Oleh Paul Sutaryono, Penulis adalah Staf Ahli Pusat Studi BUMN, pengamat perbankan, dan mantan Assistant Vice President BNI
SEIRING sejalan dengan kemajuan teknologi informasi (TI), akhir-akhir ini kejahatan siber (cyber crime) kian marak di industri perbankan nasional dengan aneka bentuk yang sering kali justru tidak disadari nasabah. Bagaimana bank melakukan mitigasi risiko kejahatan siber itu?
Kejahatan siber merupakan kejahatan dunia maya secara luas yang didefinisikan sebagai aktivitas ilegal apa pun yang melibatkan komputer, perangkat digital lain, atau jaringan komputer. Contoh, serangan jaringan, pishing: upaya penipuan dengan meminta nasabah bank untuk memberikan informasi pribadi, seperti nomor rekening bank, sandi (password), atau nomor kartu kredit. Demikian pula peretasan media sosial dan pencurian identitas untuk mencari keuntungan finansial.
Sejatinya, bank sudah menerapkan manajemen risiko yang bertujuan final untuk menekan potensi risiko. Inilah manfaat manajemen risiko: mampu memberikan informasi dan perspektif kepada manajemen tentang semua profil risiko (risk profile), perubahan mendasar mengenai produk dan pasar, lingkungan bisnis dan perubahan yang diperlukan dalam proses manajemen risiko; menyampaikan isu sentral tentang formulasi kebijakan manajemen risiko dan review-nya; serta menghitung dan mengukur besarnya risk exposure.
Manajemen risiko pun mampu menetapkan alokasi sumber-sumber dana dan limit risiko dengan lebih tepat, menghindari konsentrasi portofolio yang berlebihan, membuat cadangan yang memadai untuk mengantisipasi risiko yang sudah diukur dan dihitung (calculated risk), serta menghindari potensi kerugian yang relatif lebih besar.
Kejahatan siber merupakan risiko teknologi sebagai bagian dari risiko operasional. Apa itu risiko operasional? Michel Crouhy, Dan Galai, & Robert Mark (2000) mendefinisikan risiko operasional sebagai risiko yang berkaitan dengan operasional bisnis. Risiko ini meliputi dua komponen risiko. Satu, risiko kegagalan operasional (operational failure risk) atau risiko internal yang terdiri atas risiko yang bersumber dari sumber daya manusia (SDM), proses, dan teknologi. Dua, risiko strategi operasional (operational strategic risk) atau risiko eksternal yang berasal dari faktor-faktor seperti politik, pajak, regulasi, pemerintah, masyarakat, dan kompetisi.
Lantas, jurus apa saja untuk memitigasi risiko kejahatan siber? Pertama, mengapa fraud bisa terjadi? Apa itu fraud? Salah satu pakar, Barry Minkow, mengatakan bahwa fraud adalah penyamaran suatu kenyataan dengan suatu kebohongan atau sesuatu yang tidak lebih dari kulit kebenaran yang diisi dengan kebohongan.
Terdapat teori mengenai teori segitiga fraud. Donald R. Cressey mengatakan bahwa ada tiga elemen yang membuat orang melakukan fraud, yakni motif, kesempatan, dan mencari kelemahan yang dapat dimanfaatkan untuk keuntungannya. Oleh karena itu, menghilangkan kesempatan merupakan salah satu cara efektif untuk mencegah fraud.
Kedua, kejahatan siber dalam industri perbankan nasional dapat terjadi ketika ada orang dalam bank yang ikut main mata dengan pihak luar. Bank merupakan industri yang amat diatur (highly regulated). Bahkan, bank tidak hanya diatur oleh Otoritas Jasa Keuangan (OJK), tetapi juga oleh Bank Indonesia (BI) dan Lembaga Penjamin Simpanan (LPS). Plus undang-undang (UU) perbankan, UU Bank Indonesia, UU perseroan terbatas (PT), dan UU pasar modal.
Intinya, kasus perbankan hampir tak mungkin dilakukan satu orang. Kok bisa? Sebab, setiap dana ke luar bank harus melewati minimal dua petugas yang menangani transaksi, yakni petugas data entry dan petugas verifikasi yang masing-masing membutuhkan password. Karena itu, password wajib diganti secara berkala untuk mencegah potensi risiko fraud.
Ketiga, sesungguhnya kasus itu menyiratkan lemahnya pengawasan internal audit bank. Dalam satu kantor cabang biasanya ada seorang internal audit yang bertugas mengawasi operasional unit itu. Internal audit itu merupakan kepanjangan tangan dari divisi satuan pengawasan intern (SPI). Internal audit bukan bertanggung jawab kepada kepala cabang tempat ia ditempatkan, melainkan kepada kepala divisi SPI.
Keempat, lantas bagaimana melakukan mitigasi risiko? Bank dapat melakukan beberapa langkah strategis. Pertama, mengidentifikasi risiko (risk identification). Pada tahap pertama ini, bank dapat mengidentifikasi sumber risiko serta akibatnya dan penetapan langkah-langkah mitigasi (mitigate) atau mengurangi risiko.
Langkah kedua, mengukur risiko (risk measurement). Pada tahap ini bank dapat membuat kategori risiko, yakni potensi risiko paling rendah (kemungkinan terjadi kurang dari 2%), potensi risiko rendah (2%-5%), potensi risiko sedang (5%-10%), potensi risiko tinggi (10%-20%), dan potensi risiko paling tinggi (lebih dari 20%).
