Ada satu hal yang paling mengkhawatirkan dari sebuah insiden besar di lembaga keuangan: bukan hanya kerugian yang ditimbulkan, melainkan apakah kejadian itu sebenarnya bisa dicegah, atau setidaknya ditangani lebih cepat.

Dalam kasus Bank 9 Jambi, rangkaian informasi yang dihimpun menunjukkan pola yang jauh lebih serius daripada sekadar gangguan teknis. Yang tampak justru adalah dugaan kuat tentang kelemahan sistemik, keterlambatan respons, ketidaksiapan incident response, dan tata kelola risiko yang patut dipertanyakan. Bila seluruh informasi ini ditarik ke konteks kepemilikan saham daerah, maka persoalannya juga menyentuh dimensi yang lebih berat: keuangan daerah dan potensi kerugian negara.

Baca Juga:Diduga Janjikan Lolos Jadi Jaksa: Warga Jambi Mengaku Rugi Rp400 Juta, Nama Gubernur Terseret

Kronologi yang Menjadi Titik Awal Pertanyaan

Berdasarkan informasi yang disampaikan, insiden terjadi pada 22 Februari 2026. Namun, terdapat ketidaksinkronan yang signifikan antara waktu yang disampaikan pihak bank dan waktu yang lebih awal terindikasi dari laporan teknis.

Menurut pihak Bank 9 Jambi melalui IT dan Legal, insiden disebut terjadi sekitar pukul 05.00 WIB, dan tindakan resmi baru dilakukan sekitar pukul 08.00 WIB.

Jika rangkaian waktu ini benar, maka pertanyaannya menjadi sangat mendasar: mengapa tindakan baru dilakukan pukul 08.00 WIB, padahal indikasi sudah diketahui sejak pukul 05.00 WIB? meski indikasi diketahui pada pukul 05.00 WIB, masih ada waktu sekitar 3 jam sebelum penanganan.

Baca Juga:Tiga Jemaah Haji Asal Jawa Timur Meninggal Dunia di Tanah Suci

Di sinilah persoalan sesungguhnya muncul. Sebab dalam pengelolaan risiko perbankan, terutama pada insiden yang diduga melibatkan transaksi mencurigakan dalam skala besar, keterlambatan beberapa jam bukanlah hal kecil. Dalam waktu seperti itu, kerugian bisa membesar, pola transaksi bisa meluas, dan pelaku bisa memindahkan dana ke banyak titik.

Dugaan Kegagalan Incident Response

Informasi yang disampaikan menunjukkan bahwa FDS telah menyiapkan skenario deteksi transaksi mencurigakan, yakni skenario “many to one”. Artinya, secara konsep, sistem atau setidaknya mekanisme pengawasan sudah mengenali bahwa ada pola transaksi dari banyak rekening menuju satu titik penampungan.

Baca Juga:Kapolri Mutasi Ratusan Perwira Polri, Sembilan Kapolda Resmi Diganti

Namun fakta bahwa anomali sudah diketahui sekitar pukul 05.00 seperti pernyataan pihak bank 9 jambi, tetapi tindakan efektif baru dilakukan pada pukul 08.00, menimbulkan dugaan kuat bahwa incident response tidak berjalan sebagaimana mestinya.

Jika sebuah skenario sudah diantisipasi, tetapi tetap tidak menghasilkan respons cepat, maka ada dua kemungkinan yang sama-sama serius:

  1. sistem tidak bekerja, atau
  2. struktur komando dan pengambilan keputusan tidak berfungsi efektif.

Keduanya sama-sama menunjukkan kelemahan tata kelola.

Skala Dampak: 6.000 Nasabah dan Kerugian Rp143 Miliar

Dari data yang disampaikan, insiden ini berdampak pada sekitar 6.000 nasabah dengan kerugian mencapai Rp143 miliar. Dana tersebut kemudian diganti oleh pihak bank menggunakan laba bersih tahun sebelumnya.

