Putu Harry Sasmita dan Lemahnya Pengawasan IT di Bank Jatim
Kasus Putu Harry Sasmita tidak bisa dipahami secara penuh tanpa memahami konteks pengawasan IT di Bank Jatim pada periode kasusnya berlangsung. Bukan untuk mencari pembenaran atas apa yang terjadi melainkan untuk memahami kondisi struktural yang memungkinkan insiden ini berlangsung selama hampir delapan tahun sebelum akhirnya terungkap dan masuk ke proses hukum.
Lemahnya pengawasan IT di institusi keuangan daerah adalah masalah yang jauh lebih luas dari satu kasus di satu bank. Ini adalah tantangan sistemik yang dihadapi oleh banyak bank daerah Indonesia yang anggaran dan kapasitas teknisnya belum sepadan dengan kompleksitas risiko yang harus mereka kelola di era digital.
Delapan Tahun Tanpa Terdeteksi — Pertanyaan yang Harus Dijawab
Salah satu fakta yang paling mengejutkan dari kasus Putu Harry Sasmita adalah durasi insiden berlangsung sebelum terdeteksi. Rentang waktu dari 2013 hingga 2021 adalah delapan tahun di mana aktivitas yang menyimpang berlangsung tanpa sistem pengawasan yang ada berhasil mengidentifikasinya secara dini.
Delapan tahun bukan angka yang kecil. Ini berarti ribuan hari kerja di mana sistem monitoring yang seharusnya aktif tidak cukup sensitif untuk menangkap pola anomali yang seharusnya sudah teridentifikasi jauh lebih awal. Pertanyaan tentang mengapa hal ini bisa terjadi selama itu adalah pertanyaan yang jawabannya paling relevan bagi industri perbankan yang ingin belajar dari insiden ini. Untuk konteks tentang bagaimana sistem deteksi anomali seharusnya bekerja bisa merujuk pada artikel Putu Harry Sasmita Insiden Keamanan IT.
Tiga Kelemahan Pengawasan yang Teridentifikasi
Berdasarkan detail yang terungkap dalam proses persidangan ada tiga kelemahan pengawasan IT yang paling menonjol dari kasus ini. Pertama adalah tidak adanya pemantauan aktif terhadap pola akses sistem yang dilakukan oleh pengguna dengan privilege tinggi. Log aktivitas ada namun tidak dianalisis secara rutin oleh tim yang memahami cara membaca anomali dari data tersebut.
Kedua adalah tidak adanya rekonsiliasi berkala antara transaksi yang diproses sistem dengan catatan manual yang bisa mengidentifikasi diskrepansi. Rekonsiliasi yang berjalan dengan baik adalah salah satu kontrol paling dasar dalam sistem keuangan namun efektivitasnya sangat bergantung pada independensi dan konsistensi pelaksanaannya.
Ketiga adalah tidak adanya mekanisme whistleblowing yang efektif dan terpercaya. Dalam organisasi besar selalu ada individu yang memiliki informasi atau kecurigaan tentang penyimpangan yang sedang terjadi. Tanpa saluran yang aman dan terpercaya untuk melaporkan kecurigaan tersebut informasi itu tidak pernah sampai ke pihak yang bisa menindaklanjutinya.
Mengapa Pengawasan Eksternal Tidak Cukup
Bank Jatim sebagai bank daerah menjalani audit reguler dari OJK dan auditor eksternal. Namun kasus Putu Harry Sasmita menunjukkan bahwa pengawasan eksternal yang berkala tidak cukup untuk mendeteksi insiden internal yang dirancang untuk menghindari deteksi justru oleh orang yang memahami cara kerja sistem dari dalam.
Pengawasan yang efektif di lingkungan IT perbankan harus bersifat berkelanjutan bukan periodik. Sistem monitoring real-time yang aktif menganalisis perilaku pengguna user behavior analytics yang mampu mengidentifikasi deviasi dari pola normal dan mekanisme eskalasi yang cepat ketika anomali ditemukan adalah komponen yang tidak bisa digantikan oleh audit tahunan atau bahkan kuartalan sekalipun. Panduan lebih lengkap tentang standar pengawasan IT perbankan tersedia di situs resmi Otoritas Jasa Keuangan Indonesia.
Perbaikan yang Seharusnya Dilakukan Setelah Kasus Ini
Kasus Putu Harry Sasmita seharusnya menjadi katalis bagi Bank Jatim dan seluruh bank daerah Indonesia untuk melakukan evaluasi menyeluruh terhadap sistem pengawasan IT mereka. Evaluasi yang jujur bukan evaluasi yang dilakukan untuk menghasilkan laporan yang terlihat baik di hadapan regulator melainkan evaluasi yang benar-benar mengidentifikasi celah dan menghasilkan rencana perbaikan yang konkret dan terukur.
Putu Harry Sasmita sudah menyelesaikan pertanggungjawabannya secara hukum pada 2022. Pertanggungjawaban institusional berupa perbaikan sistem yang nyata adalah bagian yang harus diselesaikan oleh Bank Jatim dan industri perbankan daerah Indonesia secara lebih luas sebagai respons yang bermakna terhadap insiden yang sudah terbukti sangat mahal harganya.
Investasi pada Pengawasan adalah Investasi pada Kepercayaan
Pada akhirnya investasi pada sistem pengawasan IT yang kuat bukan hanya tentang mencegah kerugian finansial. Ini tentang membangun dan mempertahankan kepercayaan publik terhadap institusi keuangan yang menjadi tulang punggung perekonomian daerah. Kepercayaan yang sekali rusak jauh lebih mahal untuk dipulihkan dari biaya membangun sistem pengawasan yang memadai sejak awal.
