Meredam Bahaya Laten

Pembobolan dana bank bisa terjadi kapan saja, lewat mana saja, dan dilakukan oleh siapa saja. Otoritas dan para pengelola terus berupaya menghalaunya, dengan menerapkan aturan anti fraud yang sudah dirilis Bank Indonesia dan kini diadopsi oleh OJK.

Di industri perbankan, fraud adalah bahaya laten yang terus diwaspadai. Ia adalah ancaman tak terlihat bagi semua pemangku kepentingan. Fraud bisa muncul kapan saja, dan tak pandang bank, bahkan tak peduli secanggih apapun sistem pengawasan dan seketat apapun sistem pengendalian internal.

Selama ini, pembobolan dana bank yang terjadi di Indonesia dan menjadi perhatian publik, memang kerap terjadi dengan modus yang terbilang ‘konvensional’. Para penjahat mengajukan kredit fiktif, atau bekerja sama dengan orang dalam mengelabui sistem yang ada. Atau yang kebih parah, orang dalam bank sendiri yang menelikung aturan dan sistem yang ada demi mencuri uang nasabah.

Dalam tahun ini saja, yang baru berjalan selama tiga bulan sudah ada tiga kasus pembobolan bank yang menjadi perhatian khalayak umum. Dimulai dengan munculnya kasus pembobolan dana milik Bank Syariah Mandiri yang mencapai Rp50 miliar dengan modus menggunakan bilyet deposito palsu. Bilyet itu menjadi jaminan untuk mendapatkan kredit dari bank dengan jumlah yang sama. Kasus itu sejatinya terjadi pada akhir tahun lalu, tetapi kemudian baru terungkap awal tahun.

Juga ada kasus raibnya dana nasabah yang disimpan di Bank Permata sebesar Rp245 juta. Kejadiannya juga pada tahun lalu, namun baru 25 Februari 2015, nasabah baru melaporkan hal itu ke Otoritas Jasa Keuangan (OJK).

Yang tak kalah menyita perhatian adalah lenyapnya dana milik Pemerintah Kota Semarang, Jawa Tengah yang disimpan di BTPN. Pada bulan lalu, Pemkot Semarang melaporkan BTPN ke Kepolisian karena simpanan berjangka sebesar Rp22,7 miliar miliknya menyusut tinggal Rp80 juta.

Kecurigaan raibnya uang deposito milik Pemkot Semarang itu berawal dari sikap BTPN yang menolak meneken nota kesepahaman (MoU) dengan Pemerintah Kota Semarang. Setiap awal tahun, pemerintah bertemu dengan tujuh bank tempat dana Pemerintah Kota disimpan. Dari tujuh bank, hanya BTPN yang tak datang.

Sementara itu, BTPN mengaku bahwa Pemkot Semarang tak menyimpan deposito di bank tersebut. “Padahal sertifikat deposito atas nama Pemerintah Kota Semarang yang dikeluarkan oleh BTPN masih tersimpan di kotak besi,” ujar salah satu pejabat Pemkot Semarang.

Melihat kejadian-kejadian itu, boleh dibilang pembobolan dana dengan cara-cara old style memang masih mewarnai risiko operasional perbankan, namun tetap mengakibatkan kerugian yang tidak sedikit. Menurut data Otoritas Jasa Keuangan, dalam beberapa tahun belakangan fraud telah membuat perbankan kehilangan duit Rp845 miliar. Jumlah itu hanya 0,20 persen dari seluruh pendapatan dan hanya 0,89 dari laba bank selama ini. Bahkan jumah itu masih semenjana jika dibandingkan dengan kerugian total akibat fraud di seluruh dunia.

“(angkanya) kecil tapi bukan berarti membuat kita tidak waspada,” kata Mulya E Siregar, Direktur Penelitian dan Pengaturan Perbankan OJK.

Meski didominasi oleh kecurangan lewat modus konvensional, bukan berarti pembobolan dengan teknik yang lebih canggih menjadi sepi. Dalam tiga tahun belakangan, seiring meningkatnya transaksi melalui saluran elektronik, pembobolan melalui layanan teknologi informasi terus meningkat. Bahkan ancaman itu bertambah besar ketika tersiar kabar bahwa beberapa bank besar di Eropa dan Asia dibobol oleh sekelompok peretas (hacker) dengan cara menyalin data-data rahasia bank lewat peranti lunak yang digunakan bank.

Perangkat lunak tersebut sudah tertanam berbulan-bulan dalam komputer karyawan perbankan dan merekam setiap gerakan karyawan baik pembukuan maupun kata kunci yang digunakan dalam pencatatan sehari-hari. Perangkat lunak ini ternyata sebuah malware yang kemudian mengirimkan aktivitas karyawan tersebut berupa rekaman, gambar ataupun data ke para hacker. Kemudian kelompok hacker tadi menyamar sebagai petugas bank yang tidak hanya mampu menyalakan mesin ATM uang, tetapi juga mentransfer jutaan dollar dari bank Rusia, Jepang, Swiss, Amerika Serikat dan Belanda ke rekening-rekening palsu mereka di berbagai negara.

