Ringkasan

Blockchain dan Pengendalian Internal– Perspektif COSO

Karena blockchain menjadi lebih utama, organisasi yang tertarik untuk menggunakannya perlu mengevaluasi
risiko yang terkait dengan blockchain tertentu yang sedang dipertimbangkan dan bagaimana mengatasi risiko
tersebut.

KerangkaPengendalianInternalTerintegrasiCOSO(Kerangka2013)memberikanpendekatanyangefektifdanefisienyangdapatdimanfaatkanuntukmerancangdanmenerapkan

kontroluntukmengatasirisikounikyangterkaitdengan blockchain.

Paparan ini memberikan perspektif untuk menggunakan Kerangka 2013 untuk mengidentifikasi, mengevaluasi, dan
mengurangi risiko terkait penggunaan blockchain dalam konteks pelaporan keuangan.Ini dimaksudkan untuk membantu
menginformasikan keputusan terkait pengawasan, risiko, dan kontrol internal atas pelaporan keuangan terkait penggunaan
blockchain.

Paparan ini juga menyediakan:Latar belakang tingkat tinggi di blockchain Contoh bagaimana blockchain dapat memengaruhi setiap
komponen Framework 2013Pertimbangan tentang bagaimana pemangku kepentingan dapat menggunakan panduan dan langkah
selanjutnyaSepuluh hal yang perlu diketahui tentang blockchain

1
Pengendalian Internal COSO: Kerangka Terintegrasi

1. Menunjukkan komitmen terhadap integritas dan nilai-nilai etika

2. Menjalankan tanggung jawab pengawasan
3. Menetapkan struktur, wewenang dan tanggung jawab
4. Menunjukkan komitmen terhadap kompetensi
5. Menegakkan akuntabilitas

6. Menentukan tujuan yang sesuai

7. Mengidentifikasi dan menganalisis risiko
8. Menilai risiko penipuan
9.Mengidentifikasi dan menganalisis perubahan yang signifikan

10. Memilih dan mengembangkan aktivitas pengendalian

11. Memilih dan mengembangkan kontrol umum atas teknologi
12. Menyebarkan melalui kebijakan dan prosedur

13.Menggunakan informasi yang relevan

14. Berkomunikasi secara internal
15. Berkomunikasi secara eksternal

16. Melakukan evaluasi berkelanjutan dan/atau terpisah

17. Mengevaluasi dan mengkomunikasikan kekurangan

2
Latar Belakang
Blockchain
Apa itu Blockchain?
Blockchain adalah basis data sekuensial yang aman dan transparan yang dikelola oleh jaringan pengguna terdesentralisasi yang bertanggung jawab untuk menyetujui
penambahan rantai dan diamankan melalui kriptografi.

Ada banyak jenis blockchain yang berbeda.

• Dengan fungsi blockchain (misalnya, memfasilitasi transfer aset digital hampir secara real time), organisasi memiliki kesempatan untuk bekerja secara berbeda, dengan model
bisnis baru dan rantai nilai, dan peningkatan kecepatan menuju produk atau pengiriman.

Dimulai pada awal 1990-an Adopsi awal digunakan untuk Bitcoin Blockchain baru dibuat dengan token dan
kontrak pintar

Menggunakan matematika dan kriptografi untuk

Sementara aset digital dan volatilitas nilainya Sejumlah blockchain lain tumbuh (misalnya,
membuktikan integritas dokumen dengan menautkan
menjadi berita utama, pelaku pasar mulai Ethereum blockchain). Ini menambahkan
kumpulan metadata dokumen baru ke rantai yang
menyelidiki teknologi yang mendasarinya, kemampuan untuk merancang aset digital
ada.
blockchain, dan potensinya sebagai sarana khusus yang disebut token dan
Memanfaatkan stempel waktu dan tanda baru untuk menghubungkan pihak-pihak. memperkenalkan lingkungan pemrograman
tangan digital, dengan tujuan untuk yang kuat yang disebut kontrak pintar.
memastikan integritas data di seluruh
rantai.

