OJK Terbitkan Aturan Baru Penerapan Manajemen Risiko Pemakaian TI untuk IKNB

·Bacaan 7 menit

Liputan6.com, Jakarta - Otoritas Jasa Keuangan (OJK) merilis aturan baru mengenai penerapan manajemen risiko dalam penggunaan teknologi informasi oleh lembaga jasa keuangan nonbank atau Industri Keuangan Non Bank (IKNB)

Hal itu diatur dalam Peraturan OJK Nomor 4/POJK.05/2021 tentang penerapan manajemen risiko dalam penggunaan teknologi informasi oleh lembaga jasa keuangan nonbank.

POJK Nomor 4/POJK.05/2021 itu ditetapkan Ketua Dewan Komisioner OJK Wimboh Santoso pada 9 Maret 2021. Ketentuan itu diundangkan pada 17 Maret 2021 oleh Menteri Hukum dan HAM Yasonna H.Laoly.

OJK memaparkan sejumlah latar belakang dan tujuan ketentuan manajemen risiko dalam penggunaan teknologi informasi oleh lembaga jasa keuangan nonbank.

Pertama, ketentuan itu dibuat seiring perkembangan teknologi informasi yang sangat cepat dan bersifat disruptif mendorong peningkatan penggunaan teknologi informasi di sektor industri keuangan nonbank (IKNB) untuk meningkatkan produktivitas dan bisnis lembaga jasa keuangan nonbank (LJKNB).

Kedua, penggunaan teknologi informasi memiliki potensi risiko yang dapat merugikan LJKNB dan konsumen. Oleh karena itu, agar dapat melindungi kepentingan LJKNB dan konsumen, LJKNB dituntut untuk dapat menerapkan manajemen risiko yang memadai dalam penggunaan teknologi informasi.

"Hingga saat ini belum seluruh jenis LJKNB memiliki pengaturan mengenai manajemen risiko dalam penggunaan teknologi informasi (MRTI), sementara pengaturan yang ada bagi beberapa jenis LJKNB memiliki cakupan pengaturan yang terbatas," demikian mengutip dari keterangan tertulis, Senin (22/3/2021).

Ketiga,oleh sebab itu, perlu ada pengaturan mengenai penerapan MRTI bagi LJKNB secara komprehensif untuk seluruh LJKNB dalam satu POJK.

Keempat, penyusunan pengaturan mengenai penerapan MRTI LJKNB dipandang perlu diharmonisasikan dengan ketentuan serupa di sektor perbankan dengan tetap mempertimbangkan kompleksitas dan karakteristik LJKNB.

Pokok-pokok pengaturan dalam POJK MRTI LJKNB antara lain:

a.subjek pengaturan dalam POJK MRTI LJKNB antara lain perusahaan perasuransian yang terdiri atas perusahaan asuransi, perusahaan reasuransi, perusahaan asuransi syariah, perusahaan reasuransi syariah, perusahaan pialang asuransi, perusahaan pialang reasuransi dan perusahaan penilai kerugian asuransi. Hal ini juga sebagaimana diatur dalam peraturan perundang-undangan mengenai perasuransian.

Kemudian dana pensiun sebagaimana dimaksud dalam peraturan perundang-undangan mengenai dana pensiun. Selanjutnya lembaga pembiayaan yang terdiri atas perusahaan pembiayaan, perusahaan pembiayaan syariah, perusahaan modal ventura, perusahaan modal ventura syariah, dan perusahaan pembiayaan infrastruktur.

Lalu lembaga jasa keuangan lainnya yang terdiri atas perusahaan pergadaian, sebagaimana dimaksud dalam peraturan perundang-undangan mengenai pergadaian, lembaga penjamin yang terdiri atas perusahaan penjaminan, perusahaan penjaminan syariah, perusahaan penjaminan ulang, dan perusahaan penjaminan ulang syariah. Hal ini sebagaimana dimaksud dalam peraturan perundang-undangan mengenai penjaminan.

Penyelenggara layanan pinjam meminjam uang berbasis teknologi informasi sebagaimana dimaksud dalam peraturan perundang-undangan mengenai layanan pinjam meminjam uang berbasis teknologi informasi, lembaga pembiayaan ekspor Indonesia, sebagaimana dimaksud dalam undang-undang mengenai lembaga pembiayaan ekspor Indonesia.

Selain itu, perusahaan pembiayaan sekunder perumahan sebagaimana dimaksud dalam peraturan perundang-undangan mengenai perusahaan pembiayaan sekunder perumahan, badan penyelenggara jaminan sosial, sebagaimana dimaksud dalam undang-undang mengenai badan penyelenggara jaminan sosial (BPJS).