Dalam laporan yang kemudian dipublikasikan oleh The New York Times, Kapersky Lab mengatakan bahwa serangan ini telah merebak di lebih dari 100 bank dan lembaga keuangan di 30 negara serta menghilangkan dana total 1 miliar dollar AS (Rp12 triliun). Tak pelak ini menjadi salah satu pencurian bank yang terbesar yang pernah ada tanpa adanya tanda-tanda perampokan.

Mengingat jaringan perbankan yang sudah mengglobal, bukan tidak mungkin perbankan Indonesia juga terancam akan modus yang sama. Apalagi banyak peranti lunak bajakan yang beredar luas di Indonesia.

Sebuah riset yang dinamakan Malware Study yang dilakukan 2013 menyimpulkan bahwa program-program yang berisi virus komputer yang masuk melalui software palsu dan lalu di-install ke dalam komputer, banyak tersebar di Indonesia.

Studi itu meneliti secara acak sebanyak 216 hard disk drive (HDD) dan pemutar DVD yang terpasang dalam komputer dan laptop di beberapa negara yaitu Indonesia, Malaysia, Filipina, Thailand dan Vietnam; dengan cara membeli komputer secara acak di toko-toko. Hampir separo dari komputer dan lapto itu dibeli di Indonesia.

Penelitian itu menyimpulkan bahwa sebanyak 59,09 persen sampel HDD yang didapatkan di Indonesia terinfeksi oleh malware. Sementara yang lebih ironis, 100 persen dari sampel DVD yang diambil di Indonesia terinfeksi oleh malware. Sementara negara yang terjangkit perangkat perusak terendah dari yang disurvei adalah Filipina yaitu dua dari lima komputer dan pemutar DVD yang terinfeksi.

Studi yang dilakukan oleh tim dari Microsoft Security Forensics lebih jauh juga mengungkap bahwa banyak komputer yang menggunakan sistem operasi Windows bajakan. Akan tetapi banyak konsumen yang tidak tahu bahwa di dalam sistem operasi itu tertanam malware. Bahkan program-program jahat itu tidak pilih-pilih karena hampir semua merek ternama bisa dijangkiti. 

Tidak berlebihan kiranya, jika perbankan Indonesia sangat terpapar risiko operasional yang diakibatkan maraknya penggunaan program-program komputer bajakan atau palsu.

Anti fraud

Otoritas sejatinya sudah mengeluarkan aturan agar fraud, dari manapun asalnya, bisa dihalau dan yang potensial akan muncul dari dalam bisa diredam. Adalah peraturan anti fraud yang sudah dirilis Bank Indonesia dan kini diadopsi oleh OJK yang mewajibkan bank memiliki manajemen strategi anti fraud. Strategi itu memilik empat komponen penting yaitu pencegahan, deteksi, investigasi, dan evaluasi.

Pilar pencegahan memuat langkah-langkah dalam rangka mengurangi potensi risiko terjadinya fraud, yang paling kurang mencakup kesadaran terhadap bahaya fraud (anti fraud awareness), identifikasi kerawanan, dan penerapan prinsip mengenal karyawan (know your employee).

Pilar deteksi memuat langkah-langkah dalam rangka mengidentifikasi dan menemukan fraud dalam kegiatan bank, yang mencakup paling kurang kebijakan dan mekanisme whistleblowing, pelaksanaan audit secara mendadak (surprise audit), dan sistem pengamatan (surveillance system).

Pilar investigasi, pelaporan, dan sanksi paling kurang memuat langkah-langkah dalam rangka menggali informasi, sistem pelaporan, dan pengenaan sanksi atas fraud dalam kegiatan usaha bank.

Pilar evaluasi paling kurang memuat langkah-langkah dalam rangka memantau dan mengevaluasi fraud.

Meski memiliki aturan manajemen anti fraud, bukan berarti pembobolan dan kecurangan bisa hilang sama sekali. Mulya E Siregar dari OJK mengatakan bahwa praktik fraud biasanya baru tercium setelah pembobolan dana terjadi. “Ada time lag untuk mengetahui terjadinya fraud di bank. Bank membutuhkan waktu lebih panjang untuk mengetahui atau menemukan fraud,” kata dia. “Oleh karena itu keberadaan whistle blower sangat penting bagi kita.”

Selama ini, berdasarkan catatan OJK, 43 persen kasus fraud di perbankan diketahui karena informasi dari whistle blower atau orang yang melaporkannya, sementara hanya 14 persen kasus pembobolan dana baru diketahui dari hasil audit.

Sementara itu, bahaya laten itu juga tetap mengintai jika berkaca pada hasil temuan OJK yang mengatakan bahwa banyak perusahaan yang tidak memperketat kebijakan anti fraud walaupun sebelumnya perusahaan itu mengalami fraud. “Pengendalian internal harus dilakukan secara continous,” kata Mulya.