Langkah ketiga, menanggapi risiko (risk response). Bank dapat mengambil beberapa upaya. Pertama, mengembangkan teknologi. Upaya kedua dan ketiga, menghindari transaksi yang menjadi sumber risiko dan menyusun kebijakan serta prosedur yang lebih ketat dan terperinci serta mengalihkan risiko melalui asuransi dan lindung nilai (hedging). Langkah keempat, memantau risiko (risk monitoring). Pada tahap ini bank harus memanfaatkan TI yang bisa menelan banyak biaya.
Kelima, ketika kelak bank makin banyak memanfaatkan kecanggihan TI, bank pun wajib mengerek kiat mitigasi risiko teknologi. Sebab, meski risiko teknologi termasuk profil risiko yang rendah, tetapi sering terjadi. Artinya, risiko teknologi itu memiliki dampak rendah, tetapi frekuensinya tinggi.
Selama empat tahun terakhir ini, bank merasa terganggu dengan perkembangan teknologi (disruptive technology), dengan munculnya banyak perusahaan teknologi finansial (tekfin), khususnya model peer to peer lending. Tawaran tekfin itu melaju dengan pesat bagai panah lepas dari busurnya.
Mengapa bisa demikian? Karena, tekfin menawarkan model bisnis yang amat berbeda: minim dokumen, proses cepat, tanpa tatap muka, dan tanpa agunan. Bandingkan dengan layanan perkreditan bank yang sarat dokumen, proses lebih lama, harus dengan tatap muka dan jaminan.
Keenam, bagaimana menekan risiko teknologi. Bank wajib melakukan back up semua data nasabah dan transaksi yang pernah dilakukan. Back up merupakan salinan data yang dapat dimanfaatkan ketika terjadi risiko teknologi, seperti kegagalan sistem dan kesalahan programming. Alhasil, bank tidak akan kehilangan data nasabah dan transaksi mereka.
Ketujuh, bagaimana tanggung jawab bank kepada nasabah. Bank wajib bertanggung jawab atas simpanan nasabahnya, apalagi kasus dilakukan oleh orang internal bank.
Apakah simpanan di bank dijamin LPS? Ada tiga kriteria bagi simpanan yang layak bayar: (i) tercatat dalam pembukuan bank, (ii) tingkat bunga simpanan tidak melebihi tingkat bunga penjaminan, dan (iii) tidak melakukan tindakan yang merugikan bank. Namun, pembayaran itu baru akan dilakukan LPS ketika izin usaha bank itu telah dicabut.
Kedelapan, tentu saja OJK ikut bertanggung jawab untuk menyelesaikan masalah antara bank dan nasabah. Hal itu tertuang dalam Peraturan OJK (POJK) Nomor 31/POJK.07/2020 Tanggal 29 April 2020 tentang Penyelenggaraan Layanan Konsumen dan Masyarakat di Sektor Jasa Keuangan oleh OJK.
Sayangnya, pelayanan pengaduan konsumen dibatasi Rp500 juta untuk bank dan Rp750 juta untuk asuransi. Selama ini peran OJK hanya sebagai intermediasi para pihak yang bersengketa. Untunglah, kini OJK segera meluncurkan aturan untuk lebih melindungi konsumen. Dengan bahasa lebih bening, OJK tak bisa lepas tangan begitu saja. Jika kasus itu sudah dilaporkan ke kepolisian, OJK pun dapat membantu kepolisian dalam menangani kasus tersebut.
Kesembilan, bank juga wajib memiliki satu tempat tertentu yang dianggap aman sebagai pengganti ketika pusat data berbasis TI mengalami kehancuran karena kebakaran atau lainnya. Bank pun wajib menjamin bahwa pusat data cadangan itu dapat berjalan lancar ketika diperlukan kapan saja.
Semua itu sebagai contingency plan bagi bank dalam mitigasi risiko. Sarinya, contingency plan merupakan serangkaian langkah strategis yang telah disiapkan sebelumnya dan siap dijalankan ketika terjadi gangguan atau kegagalan operasional berbasis TI. Karena itu, diperlukan pula uji coba secara berkala untuk menguji apakah pusat data itu dapat berjalan dengan baik, cepat, dan benar.
Kesepuluh, lebih dari itu, bank wajib memperkaya kompetensi SDM tentang manajemen risiko sampai pada level sadar risiko (risk awareness) sebelum akhirnya mencapai level budaya risiko (risk culture). Upaya itu harus terus dilakukan, mengingat bisnis perbankan juga berkembang dengan pesat, bahkan sering bersinggungan dengan produk keuangan lainnya, seperti bisnis perasuransian dan pasar modal.
Selain itu, bank harus tiada henti melakukan revitalisasi sistem dan prosedur (standard operating procedures/SOP) manajemen risiko minimal tiga bulan sekali atau sesuai dengan kebutuhan. Hal itu bertujuan untuk mengikuti laju bisnis dan lingkungan bisnis.
Ketika bank telah menerapkan aneka jurus demikian, bank bakal lebih mampu menepis risiko kejahatan siber. Penyelesaian kasus dengan cepat akan mengerek kepercayaan pasar terhadap industri perbankan. Inilah tantangan serius bagi bank dan OJK untuk mampu menuntaskan setiap kasus dengan segera.
Ketika bank makin banyak memanfaatkan kecanggihan TI, bank wajib mengerek kiat mitigasi risiko teknologi. Sebab, meski risiko teknologi termasuk profil risiko yang rendah, tetapi sering terjadi. Artinya, risiko teknologi itu memiliki dampak rendah, tetapi frekuensinya tinggi. (*)