Apa yang harus diminta dewan dari AI: penilaian, audit, dan jaminan

Oleh Erika Fille T. Legara

DALAM artikel BusinessWorld sebelumnya, saya berargumen bahwa tata kelola AI melampaui pengawasan segelintir proyek teknologi dan kini mencakup memastikan bahwa keputusan berbasis AI di seluruh organisasi tetap sejalan dengan strategi, selera risiko, dan standar etika. Pertanyaan lanjutan yang wajar bagi dewan direksi adalah: selain menetapkan ekspektasi, bagaimana sebuah organisasi memverifikasi bahwa sistem AI-nya benar-benar berkinerja sesuai yang dimaksudkan, bertanggung jawab, dan dalam batas-batas yang definisikan?

Jawabannya terletak pada tiga disiplin yang terkait namun berbeda: penilaian risiko AI, audit AI, dan jaminan AI. Dewan yang familiar dengan pengawasan keuangan akan menemukan logikanya intuitif. Tantangannya, dan peluangnya, adalah menerapkan disiplin yang sama pada AI.

3 KONSEP BERBEDA NAMUN TERKAIT
Penting untuk tepat tentang arti setiap istilah, karena ketiganya sering digunakan secara bergantian padahal seharusnya tidak.

Penilaian risiko AI adalah proses internal di mana sebuah organisasi mengidentifikasi, mengevaluasi, dan memprioritaskan risiko yang terkait dengan sistem AI-nya. Ini menanyakan apa yang bisa salah, seberapa besar kemungkinannya, dan apa dampaknya. Ini adalah fondasi di mana segala sesuatu yang lain bertumpu. Tanpa penilaian risiko yang kredibel, baik audit maupun jaminan tidak memiliki dasar yang bermakna untuk bekerja. Sistem AI material ada di setiap sektor: model penilaian kredit di bank, alat triase pasien di rumah sakit, prediktor kinerja siswa di universitas, sistem prioritas kasus di lembaga pemerintah. Yang mereka bagikan adalah konsekuensinya, yang mencakup output yang memengaruhi orang-orang nyata dengan cara yang bermakna.

Untuk sistem semacam itu, penilaian risiko harus sistematis, terdokumentasi, dan ditinjau kembali secara teratur seiring model berkembang dan lingkungan operasional berubah.

Audit AI adalah pemeriksaan independen apakah sistem AI, atau kerangka tata kelola di sekitarnya, sesuai dengan standar, kebijakan, atau persyaratan yang definisikan. Ini adalah proses berbasis bukti yang dilakukan oleh pihak yang cukup independen dari mereka yang bertanggung jawab atas sistem yang ditinjau. Audit AI mungkin menilai apakah praktik pengelolaan AI organisasi sesuai dengan standar yang diakui secara internasional, seperti ISO/IEC 42001, standar sistem manajemen AI pertama di dunia yang diterbitkan pada tahun 2023, atau apakah model tertentu berkinerja dalam parameter yang disetujui dan tanpa bias yang tidak diinginkan. Yang penting, standar yang mengatur auditor itu sendiri, ISO/IEC 42006, yang diterbitkan pada Juli 2025, kini menetapkan kompetensi dan ketelitian yang diperlukan dari badan yang mengaudit dan mensertifikasi sistem manajemen AI. Profesi audit, dengan kata lain, mulai meresmikan akuntabilitasnya sendiri untuk keterlibatan AI.

Jaminan AI adalah kesimpulan formal yang menghadap pemangku kepentingan yang muncul dari proses audit tersebut. Ini adalah opini profesional, yang dikeluarkan oleh pihak yang berkualifikasi dan independen, yang memberi dewan, regulator, investor, dan publik keyakinan bahwa sistem AI atau kerangka manajemen AI memenuhi standar yang ditetapkan. Jaminan adalah apa yang mengubah tinjauan internal menjadi sinyal eksternal yang kredibel.

MENDASARKAN JAMINAN AI
Konsep jaminan independen bukanlah hal baru bagi dewan. Setiap tahun, auditor eksternal memeriksa laporan keuangan organisasi dan mengeluarkan opini; kesimpulan yang didasarkan pada bukti, dilakukan berdasarkan standar yang diakui secara internasional, dan didukung oleh independensi profesional auditor. Opini tersebut memiliki bobot justru karena kerangka yang mengaturnya ketat dan mapan. Logika ini berlaku terlepas dari industri; apakah organisasi tersebut bank, rumah sakit, konglomerat, atau institusi publik, audit keuangan adalah mekanisme yang familiar dan terpercaya.

Logika yang sama kini berlaku untuk AI. Ketika sebuah organisasi membuat klaim publik atau regulasi tentang sistem AI-nya, bahwa mereka adil, transparan, patuh pada standar yang ditetapkan, atau bebas dari bias material, pertanyaannya adalah: siapa yang secara independen memvalidasi klaim tersebut, dan di bawah kerangka profesional apa?

Jawabannya, untuk profesi akuntansi dan audit, adalah ISAE 3000, Standar Internasional tentang Keterlibatan Jaminan yang dikeluarkan oleh International Auditing and Assurance Standards Board (IAASB). ISAE 3000 mengatur keterlibatan jaminan tentang hal-hal selain informasi keuangan historis, menjadikannya rumah alami untuk jaminan AI. Di bawah standar ini, seorang profesional dapat melakukan keterlibatan jaminan yang wajar, standar yang lebih tinggi yang analog dengan audit keuangan, atau keterlibatan jaminan terbatas, yang lebih mendekati kedalaman tinjauan. Pilihan tingkat penting dan harus disengaja, dikalibrasi dengan materialitas dan risiko sistem AI yang bersangkutan.