3
10 Hal yang Perlu Diketahui tentang
Blockchain
1 2 3 4 5
Informasi tentang Blockchain Blockchain adalah, Mengetahui caranya Blockchain memiliki keduanya
blockchain di mencakup jauh lebih Namun, bukan "sihir", karya blockchain adalah teknologi dan
berita dan di banyak daripada aset datang dengan biaya, dan tidak penting untuk pemerintahan
Internet sering digital; manfaat yang menghilangkan semua mengevaluasi, implikasi.
menyesatkan atau dapat dibawanya ke risiko; pada kenyataannya, itu mempersiapkan dan
salah. organisasi bisa sangat menimbulkan risiko baru. mengelola
besar. blockchain
berdampak pada intern
kontrol dan
organisasi secara

6 8
Blockchain tidak akan
membuat manajemen,
akuntan, atau
auditor kurang relevan, meskipun
akan berdampak pada apa yang
mereka lakukan dan bagaimana
mereka melakukannya.
7 9
keseluruhan.
10
Blockchain membutuhkan Sekarang adalah waktu Blockchain masih Adopsi blockchain
keahlian baru (misalnya, untuk mendidik dan terlibat terus berubah dan mungkin bukan pilihan.
ilmu data untuk lebih besar pemangku kepentingan terus berkembang.
wawasan dan pandangan ke depan) sepanjang
dan kolaborasi baru
dalam dan di seberang organisasi.
organisasi.

4
Example of Financial Reporting Controls & Processes Impacted by Blockchain

Internal controls
Decentralized
The internal related to the external systems Vendor and Electronic
control control creating need supplier approval audit
environment for new controls trail
environment
is likely to be
different in a
blockchain-
enabled
world. Involvement of
third party
Confirmation Reconciliation service
It is important to s simplified s providers and
consider and streamlined related demand
leverage for SOC
these reporting
differences,
factoring in
blockchain Work of internal Monitoring Continuous
capabilities, and external
Integration of becomes the real-time financial
attributes, risks, auditors changes only control
Digital reports
and benefits. due to increased "after the fact”
Assets
automation

5
Lingkungan Kontrol – Contoh
Dampak
1. Menunjukkan komitmen terhadap 2. Latihan pengawasan tanggung jawab
Lingkungan Kontrol - Prinsip
3. Menetapkan struktur, 4. Menunjukkan komitmen untuk 5. Menegakkan akuntabilitas
integritas dan nilai-nilai etika wewenang, dan tanggung jawab kompetensi

Penyempurnaan Mitigasi

• Menghindari kesalahan manusia dan memerangi penipuan transaksional dan pelaporan.
• Imutabilitas dan ireversibilitas yang dapat diverifikasi secara kriptografis.
• Laporan keuangan real-time karena peningkatan visibilitas.
• Identifikasi penyimpangan yang lebih tepat waktu dari standar perilaku organisasi
• Dapat memfasilitasi penghapusan intervensi manual manajemen dari proses
Ancaman/Risiko Baru
• Ancaman bahwa blockchain tanpa izin dapat digunakan untuk eksploitasi yang tidak etis.
• Desentralisasi dan kurangnya perantara pusat, sistem atau badan pengawas
• Bergantung pada sifat blockchain dan sesama peserta blockchain, sebuah organisasi
mungkin menghadapi risiko reputasi
• Personel yang kompeten sulit ditemukan, dan komitmen terhadap kompetensi sulit untuk
dijamin atau dinilai
• Mengembangkan kode etik yang mengatur perilaku para pihak dalam blockchain
dan menetapkan pedoman untuk menangani ketidakpatuhan
• Pertimbangkan harapan tentang penyedia layanan outsourcing
• Mengembangkan kebijakan uji tuntas yang menetapkan pedoman dan kriteria
untuk menentukan pihak yang akan bertransaksi dengan organisasi, memberikan
akses, dan blockchain publik yang dapat dipilih organisasi untuk digunakan
• Menilai kebutuhan untuk mendapatkan atau membangun keahlian seputar
blockchain
• Memastikan bahwa organisasi mampu menilai dan mengevaluasi teknologi dan
proses baru
• Membentuk tim lintas disiplin, yang meliputi spesialis blockchain dan perwakilan
dari setiap aspek bisnis yang mungkin terpengaruh
• Tentukan derajat atau tingkat tanggung jawab dan wewenang seputar teknologi
blockchain
• Menetapkan jalur pelaporan yang jelas untuk konsorsium atau blockchain pribadi
yang mengidentifikasi individu atau kelompok yang bertanggung jawab untuk
menangani perselisihan, jika tidak dibangun ke dalam protokol yang
mendasarinya

