI tertentu tanpa mematikan seluruh operasi.
  • Forensik dan audit trail: ketersediaan log yang cukup untuk investigasi.
  • Komunikasi: koordinasi legal, compliance, PR, dan customer support untuk mengurangi dampak reputasi.

Kesiapan ini membantu organisasi menunjukkan bahwa risiko tidak hanya “diidentifikasi”, tetapi juga dikelola secara operasional.

Metrik dan target: contoh KPI/KRI untuk AI IFRS S1 cyber governance

Pilar Metrics and Targets menuntut angka yang konsisten dan dapat dijelaskan. Berikut contoh metrik defensif yang sering berguna, sesuaikan dengan industri dan risk appetite:

  • Cakupan inventaris AI: persentase use case/model yang terdokumentasi lengkap (pemilik, data, vendor, kontrol).
  • Kepatuhan kontrol akses: persentase akun dengan MFA, review akses berkala, dan temuan akses berlebih (least privilege).
  • Kerentanan dan patching: SLA penanganan temuan kritikal pada sistem yang mendukung AI.
  • Ketahanan operasional: pencapaian RTO/RPO melalui uji DR (disaster recovery) yang terdokumentasi.
  • Insiden dan near-miss: jumlah insiden, tren, mean time to detect (MTTD), mean time to respond (MTTR), serta pembelajaran (lessons learned) yang ditutup.
  • Third-party risk: persentase vendor AI kritikal yang lulus due diligence dan penilaian ulang tahunan.
  • Kualitas model: metrik performa yang disepakati bisnis (misalnya tingkat kesalahan), dipantau untuk drift dan dampak operasional.

Target sebaiknya realistis, berjangka waktu, dan terkait investasi. Misalnya: meningkatkan cakupan inventaris model dari 60% ke 95% dalam dua kuartal, atau memastikan 100% vendor AI kritikal memiliki klausul pemberitahuan insiden.

Menjembatani disclosure IFRS S1: dari bukti teknis ke narasi yang kredibel

Tantangan umum adalah menerjemahkan artefak keamanan (kebijakan, log, hasil uji) menjadi pengungkapan yang jelas. Praktik yang membantu:

  • Gunakan bahasa dampak bisnis: jelaskan bagaimana cyber risk dan AI risk dapat memengaruhi pendapatan, biaya, dan akses pendanaan.
  • Konsisten dengan ERM: pastikan istilah, rating risiko, dan prioritas sesuai dengan risk register perusahaan.
  • Hindari klaim absolut: alih-alih “aman sepenuhnya”, jelaskan kerangka kerja, kontrol, dan peningkatan berkelanjutan.
  • Tunjukkan pengawasan governance: frekuensi pelaporan ke dewan, keputusan penting, dan perubahan strategi yang dipicu oleh risiko.

Dengan demikian, cyber governance bukan sekadar kewajiban IT, tetapi menjadi bagian dari kesiapan organisasi menghadapi tuntutan transparansi pasar.

Checklist implementasi 90 hari (ringkas dan defensif)

  • Minggu 1–4: tetapkan sponsor eksekutif, bentuk forum AI & cyber governance, definisikan risk appetite awal, dan mulai inventaris AI.
  • Minggu 5–8: integrasikan hasil inventaris ke risk register, lakukan penilaian third-party untuk vendor AI kritikal, dan perkuat logging/monitoring prioritas.
  • Minggu 9–12: tetapkan KPI/KRI, uji tabletop incident response yang melibatkan skenario layanan AI, dan siapkan paket pelaporan untuk dewan.

Hasil 90 hari yang ideal adalah visibilitas (apa saja yang dipakai), akuntabilitas (siapa bertanggung jawab), dan pengukuran (metrik yang stabil), sehingga organisasi lebih siap memenuhi kebutuhan pengungkapan yang andal.

FAQ: AI, IFRS S1, dan Cyber Governance

1) Apakah IFRS S1 secara eksplisit mewajibkan pengungkapan insiden siber?

IFRS S1 berfokus pada pengungkapan risiko dan peluang keberlanjutan yang material terhadap prospek perusahaan. Jika insiden siber (atau paparan risiko siber) berpotensi material secara finansial atau strategis, maka informasi terkait governance, manajemen risiko, serta metrik yang relevan dapat menjadi bagian dari pengungkapan. Praktiknya sangat bergantung pada penilaian materialitas dan konteks industri.

2) Bagaimana menghubungkan AI governance dengan cyber governance tanpa membuat birokrasi baru?

Mulailah dari proses yang sudah ada: ERM, change management, dan vendor management. Tambahkan “layer AI” berupa inventaris model/use case, klasifikasi data, serta persetujuan penggunaan untuk use case berisiko tinggi. Tujuannya bukan menambah rapat, melainkan memastikan keputusan AI memiliki jejak akuntabilitas dan kontrol keamanan yang memadai.

3) Metrik apa yang paling disukai auditor atau komite audit untuk topik ini?

Umumnya metrik yang konsisten, terdefinisi jelas, dan dapat diaudit: cakupan inventaris, kepatuhan kontrol akses, tren insiden dan MTTR/MTTD, hasil uji DR, serta status penilaian vendor kritikal. Metrik yang langsung mengait ke dampak bisnis (downtime, layanan kritikal, eksposur pihak ketiga) biasanya paling berguna untuk diskusi governance.

4) Bagaimana menangani risiko pihak ketiga saat menggunakan layanan AI berbasis cloud?

Fokus pada due diligence dan kontrak: klasifikasi data yang boleh diproses, lokasi dan retensi data, komitmen pemberitahuan insiden, kontrol akses, serta bukti praktik keamanan (misalnya laporan assurance yang relevan). Dari sisi internal, terapkan pemantauan penggunaan, pembatasan akses ke sistem kritikal, dan rencana kontinjensi bila layanan vendor terganggu.

5) Apa langkah pertama yang paling berdampak jika organisasi baru mulai mengadopsi AI?

Bangun inventaris AI dan tetapkan pemilik bisnis untuk setiap use case. Tanpa mengetahui model apa yang digunakan, data apa yang diproses, dan siapa yang bertanggung jawab, kontrol keamanan dan pengungkapan IFRS S1 akan sulit konsisten. Inventaris yang baik mempercepat risk assessment, penetapan kontrol, dan pelaporan governance.

ai governancecyber governanceCybersecurityData GovernanceGRCIFRS S1ISSBRisk Managementsustainability disclosurethird-party risk
By