Baca Juga:Bank 9 Jambi Masih Bungkam, Tim Investigasi Pertanyakan Kegagalan Deteksi dan Pengawasan

Penggantian ini memang dapat meredam dampak langsung terhadap nasabah. Tetapi dari sudut pandang tata kelola, justru muncul pertanyaan lain:

  • Mengapa insiden bisa terjadi sedemikian besar?
  • Mengapa sistem tidak mencegahnya lebih awal?
  • Mengapa pengendalian internal tidak mampu menghentikan pergerakan dana?
  • Mengapa penanganan setelah kejadian tidak disertai pelacakan aliran dana yang memadai?

Kalau sebuah kejadian bisa menimbulkan kerugian sebesar itu, lalu diselesaikan dengan mengganti dana tanpa pembongkaran menyeluruh terhadap sumber kegagalan, maka ada risiko besar bahwa akar masalahnya tidak pernah benar-benar dibereskan.

Dampak pada Keuangan Daerah

Di sinilah aspek yang sangat penting. Berdasarkan informasi yang redaksi terima, dalam laporan BPK disebutkan adanya penyertaan modal permanen sebesar Rp703,67 miliar dari pemerintah daerah, ditambah setoran tunai Rp30 miliar dan aset Rp18,23 miliar. laporan juga menyebut bahwa 24,34% saham Bank 9 Jambi dimiliki oleh Pemprov Jambi.

Artinya, ketika laba bank digunakan untuk mengganti kerugian nasabah, dan laba itu sebagian merupakan hasil dari kepemilikan pemerintah daerah, maka secara substantif ada pertanyaan serius:

Baca Juga:Gudang BBM PT Merah Putih PetroGas di Muaro Jambi Disorot, Diduga Belum Kantongi Izin Lengkap

apakah sebagian beban kerugian ini pada akhirnya ikut menggerus manfaat ekonomi milik pemerintah daerah?

Secara logika kebijakan publik, bila laba bank daerah berkurang karena insiden yang seharusnya dapat dicegah, maka nilai ekonomi yang semestinya kembali ke daerah juga ikut terdampak. Dalam perspektif ini, insiden tersebut tidak lagi hanya urusan internal bank, tetapi telah bersentuhan dengan keuangan daerah.

Manajemen Risiko yang Dipertanyakan

Laporan yang kami terima juga menyampaikan bahwa berdasarkan pernyataan pihak bank, penetration testing terakhir kali dilakukan sekitar tahun lalu atau lebih dari 6 bulan yang lalu. Dalam konteks ancaman siber yang bergerak cepat, ritme seperti ini menimbulkan pertanyaan besar apakah pengujian tersebut benar-benar cukup untuk menjawab risiko operasional yang dinamis.

Lebih jauh lagi, redaksi mengutip tujuan manajemen risiko sebagaimana tertulis dalam laporan BPK, yaitu untuk:

  1. mengelola risiko yang dapat diperkirakan maupun yang tidak dapat diperkirakan,
  2. memberi gambaran kepada manajemen mengenai kemungkinan kerugian di masa mendatang,
  3. membantu pengambilan keputusan secara sistematis berbasis informasi,
  4. memelihara dan meningkatkan kesehatan bank,
  5. menciptakan dan memelihara posisi strategis serta reputasi bank.

Bila tujuan-tujuan tersebut benar-benar diterapkan, maka insiden ini seharusnya tidak berkembang sedemikian jauh tanpa respons cepat. Sebaliknya, fakta yang muncul justru menunjukkan bahwa manajemen risiko tidak bekerja sebagai sistem pencegahan yang efektif, melainkan lebih tampak sebagai formalitas administratif.

Pengawasan Risiko yang Diduga Tidak Memadai

Pernyataan dari pihak bank pada 7 Maret 2026, bahwa sejak 22 Februari hingga 7 Maret pihak bank 9 jambi masih berupaya mencari celah serangan, memperkuat dugaan bahwa penanganan insiden tidak dilakukan secara menyeluruh sejak awal.