6
Penilaian Risiko – Contoh
Dampak Penilaian Risiko - Prinsip
6. Menentukan tujuan yang sesuai 7. Mengidentifikasi dan menganalisis risiko
Penyempurnaan
• Lingkungan bisnis yang lebih gesit, yang mengidentifikasi dan menilai pencapaian
berbagai tujuan entitas
Ancaman/Risiko Baru
• Toleransi risiko yang berbeda di antara anggota blockchain
• Mungkin rentan terhadap skema penipuan baru atau jalan baru untuk melaksanakan
skema penipuan tradisional
• Memperoleh bukti yang cukup dan tepat untuk mendukung transaksi
• Jumlah data yang tersedia sangat banyak
• Aset digital memperkenalkan kelas aset baru yang hanya memiliki sedikit atau tidak ada
pengalaman sebelumnya dan sedikit paralel yang bermakna
• Integrasi blockchain yang buruk dengan sistem entitas lain
• Perkembangan berkelanjutan seputar blockchain, termasuk perkembangan lingkungan
bisnis yang serba cepat dan cepat
• TI umum dan risiko lainnya dapat diperburuk atau ditingkatkan
• Kontrak pintar adalah potensi risiko dan bagian penting dari perangkat mitigasi risiko
9. Mengidentifikasi dan menganalisis
8. Menilai risiko penipuan
secara signifikan mengubah
Mitigasi
• Tetapkan tujuan penggunaan blockchain sedemikian rupa sehingga implementasinya
mendukung pembukuan dan catatan yang andal dan dapat diverifikasi
• Libatkan spesialis IT dan blockchain yang tepat untuk menilai bagaimana blockchain
akan diintegrasikan ke dalam dan beroperasi sebagai bagian dari infrastruktur IT entitas
yang ada
• Kembangkan proses penilaian risiko yang lebih kuat yang mempertimbangkan implikasi
blockchain
• Mengembangkan prosedur untuk tetap mengikuti perubahan dalam lingkungan bisnis
dan peraturan seputar blockchain
• Mengembangkan tata kelola yang kuat dan proses kontrol perubahan untuk menerapkan
kontrak pintar baru atau mengubah yang ada atau perubahan pada blockchain.
• Contoh kontrol untuk memitigasi risiko penipuan dan keamanan siber:
1. Menerapkan pemisahan tugas yang tepat
2. Menetapkan kontrol atas transfer informasi ke dan dari blockchain
3. Menggunakan teknik multi-signature atau key sharding
4. Menyebarkan kombinasi kontrol preventif dan kontrol detektif untuk
melindungi dari penyusup TI
5. Mengidentifikasi dan menilai risiko keamanan siber – mempertimbangkan
bagaimana organisasi dan anggota lain dari jaringan blockchain dapat bekerja
sama 7
Aktivitas Kontrol– Contoh
Dampak Aktivitas Kontrol - Prinsip
10. Memilih dan mengembangkan kendali 11. Memilih dan mengembangkan kendali umum atas teknologi 12. Menerapkan melalui kebijakan dan prosedur

Penyempurnaan Mitigasi
• Dapat mengurangi kekhawatiran atas akses langsung untuk merekam, memodifikasi, atau
menghapus data historis. • Merevisi kebijakan dan prosedur untuk mengatasi risiko baru, kontrol internal, dan

• Memberikan peluang untuk memerangi penipuan transaksional dan pelaporan akuntansi terkait penggunaan blockchain

• Menghilangkan kebutuhan akan kontrol umum TI tertentu dengan meminimalkan risiko • Menetapkan tanggung jawab dan akuntabilitas untuk melaksanakan kebijakan dan

kehilangan data prosedur

• Mengurangi potensi risiko pemrosesan dan pencatatan transaksi yang tidak tepat waktu • Pertimbangkan untuk mengidentifikasi dan menerapkan kontrol yang relevan atas

sekaligus mengurangi kesalahan aspek utama blockchain, termasuk: node, protokol konsensus, kunci pribadi, dan

