Belakangan, publik disuguhi narasi yang berusaha menenangkan keadaan pasca insiden siber di Bank 9 Jambi. Narasi itu menekankan bahwa bank tetap sehat, tetap aman, dan tetap layak dipercaya. Ada pula upaya untuk menyebut berbagai kritik sebagai hoaks, penggiringan opini, atau serangan terhadap kredibilitas lembaga. Namun, di tengah gencarnya pembelaan itu, ada satu pertanyaan mendasar yang belum terjawab dengan jujur dan tuntas: apakah bank benar-benar memiliki tata kelola dan manajemen risiko yang memadai, atau justru selama ini hanya tampak baik di atas kertas?
Pertanyaan itu penting, karena dalam dunia perbankan, kesehatan sebuah bank tidak cukup diukur dari angka permodalan, rasio kredit bermasalah, atau laporan keuangan yang terlihat rapi. Bank bisa tampak kuat secara finansial, tetapi tetap lemah dalam pengendalian internal, ketahanan siber, pengawasan pihak ketiga, dan kesiapan menghadapi insiden. Di sinilah letak persoalan yang paling serius. Kekuatan formal tidak selalu berarti kesiapan operasional.
Insiden siber yang terjadi semestinya menjadi momentum untuk membuka fakta secara utuh. Publik tidak membutuhkan pembelaan yang hanya mengandalkan slogan tentang bank yang sehat. Publik justru membutuhkan jawaban yang konkret: kapan indikasi awal diterima, siapa yang menerima, apa tindakan yang dilakukan, mengapa ada jeda waktu yang panjang sebelum tindakan resmi diambil, dan bagaimana mungkin transaksi mencurigakan dapat berlangsung dalam skala besar tanpa respons yang memadai. Bila pertanyaan-pertanyaan ini tidak dijawab secara teknis, maka yang terjadi bukanlah klarifikasi, melainkan pengalihan isu.
Yang juga perlu digarisbawahi adalah soal manajemen risiko. Dalam perbankan, manajemen risiko bukan sekadar dokumen formal atau bagian administratif yang diletakkan dalam laporan tahunan. Manajemen risiko seharusnya hidup dalam praktik harian bank: mengidentifikasi risiko, memantau pergerakan yang tidak wajar, mengendalikan eksposur, dan mengambil tindakan cepat saat terjadi anomali. Jika skema transaksi mencurigakan bisa lolos, jika sistem tidak segera menghentikan aliran dana, jika pihak internal baru bergerak setelah beberapa jam, maka ada alasan kuat untuk menilai bahwa fungsi mitigasi tidak berjalan sebagaimana mestinya.
Lebih jauh lagi, muncul pula persoalan pengawasan pihak ketiga. Dalam banyak kasus teknologi informasi perbankan, bank tidak bisa berlindung di balik alasan bahwa sistem dikendalikan vendor. Justru sebaliknya, semakin besar ketergantungan pada pihak ketiga, semakin besar pula kewajiban bank untuk memastikan pengawasan, hak akses, audit, dan kontrol tetap berada di tangan bank. Bila kendali penting justru terlalu dominan berada pada pihak luar, maka yang dipertaruhkan bukan hanya efektivitas layanan, tetapi juga kedaulatan kontrol atas sistem yang menyangkut dana nasabah.
Di titik ini, publik patut bertanya: apakah mitigasi benar-benar dipersiapkan atau hanya ditulis sebagai formalitas? Apakah uji coba pemulihan bencana, simulasi serangan, dan pengujian skenario transaksi mencurigakan benar-benar dijalankan, atau hanya menjadi bagian dari laporan yang indah dibaca tetapi lemah di lapangan? Karena jika bank mengaku sehat tetapi gagal menunjukkan kesiapan nyata menghadapi insiden, maka kesehatan itu patut diuji ulang. Kesehatan bank bukan sekadar angka, melainkan kemampuan bertahan, merespons, memulihkan, dan mencegah pengulangan.
Narasi pembelaan yang terlalu agresif terhadap kritik juga mengandung bahaya lain: ia menutupi kebutuhan untuk evaluasi yang jujur. Ketika kritik disebut hoaks tanpa disertai bantahan teknis yang lengkap, maka publik justru semakin curiga. Ketika isu dianggap sekadar upaya menjatuhkan nama baik, tanpa membuka data yang bisa diverifikasi, maka pertanyaan tentang transparansi semakin besar. Lembaga perbankan tidak boleh membangun kepercayaan hanya dengan meminta publik percaya. Kepercayaan harus dibangun dengan bukti.
Sebab itu, yang seharusnya dilakukan bukanlah menyerang para pengkritik, melainkan membuka seluruh rangkaian kejadian secara profesional. Bank perlu menjelaskan mekanisme deteksi, langkah pemblokiran, dasar keputusan, status koordinasi dengan regulator, perlakuan terhadap aliran dana, serta evaluasi internal sesudah kejadian. Jika memang semua sudah sesuai, tunjukkan dokumennya. Jika memang sistem cadangan berjalan, tunjukkan jejak pemulihannya. Jika memang pengawasan risiko aktif, tunjukkan notulen rapat, rekomendasi tindak lanjut, dan bukti implementasinya.
Dalam isu sebesar ini, publik juga berhak menuntut standar yang lebih tinggi. Bank daerah bukan lembaga kecil yang bisa berlindung di balik ketidaktahuan teknis. Bank daerah mengelola dana masyarakat, memiliki kaitan dengan kepentingan daerah, dan berada di bawah kewajiban kehati-hatian yang lebih ketat. Karena itu, satu insiden besar saja sudah cukup untuk memunculkan pertanyaan mendalam: apakah tata kelola berjalan atau hanya dipresentasikan seolah-olah berjalan?
Lebih buruk lagi, apabila setelah insiden tidak ada pelacakan aliran dana yang memadai, tidak ada evaluasi menyeluruh terhadap pola transaksi, dan tidak ada pembenahan nyata pada sisi pengawasan, maka yang sedang terjadi bukan sekadar gangguan teknis. Yang terjadi adalah kegagalan manajerial. Kegagalan untuk belajar dari risiko. Kegagalan untuk membangun mitigasi. Dan kegagalan untuk menempatkan kepentingan nasabah di atas kepentingan pencitraan.
Pada akhirnya, yang harus dibongkar bukan sekadar satu pernyataan pembelaan, tetapi budaya tata kelola yang terlalu nyaman dengan laporan, namun kurang disiplin pada pembuktian. Jika sebuah bank ingin disebut sehat, maka kesehatannya harus dapat diuji di saat krisis, bukan hanya dipuji di saat normal. Jika ingin disebut aman, maka keamanan itu harus terlihat dalam respons insiden, bukan hanya terdengar dalam konferensi pers. Jika ingin disebut berintegritas, maka transparansi, akuntabilitas, dan keberanian membuka data harus menjadi kebiasaan, bukan pengecualian.
Maka, pertanyaan paling penting hari ini bukanlah apakah kritik terlalu keras. Pertanyaannya adalah: apakah bank berani membuktikan bahwa tata kelola dan manajemen risikonya benar-benar bekerja? Jika jawabannya masih kabur, maka publik berhak terus bertanya. Dan selama pertanyaan itu belum dijawab dengan data, pembelaan apa pun masih akan terdengar seperti upaya menutupi masalah, bukan menyelesaikannya.
