IAW Sebut Celah Coretax harus Dievaluasi: Audit BSSN hingga Risiko Ketergantungan Teknologi Asing

Namun hasil audit sementara Badan Siber dan Sandi Negara (BSSN) justru menyingkap sejumlah kelemahan seperti segmentasi jaringan yang kurang baik, otorisasi pengguna yang belum maksimal, hingga sistem pencadangan data yang belum memenuhi standar ISO 27001.

"IAW merekomendasikan agar DJP wajib melibatkan CSIRT Nasional dan BPK RI dalam joint audit keamanan sebelum setiap tahap go-live berikutnya," tuturnya.

Iskandar menilai reformasi perpajakan tak cukup hanya mengganti sistem digital, tapi juga menuntut pembenahan tata kelola internal. Berdasarkan laporan Badan Pemeriksa Keuangan (BPK) selama dua dekade terakhir, DJP masih memiliki sejumlah kelemahan mendasar mulai dari sistem TI yang tidak terkendali, data wajib pajak yang belum lengkap, hingga lemahnya tindak lanjut terhadap temuan audit.

"Kelemahan ini langsung relevan dengan Coretax karena sistem baru hanya akan seefektif data dan tata kelola lama yang menopangnya. Jika kelemahan tersebut tidak ditambal, maka sistem baru hanya akan menjadi dashboard digital dari kesalahan lama," ucapnya.

Ia menegaskan bahwa inti dari reformasi pajak bukan sekadar memperbarui perangkat digital, melainkan menegakkan integritas dan akuntabilitas di setiap lini. Coretax, kata dia, semestinya menjadi “engine of reform,” bukan sekadar simbol digitalisasi semata.

Selain itu, ia juga memperingatkan risiko ketergantungan jangka panjang (vendor lock-in) dalam kontrak dengan LG CNS–Qualysoft. Menurutnya, hal tersebut berpotensi menimbulkan ketergantungan teknologi yang membatasi kemandirian Indonesia dalam mengelola sistemnya sendiri.

Oleh karena itu, ia mendesak agar BPK memastikan klausul alih teknologi benar-benar ditegakkan dalam audit tahun 2026 agar transfer pengetahuan tidak sepenuhnya dikendalikan pihak asing.

Ia menambahkan, keterlambatan migrasi data dan gangguan sistem dapat menurunkan tingkat kepercayaan publik terhadap reformasi pajak digital. Jika kepercayaan pada sistem fiskal berbasis teknologi menurun, dampaknya akan langsung terasa terhadap penerimaan negara.

Sebagai perbandingan, Iskandar mencontohkan keberhasilan Estonia, Korea Selatan, dan Singapura dalam membangun sistem pajak digital yang kokoh. Ketiga negara itu, menurutnya, berhasil berkat penerapan prinsip integritas data nasional dengan identitas tunggal, audit TI independen berkala, serta kemandirian teknologi melalui transfer kode sumber (source code).

"Indonesia bisa meniru langkah tersebut agar Coretax menjadi warisan teknologi kedaulatan fiskal, bukan ‘produk jadi’ yang tak bisa dikembangkan sendiri," bebernya.

Untuk memperkuat sistem ke depan, Iskandar menyusun beberapa rekomendasi strategis. Dalam jangka pendek (0–6 bulan), IAW mendorong dilakukannya audit keamanan siber independen bersama BPK dan BSSN, uji penetrasi oleh pihak ketiga sebelum modul baru diaktifkan, serta penyediaan sistem rollback otomatis apabila terjadi kegagalan integrasi.

Pada jangka menengah (6–18 bulan), rencana meliputi pembentukan Dewan Pengawas Proyek Coretax yang beranggotakan auditor BPK dan pakar forensik TI, penerapan manajemen data induk lintas DJP, Bea Cukai, dan DJA, serta penetapan indikator kinerja (KPI) untuk memastikan tindak lanjut hasil audit BPK dilakukan maksimal dalam 90 hari.

Adapun tahap jangka panjang (18–36 bulan) diarahkan untuk menyinergikan Coretax dengan data kependudukan (Dukcapil), sistem OSS, dan e-Billing nasional. Tahap ini juga disertai audit forensik tahunan oleh BPK serta evaluasi risiko vendor lock-in sebelum laporan penerimaan negara dipublikasikan.

Iskandar turut menekankan pentingnya pengawasan sistem dengan checklist teknis berisi 20 poin sesuai standar NIST dan ISO 27001. “Beberapa poin krusial meliputi validasi menyeluruh data wajib pajak sebelum migrasi, penyiapan disaster recovery center di lokasi terpisah, dan penerapan enkripsi database minimal AES-256,” jelasnya.

Selain itu, aktivitas admin, lanjutnya, wajib diaudit setiap enam bulan oleh BPK, dan setiap anomali sistem harus segera ditindaklanjuti maksimal dalam waktu 24 jam.