• Penggunaan smart contract mencegah peluang penipuan kontrak pintar

Ancaman/Risiko Baru • Untuk memitigasi risiko yang terkait dengan kontrak pintar, perusahaan dapat:

• Sangat bergantung pada teknologi dasar dan penerapan kontrol bisnis/TI 1. Menerapkan kontrol untuk memvalidasi kesesuaian desain dan efektivitas
• Kontrak pintar dengan logika bisnis yang kurang dapat menyebabkan eksekusi otomatis skala implementasi kontrak cerdas, melacak perubahan dan pembaruan secara

besar dan pencatatan transaksi yang tidak valid, yang berpotensi tidak ada jalan lain terkendali, dan memastikan ada dokumentasi dan catatan sejarah yang

• Kurangnya kontrol yang tepat atas kunci pribadi dapat menyebabkan potensi kerugian atau tepat untuk menetapkan akuntabilitas.

penyalahgunaan aset organisasi 2. Terapkan kontrol atas masukan ke dalam kontrak pintar, termasuk
• Protokol konsensus dapat mengkompromikan kemampuan untuk memvalidasi transaksi dengan masukan dari oracle blockchain.

benar sesuai dengan aturan yang disepakati

• Kelengkapan transaksi dapat dipertanyakan jika organisasi terlibat dalam pencatatan transaksi
off-chain

8
Informasi & Komunikasi – Contoh
Informasi & Komunikasi - Prinsip
Dampak 13. Menggunakan informasi yang relevan dan
berkualitas 14. Berkomunikasi secara internal 15. Berkomunikasi secara eksternal

Penyempurnaan Mitigasi
• Meningkatkan visibilitas transaksi dan jalan baru bagi manajemen untuk
• Mendidik pemangku kepentingan utama tentang bagaimana blockchain akan digunakan oleh
mengkomunikasikan informasi keuangan kepada pemangku kepentingan utama
bisnis dan manfaat serta risiko terkait penggunaan teknologi tersebut
• Mempromosikan ketersediaan data yang dapat diakses, akurat, konsisten, terkini,
• Tetapkan metode bagi anggota jaringan blockchain untuk melaporkan masalah apa pun.
dipertahankan, dan tepat waktu
• Data cenderung hilang saat dimasukkan atau digabungkan dalam buku besar digital • Tentukan persyaratan informasi baru yang diperlukan sehubungan dengan penggunaan

umum dan komprehensif, meningkatkan visibilitas yang lebih baik dan menawarkan blockchain

bukti sumber tambahan
Ancaman/Risiko Baru
• Kenyamanan palsu bahwa data di blockchain benar, tersedia, orang yang tepat telah
diberi tahu, dan umpan balik telah diterima
• Sejumlah besar data perlu diproses menjadi informasi yang berguna dan dapat
ditindaklanjuti
• Potensi tantangan mengumpulkan bukti yang cukup untuk mendukung asersi tentang
aset digital atau transaksi aset digital
• Tantangan potensial dengan kemampuan auditor untuk mendapatkan bukti yang mereka
perlukan untuk menilai apakah pembukuan dan catatan didukung secara memadai
• Mengembangkan metode komunikasi untuk memastikan bahwa operasional dan
perubahan/pembaruan lain yang berkaitan dengan penggunaan blockchain dikomunikasikan
kepada personel yang sesuai
• Mengembangkan prosedur analitik data untuk mengidentifikasi dan mendapatkan data yang
relevan dan berkualitas dari blockchain yang kemudian dapat diproses menjadi informasi yang
akan digunakan untuk mendukung proses bisnis manajemen dan tujuan pelaporan.
• Terlibat dalam diskusi dengan auditor internal dan eksternal selama pengembangan atau
identifikasi blockchain untuk digunakan dalam proses entitas.