Lebih mengkhawatirkan lagi, menurut informasi yang disampaikan, pihak bank justru tidak berupaya melacak jejak aliran dana dengan alasan kerugian nasabah sudah diganti. Sikap seperti ini sangat problematik.

Dalam insiden keuangan, penggantian dana kepada nasabah tidak otomatis menghapus kewajiban untuk menelusuri sumber, pola, dan jalur pergerakan dana. Justru pelacakan menjadi penting untuk:

  • memetakan kelemahan sistem,
  • mencegah pengulangan,
  • menilai kemungkinan keterlibatan pihak internal atau eksternal,
  • dan memastikan akuntabilitas.

Kalau pelacakan aliran dana tidak dilakukan secara serius, maka tim komite pengawasan risiko patut dipertanyakan efektivitas dan kecakapannya. Dalam istilah yang lebih tegas, ini bisa dibaca sebagai komite ada di atas kertas, tetapi fungsinya tidak hidup di lapangan.

Komite Audit dan Tata Kelola yang Diduga Tidak Berfungsi

Laporan yang redaksi terima juga menyinggung laporan LKPD BPK yang menyebut bahwa pembentukan komite audit Bank 9 Jambi telah dilakukan sesuai dengan ketentuan OJK. Ini penting, karena secara formal bank dapat tampak patuh terhadap regulasi.

Namun kepatuhan formal tidak selalu identik dengan efektivitas substantif.

Jika komite pengawas risiko, komite audit, dan struktur tata kelola benar-benar bekerja, maka setidaknya akan terlihat:

  • deteksi yang lebih cepat,
  • eskalasi yang lebih jelas,
  • keputusan yang lebih tegas,
  • dan pelacakan pascakejadian yang lebih agresif.

Tetapi dari alur yang disampaikan, yang terlihat justru sebaliknya. Karena itu, dugaan bahwa tata kelola tidak berfungsi sebagaimana mestinya menjadi sangat masuk akal untuk diuji lebih lanjut.

Masalah Kendali Sistem dan Ketergantungan pada Pihak Ketiga

Ada poin yang sangat penting dan berbahaya secara tata kelola: pihak bank disebut tidak memiliki kendali penuh atas sistem yang dibangun, dan kendali penuh justru berada pada pihak ketiga/FDS.

Kalau benar demikian, maka ini bukan sekadar masalah teknis vendor. Ini menyentuh inti dari manajemen risiko strategic partner. Sebuah bank tidak boleh berada dalam posisi di mana sistem vitalnya tidak sepenuhnya dapat dikendalikan oleh institusi itu sendiri.

Ketergantungan yang terlalu besar pada vendor dapat menimbulkan beberapa risiko:

  • bank tidak leluasa melakukan kontrol,
  • respons insiden bergantung pada pihak luar,
  • audit internal menjadi lemah,
  • dan akuntabilitas menjadi kabur.

Dalam sektor keuangan, kondisi semacam ini sangat berbahaya. Sebab ketika terjadi insiden, pertanyaan publik akan langsung mengarah pada siapa yang memegang kendali, siapa yang lalai, dan siapa yang seharusnya bertanggung jawab.

Temuan Lama yang Diduga Belum Ditutup Tuntas

Laporan juga menyebut temuan sekitar tahun 2020 tentang kartu ATM Bank 9 Jambi yang tidak memiliki masa expired. Walaupun disebut sudah diperbaiki, fakta bahwa temuan semacam ini pernah ada menunjukkan adanya masalah lama dalam disiplin pengendalian internal.

Lebih jauh, hasil investigasi menambahkan bahwa transaksi ilegal diduga ditemukan melalui EDC. Bila benar, maka ini menandakan bahwa kelemahan pengendalian tidak berdiri sendiri, melainkan berulang pada titik-titik yang semestinya menjadi perhatian utama.