Paralel kontemporer yang dekat adalah jaminan keberlanjutan atau ESG. Banyak perusahaan terdaftar Filipina sudah menugaskan jaminan independen atas pengungkapan keberlanjutan mereka, seringkali di bawah ISAE 3000. Mekaniknya persis sama: praktisi independen memeriksa serangkaian klaim terhadap kriteria yang definisikan dan mengeluarkan kesimpulan formal. Materi pokoknya berbeda; disiplin profesionalnya tidak.

APA ARTINYA INI BAGI DEWAN
Tiga implikasi praktis mengikuti dari kerangka ini.

Pertama, dewan harus bertanya apakah organisasi mereka telah melakukan penilaian risiko AI yang ketat pada sistem material. Bukan latihan sekali waktu, tetapi proses hidup yang diperbarui seiring model dilatih ulang, kasus penggunaan berkembang, dan lingkungan regulasi berevolusi. Kualitas pekerjaan audit dan jaminan hilir hanya sebaik penilaian risiko yang mendahuluinya.

Kedua, dewan harus membedakan antara audit AI internal dan eksternal. Fungsi audit internal memainkan peran penting dalam memberikan jaminan bahwa kontrol AI beroperasi sesuai yang dirancang. Namun, dewan juga harus mempertimbangkan apakah audit pihak ketiga independen atas sistem AI material dijamin, terutama untuk sistem yang memengaruhi pelanggan, karyawan, atau publik dengan cara yang konsekuensial. Seperti halnya audit keuangan, independensi memperkuat kredibilitas.

Ketiga, karena organisasi semakin membuat komitmen publik tentang praktik AI mereka kepada regulator, investor, dan komunitas yang mereka layani, dewan harus bertanya apakah komitmen tersebut didukung oleh jaminan yang kredibel. Pernyataan tanpa validasi independen, paling-paling, adalah risiko reputasi yang menunggu untuk terwujud.

PROFESI YANG MASIH MEMBANGUN KAPABILITASNYA
Akan tidak lengkap untuk menyajikan lanskap ini tanpa mengakui keterbatasan saat ini. Infrastruktur untuk jaminan AI masih dibangun. Standar profesional muncul. Kompetensi auditor dalam AI, yang mencakup pembelajaran mesin, bias algoritmik, tata kelola data, dan transparansi model, belum dikembangkan secara seragam di seluruh profesi. ISAE 3000 menyediakan kerangka jaminan, tetapi metodologi khusus AI yang berada di dalamnya masih berkembang.

Bagi organisasi yang belum siap untuk mengejar jaminan formal, ini bukan alasan untuk diam. Penilaian terstruktur dan teratur atas sistem AI material adalah langkah pertama yang bermakna dan praktis. Ini membangun disiplin internal, dokumentasi, dan kebiasaan tata kelola yang pada akhirnya diperlukan untuk kesiapan jaminan. Dewan yang menugaskan penilaian semacam itu hari ini, bahkan secara informal, mengembangkan otot institusional yang akan penting ketika ekspektasi regulasi mengeras dan pengawasan pemangku kepentingan mengintensifkan.

Pandangan ini adalah salah satu yang telah saya jelajahi lebih dalam dalam penelitian yang telah saya kembangkan dengan kolega yang memeriksa tata kelola AI generatif di ekonomi di mana regulasi belum mengejar teknologi. Argumen utamanya adalah bahwa perusahaan sudah menjadi agen moral dengan kewajiban etika yang ada kepada pemangku kepentingan mereka; menunggu undang-undang AI yang dibuat khusus tidak diperlukan maupun cukup untuk tata kelola yang bertanggung jawab. Kewajiban untuk bertindak sudah ada. Yang dibutuhkan adalah kemauan organisasi untuk mengoperasionalkannya.

Ini bukan alasan bagi dewan untuk menunggu agenda yang lebih luas. Ini adalah alasan untuk mengajukan pertanyaan yang tepat sekarang, kepada auditor eksternal mereka, fungsi audit internal mereka, dan tim manajemen mereka, sehingga ketika kapabilitas profesi mengejar permintaan, organisasi mereka siap untuk terlibat secara bermakna.

Audit keuangan tidak muncul dalam bentuk yang lengkap. Dibutuhkan puluhan tahun penetapan standar, pengembangan profesional, dan pelajaran keras dari kegagalan perusahaan agar audit independen menjadi institusi kredibel seperti sekarang ini. Jaminan AI berada di titik infleksi awal yang sebanding. Dewan yang terlibat dengannya sekarang, mengajukan pertanyaan yang lebih tajam kepada auditor mereka, menuntut lebih dari pernyataan manajemen, dan membangun kapabilitas internal sebelum regulator mengharuskan mereka melakukannya, tidak hanya akan mengurangi eksposur mereka sendiri. Mereka akan membantu membentuk seperti apa akuntabilitas AI yang bertanggung jawab untuk organisasi Filipina dan wilayah yang lebih luas.

Erika Fille T. Legara adalah seorang fisikawan, pendidik, dan praktisi ilmu data dan AI yang bekerja di pemerintahan, akademisi, dan industri. Dia adalah direktur pelaksana perdana dan chief AI and data officer dari Education Center for AI Research, dan profesor tamu serta Aboitiz chair dalam Ilmu Data di Asian Institute of Management, di mana dia mendirikan dan memimpin program MSc dalam Ilmu Data pertama di negara ini dari 2017 hingga 2024. Dia menjabat di dewan direksi perusahaan, adalah fellow dari Institute of Corporate Directors, IAPP Certified AI Governance Professional, dan salah satu pendiri CorteX Innovations.