9
Blockchain, Asersi Pelaporan Keuangan, dan Bukti
Audit
Daftar di bawah menyoroti area di mana blockchain dapat menghadirkan tantangan sehubungan dengan bagaimana
perusahaan memberikan bukti audit yang cukup dan sesuai untuk mendukung pernyataan manajemen seputar aset atau
transaksi yang disimpan di blockchain

1. Penilaian 6. Klasifikasi

2. Keberadaan 7. Dapat Dimengerti & Presentasi

3. Alokasi 8. Akurasi

4. Kejadian 9. Batasan

5. Kelengkapan 10. Kewajiban & Hak

10
 Kegiatan Pemantauan– Contoh
Dampak Kegiatan Pemantauan - Prinsip
16. Melakukan evaluasi berkelanjutan dan/atau terpisah
Penyempurnaan
• Evaluasi itu sendiri dapat dibangun ke dalam proses yang mendukung blockchain
menggunakan kontrak cerdas, AI, dan mesin aturan standar.
• Blockchain memungkinkan aktivitas pemantauan untuk menangkap masalah lebih
dekat ke kejadian meminimalkan paparan dan mempercepat perbaikan.
• Analitik tingkat lanjut, AI, dan alat lainnya dapat digunakan untuk menganalisis detail
yang memungkinkan manajemen berkonsentrasi pada area berisiko tinggi.
Ancaman/Risiko Baru
• Jumlah data yang besar, menyebabkan risiko kelebihan informasi dan tantangan
dalam pemantauan
• Menemukan orang yang kompeten untuk merancang dan melakukan
pemantauan yang efektif
• Kesulitan untuk tetap mengikuti perubahan yang sedang berlangsung dan
memastikan pembaruan yang tepat dan tepat waktu untuk teknologi dan proses
prosedural atau operasional lainnya
• Desentralisasi dan kurangnya perantara sentral yang terkait dengan blockchain
tertentu dapat mengakibatkan tidak adanya pihak atau badan yang bertanggung
jawab untuk melaksanakan kontrol pemantauan
17. Mengevaluasi dan mengkomunikasikan kekurangan
Mitigasi
• Menggunakan evaluasi berkelanjutan untuk mengidentifikasi perubahan dan pemutakhiran
teknologi, dan untuk memvalidasi apakah komponen pengendalian internal ada dan
berfungsi.
• Identifikasi dan dapatkan talenta dengan pengetahuan yang diperlukan tentang lingkungan
kontrol dasar entitas, teknologi blockchain, dan praktik terbaik seputar teknik pemantauan
untuk
1. membantu dalam merancang dan menerapkan kontrol pemantauan yang
tepat
2. menilai hasil dan efisiensi kegiatan pemantauan tersebut.
• Menilai aspek unik dari blockchain seperti protokol konsensus, kontrak pintar, kunci pribadi
serta faktor yang berkaitan dengan kesehatan berkelanjutan, tata kelola, dan keandalan
keseluruhan dari blockchain yang digunakan.
• Pertahankan pihak ketiga yang objektif untuk menilai blockchain konsorsium.
• Memantau perjanjian tingkat layanan dengan dan mengontrol laporan dari penyedia layanan
outsourcing.
11
Langkah Berikutnya untuk Pemangku Kepentingan
Utama
1 2
Direksi & Komite
Audit
Anggota
• Dapatkan pemahaman dasar
tentang blockchain.
• Membangun keahlian internal di
dewan dan di antara
kepemimpinan.
• Memahami bagaimana proses
yang mengaktifkan blockchain
dapat terjadi mempromosikan atau
mengurangi efisiensi pelaporan
dan risiko.
• Memahami bagaimana auditor
internal dan eksternal mungkin
mempertimbangkan blockchain.
3 4
Eksekutif, Internal Auditor Eksternal Akademisi
Auditor, Manajemen
Akuntan, & Manajer
Pengendalian Internal
• Membangun keahlian internal • Bangun pengetahuan dan • Membantu mendidik siswa.
dan mendukung diskusi di keahlian blockchain. • Mempertimbangkan potensi proyek
tingkat manajemen tentang • Memahami bagaimana penelitian terkait dengan
blockchain dapat implementasi blockchain dan kasus
potensi blockchain.
penggunaannya
• Dapatkan wawasan tentang memengaruhi audit
bagaimana blockchain • Bekerja untuk
digunakan. mengembangkan alat yang
diperlukan (misalnya, untuk
• Berkoordinasi dengan
memahami kontrol internal
pengembang blockchain.
dan mengaudit transaksi
• Memahami bagaimana
blockchain).
blockchain dapat memengaruhi
audit.
• Mengevaluasi risiko dan
mengendalikan implikasi terkait
penggunaan blockchain
(menggunakan Framework
2013).
12