Pertanyaan lanjutannya sangat wajar:
apakah kartu-kartu yang sempat dibuat tanpa masa expired telah dimusnahkan atau benar-benar ditarik dari peredaran?

Kalau jawabannya tidak jelas, maka manajemen risiko bank patut dipertanyakan. Sebab risiko yang pernah muncul seharusnya ditutup rapat, bukan dibiarkan menjadi celah di masa depan.

Laporan BPK, Aset Tak Berwujud, dan Dugaan “Ghost Project”

Hasil analisis juga mengutip informasi dari laporan LHP atas LKPD bahwa ditemukan aset tak berwujud berupa biaya software, software development, dan lisensi yang dibayar setiap tahun. Dalam konteks insiden yang terjadi, temuan ini memunculkan dugaan yang sangat serius: apakah pengeluaran tersebut benar-benar menghasilkan sistem yang efektif, atau justru hanya menjadi proyek yang secara formal tercatat, tetapi tidak benar-benar memberi daya proteksi yang nyata?

Kalau sebuah bank terus mengeluarkan biaya untuk software dan pengembangan, tetapi sistem tetap lemah, pengawasan tetap longgar, dan insiden tetap besar, maka publik wajar bertanya:

apakah ini benar proyek penguatan sistem, atau hanya beban anggaran yang tidak memberikan hasil sepadan?

Dugaan “ghost project” memang perlu dibuktikan secara formal, tetapi pertanyaan itu sah dan relevan untuk diajukan.

RBB 2018, 2019, 2020: Rencana Ada, Pelaksanaan Dipertanyakan

Laporan juga menyebut bahwa dalam RBB 2018, 2019, dan 2020 terdapat rencana pengembangan TI sebagai dukungan penghimpunan dana pihak ketiga, termasuk pengadaan ATM, CDM, CRM, EDC, dan CCM.

Ini menunjukkan bahwa secara dokumen, perencanaan memang ada. Namun insiden yang terjadi kemudian membuka pertanyaan berbeda: apakah seluruh rencana tersebut benar-benar diterapkan dengan kualitas pengamanan yang memadai?

Karena dalam tata kelola modern, yang dinilai bukan hanya keberadaan rencana, tetapi juga:

  • efektivitas implementasi,
  • kesiapan pengawasan,
  • kemampuan merespons risiko,
  • dan pembuktian bahwa investasi teknologi benar-benar mengurangi kerentanan.

Bila rencana ada tetapi hasilnya tetap rentan, maka masalahnya bukan pada dokumen. Masalahnya ada pada pelaksanaan, pengawasan, dan akuntabilitas.

Dari rangkaian informasi yang telah redaksi kumpulkan, sebuah gambaran besar mulai terbentuk.

Bank 9 Jambi diduga menghadapi insiden bukan semata karena “serangan siber”, melainkan karena kombinasi dari:

  • respons yang terlambat,
  • sistem pengawasan yang tidak efektif,
  • ketergantungan pada pihak ketiga,
  • tata kelola risiko yang diduga tidak berjalan,
  • pengawasan internal yang dipertanyakan,
  • belum sesuai regulasi bahkan tidak memiliki rencana simulasi serangan,
  • dan kemungkinan kelemahan dalam implementasi investasi TI.

Ketika kerugian mencapai Rp143 miliar, ribuan nasabah terdampak, dan laba bank digunakan untuk menutup kerugian, maka persoalan ini jelas bukan lagi sekadar masalah operasional. Ini adalah soal tanggung jawab institusional, akuntabilitas publik, dan potensi dampak pada keuangan daerah.

Dan bila benar sebagian kepemilikan bank berada di tangan pemerintah provinsi, maka publik berhak bertanya dengan sangat tegas:

apakah kerugian ini benar-benar hanya kerugian bank, atau juga kerugian publik yang ikut dipikul daerah?