Peningkatan frekuensi, skala, dan kecanggihan serangan siber telah menjadikan risiko keamanan siber sebagai ancaman material utama bagi stabilitas keuangan perusahaan modern. Meskipun investasi dalam pertahanan siber terus meningkat, pengukuran dan pelaporan kerugian finansial yang konsisten akibat insiden siber masih menjadi tantangan besar dalam Akuntansi Keuangan. Cybersecurity Risk Accounting bertujuan untuk menjembatani kesenjangan ini dengan menetapkan metodologi yang sistematis untuk mengukur biaya dan kerugian terkait risiko siber, memastikan pengungkapan yang akurat sesuai dengan standar akuntansi (PSAK/IFRS).

Metodologi untuk mengukur biaya terkait risiko keamanan siber dapat dibagi menjadi dua kategori besar: Biaya Pencegahan (Prevention Costs) dan Biaya Insiden (Incident Costs). Biaya pencegahan relatif mudah diukur dan mencakup pengeluaran modal (CapEx) untuk perangkat keras/lunak keamanan (seperti firewall, sistem deteksi intrusi), serta biaya operasional (OpEx) untuk pelatihan karyawan, lisensi software, dan gaji tim keamanan siber. Akuntan harus mengklasifikasikan pengeluaran ini sebagai aset (jika memberikan manfaat jangka panjang) atau beban periode.

Kategori yang lebih menantang adalah Biaya Insiden Siber (Cyber Incident Costs). Biaya-biaya ini bersifat multifaset dan memerlukan identifikasi serta kuantifikasi yang cermat agar dapat dicatat dalam laporan keuangan. Metodologi yang efektif harus mencakup setidaknya lima komponen utama kerugian:

1. Kerugian Langsung (Direct Losses): Meliputi biaya tanggap insiden (forensik, hukum, konsultan), biaya notifikasi pelanggan (sesuai regulasi privasi), biaya perbaikan sistem, dan pembayaran tebusan (ransomware).

2. Kerugian Operasional (Operational Losses): Meliputi kehilangan pendapatan akibat downtime sistem, penurunan produktivitas karyawan selama pemulihan, dan penalti keterlambatan kontrak.

3. Kerugian Data (Data and Asset Losses): Nilai ekonomi dari pencurian kekayaan intelektual, informasi sensitif pelanggan, dan biaya pemulihan data.

4. Kerugian Reputasi dan Hukum: Biaya denda regulasi (misalnya, terkait undang-undang privasi data), biaya litigasi, dan potensi penurunan nilai merek (brand value).

5. Biaya Asuransi: Premi dan deduktibel (deductibles) yang dibayarkan.

Dari perspektif Pelaporan Keuangan (PSAK/IFRS), kerugian akibat serangan siber harus diakui sebagai Beban ketika kerugian tersebut probable dan jumlahnya dapat diestimasi secara reliable, sesuai dengan PSAK 57 (Provisi, Liabilitas Kontinjensi, dan Aset Kontinjensi) untuk denda atau litigasi yang tertunda. Selain itu, Pengungkapan menjadi sangat penting. Akuntan harus memastikan bahwa manajemen mengungkapkan sifat risiko siber yang dihadapi, strategi manajemen risiko, dan dampak material insiden siber terhadap posisi keuangan dan hasil operasi, sesuai dengan persyaratan PSAK 1 dan regulasi pasar modal.

Pengukuran kerugian operasional dan reputasi yang bersifat intangible menjadi area di mana akuntan harus berkolaborasi dengan ahli TI dan manajemen risiko. Teknik seperti Value at Risk (VaR) atau Factor Analysis of Information Risk (FAIR) sering digunakan untuk memodelkan dampak finansial potensial dari berbagai skenario serangan. Metodologi ini membantu akuntan mengestimasi kisaran kerugian yang mungkin terjadi, mengubah risiko kuantitatif menjadi angka yang dapat dilaporkan sesuai standar akuntansi.

Pada akhirnya, Cybersecurity Risk Accounting membutuhkan kerangka tata kelola yang terintegrasi. Akuntan harus bekerjasama dengan Chief Information Security Officer (CISO) untuk memastikan data keamanan dikumpulkan, dikuantifikasi secara finansial, dan dilaporkan secara konsisten. Akurasi dalam pengukuran kerugian tidak hanya mendukung keputusan manajemen risiko internal tetapi juga memenuhi tuntutan investor dan regulator yang semakin ingin memahami eksposur siber perusahaan secara finansial.

 

Referensi :

  • Ikatan Akuntan Indonesia (IAI). (2020). Pernyataan Standar Akuntansi Keuangan 57: Provisi, Liabilitas Kontinjensi, dan Aset Kontinjensi. IAI.
  • U.S. Securities and Exchange Commission (SEC). (2023). Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure. Final Rule Release Nos. 33–11216.
  • Factor Analysis of Information Risk (FAIR) Institute. (2024). Measuring and Reporting Cybersecurity Risk in Financial Terms. FAIR Institute.
  • Gordon, L. A., & Loeb, M. P. (2023). The Economics of Cybersecurity: Measurement, Disclosure, and Audit Implications. Journal of Accounting and Public Policy, 42(5), 589-612.