Putu Harry Sasmita dan Pelajaran Korupsi IT Perbankan bagi Industri
Kasus Putu Harry Sasmita di Bank Jatim yang selesai secara hukum pada 2022 meninggalkan sesuatu yang lebih bertahan dari proses persidangannya yaitu pelajaran konkret tentang celah tata kelola IT yang memungkinkan insiden semacam ini terjadi. Membahas kasus ini bukan untuk mengulang apa yang sudah diselesaikan secara hukum melainkan untuk memastikan industri tidak mengulangi kesalahan yang sama.
Korupsi di sektor IT perbankan bukan fenomena yang unik di Indonesia. Di berbagai negara kasus serupa terjadi dengan pola yang hampir selalu berulang yaitu kombinasi antara akses yang terlalu luas pengawasan yang tidak efektif dan budaya organisasi yang tidak cukup kuat untuk mencegah penyimpangan sebelum dampaknya menjadi terlalu besar untuk disembunyikan.
Pola yang Berulang dalam Korupsi IT Perbankan
Kasus Putu Harry Sasmita mencerminkan pola yang sangat umum dalam insiden korupsi IT di institusi keuangan. Seorang profesional dengan akses tinggi ke sistem kritis menggunakan pemahaman teknisnya untuk mengeksploitasi celah yang ada secara bertahap dalam rentang waktu yang cukup panjang sebelum akhirnya terdeteksi.
Yang membuat pola ini berbahaya adalah sifat akumulatifnya. Tidak ada satu tindakan tunggal yang cukup besar untuk memicu alarm. Yang terjadi adalah rangkaian tindakan kecil yang masing-masing berada di bawah ambang deteksi sistem monitoring yang ada. Ketika dampak kumulatifnya akhirnya teridentifikasi kerugian yang sudah terjadi sudah jauh melampaui apa yang bisa diselesaikan dengan mudah. Untuk konteks tentang bagaimana sistem monitoring yang efektif seharusnya bekerja bisa merujuk pada artikel Putu Harry Sasmita Pengawasan Sistem Keuangan.
Celah Tata Kelola yang Terungkap
Persidangan Putu Harry Sasmita mengungkap beberapa celah tata kelola yang relevan bagi industri perbankan Indonesia secara keseluruhan. Pertama adalah akses yang tidak proporsional terhadap sistem kritis tanpa mekanisme verifikasi yang memadai untuk setiap penggunaan akses tersebut. Kedua adalah audit trail yang tidak cukup independen sehingga aktivitas yang menyimpang bisa berlangsung tanpa meninggalkan jejak yang mudah diidentifikasi.
Ketiga adalah kurangnya segregation of duties yaitu pemisahan fungsi yang memastikan tidak ada satu individu yang bisa menyelesaikan seluruh proses dari awal hingga akhir tanpa keterlibatan pihak lain. Ketiga celah ini bukan masalah yang unik bagi Bank Jatim. Mereka adalah kelemahan struktural yang bisa ditemukan di banyak institusi keuangan daerah Indonesia yang belum menginvestasikan cukup banyak pada penguatan tata kelola IT-nya.
Mengapa Bank Daerah Lebih Rentan
Bank-bank pembangunan daerah seperti Bank Jatim menghadapi tantangan yang berbeda dari bank swasta nasional dalam hal tata kelola IT. Anggaran yang lebih terbatas untuk investasi teknologi keamanan tekanan untuk melayani program pemerintah daerah yang sering kali memerlukan fleksibilitas operasional dan struktur pengawasan yang belum sekuat bank-bank nasional adalah kombinasi yang menciptakan kerentanan yang lebih tinggi terhadap insiden internal.
Kasus Putu Harry Sasmita yang terjadi di Bank Jatim adalah alarm bagi seluruh ekosistem bank daerah di Indonesia untuk mengevaluasi secara jujur apakah standar tata kelola IT mereka sudah cukup kuat untuk mencegah insiden serupa. Evaluasi yang jujur dan tindak lanjut yang konkret adalah satu-satunya respons yang bermakna terhadap pelajaran yang sudah dibayar dengan mahal ini.
Regulasi OJK dan Standar Minimum yang Harus Dipenuhi
Otoritas Jasa Keuangan telah menetapkan standar minimum tata kelola IT yang wajib dipenuhi oleh seluruh bank di Indonesia termasuk bank daerah. Standar ini mencakup kewajiban audit keamanan berkala manajemen risiko teknologi yang terdokumentasi dan sistem pelaporan insiden yang memiliki jalur eskalasi yang jelas.
Kasus Putu Harry Sasmita menunjukkan bahwa memiliki regulasi yang baik tidak secara otomatis berarti implementasi yang baik. Jarak antara standar yang tertulis dalam kebijakan dan praktik yang berjalan sehari-hari adalah di mana risiko sesungguhnya berada dan di mana fokus pengawasan regulator seharusnya paling intensif. Informasi lebih lengkap tentang standar tata kelola IT perbankan Indonesia tersedia di situs resmi Otoritas Jasa Keuangan.
Pelajaran yang Tidak Boleh Sia-Sia
Putu Harry Sasmita sudah menyelesaikan pertanggungjawabannya kepada hukum pada 2022. Kasusnya sudah tutup buku dari perspektif peradilan. Namun pelajaran yang terkandung di dalamnya belum selesai dipetik oleh industri yang menjadi konteksnya.
Setiap insiden keamanan internal di perbankan yang tidak menghasilkan perbaikan sistemik yang nyata adalah kesempatan yang sia-sia. Dan bagi industri IT keuangan Indonesia yang sedang bertransformasi digital dengan kecepatan yang semakin tinggi membiarkan pelajaran semacam ini berlalu tanpa tindak lanjut yang konkret adalah risiko yang tidak bisa lagi ditoleransi.