Lalu PT Permodalan Nasional Madani (Persero) sebagaimana dimaksud dalam peraturan perundang-undangan mengenai PT Permodalan Nasional Madani (Persero) yang menggunakan teknologi informasi dalam penyelenggaraan usaha.

Pokok Pengaturan Lainnya

Ilustrasi OJK (Liputan6.com/Andri Wiranuari)
Ilustrasi OJK (Liputan6.com/Andri Wiranuari)

b. LJKNB wajib menerapkan manajemen risiko secara efektif dalam penggunaan teknologi informasi yang mencakup paling sedikit:

1) pengawasan aktif direksi dan dewan komisaris;

2) kecukupan kebijakan dan prosedur penggunaan teknologi informasi;

3) kecukupan proses identifikasi, pengukuran, pengendalian, dan pemantauan risiko penggunaan teknologi informasi; dan

4) sistem pengendalian internal atas penggunaan Teknologi Informasi.

c. Penerapan manajemen risiko dalam penggunaan teknologi informasi oleh LJKNB wajib disesuaikan dengan tujuan, kebijakan usaha, ukuran, dan kompleksitas usaha LJKNB.

d. LJKNB yang memiliki total aset lebih dari Rp1 triliun wajib memiliki komite pengarah teknologi informasi, yang beranggotakan paling sedikit:

1) direktur yang membawahkan satuan kerja penyelenggara Teknologi Informasi;

2) direktur atau pejabat yang membawahkan fungsi manajemen risiko;

3) pejabat tertinggi yang membawahkan satuan kerja penyelenggara Teknologi Informasi; dan

4) pejabat tertinggi yang membawahkan satuan kerja pengguna Teknologi Informasi.

e. LJKNB wajib memiliki kebijakan dan prosedur penggunaan teknologi informasi yang meliputi aspek paling sedikit:

1) manajemen;

2) pengembangan dan pengadaan;

3) operasional teknologi informasi;

4) jaringan komunikasi;

5) pengamanan informasi;

6) rencana pemulihan bencana;

7) penggunaan pihak penyedia jasa Teknologi Informasi; dan

8) layanan keuangan elektronik, bagi LJKNB yang menyelenggarakan layanan keuangan elektronik.

f. LJKNB wajib memiliki rencana pemulihan bencana dan melakukan uji coba atas rencana pemulihan bencana terhadap seluruh aplikasi inti dan infrastruktur yang kritikal sesuai hasil analisis dampak secara berkala dengan melibatkan satuan kerja pengguna teknologi informasi.

g. Penyelenggaraan teknologi informasi oleh LJKNB dapat dilakukan secara sendiri dan/atau menggunakan pihak penyedia jasa teknologi informasi.

h. LJKNB yang memiliki total aset sampai dengan Rp 500 miliar wajib melakukan rekam cadang data aktivitas yang diproses menggunakan teknologi informasi, yang dilakukan secara berkala.

Pokok Pengaturan Lainnya

Petugas tengah melakukan pelayanan call center di Kantor Otoritas Jasa Keuangan (OJK), Jakarta. (Liputan6.com/Angga Yuniar)
Petugas tengah melakukan pelayanan call center di Kantor Otoritas Jasa Keuangan (OJK), Jakarta. (Liputan6.com/Angga Yuniar)

i. LJKNB yang memiliki total aset lebih dari Rp 500 miliar-Rp 1 triliun wajib:

1) memiliki pusat data; dan

2) melakukan rekam cadang data aktivitas yang diproses menggunakan teknologi informasi, yang dilakukan secara berkala.

j. LJKNB:

1) yang memiliki total aset lebih dari Rp 1 triliun dan/atau

2) yang mayoritas penyelenggaraan usahanya dilakukan dengan menggunakan teknologi informasi, wajib memiliki pusat data dan pusat pemulihan bencana.

k. Otoritas Jasa Keuangan berwenang meminta:

1) LJKNB yang memenuhi kriteria sebagaimana dimaksud pada huruf h untuk memiliki pusat data; dan

2) LJKNB yang memenuhi kriteria sebagaimana dimaksud pada huruf i untuk memiliki pusat pemulihan bencana

l. LJKNB wajib memenuhi permintaan Otoritas Jasa Keuangan sebagaimana dimaksud pada huruf k.

m. LJKNB yang memiliki pusat data dan/atau pusat pemulihan bencana wajib menempatkan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di wilayah Indonesia.

n. LJKNB sebagaimana dimaksud pada huruf m wajib menempatkan sistem elektronik pada pusat data di lokasi yang berbeda dengan pusat pemulihan bencana dengan memperhatikan faktor geografis.

o. LJKNB sebagaimana dimaksud pada huruf n dilarang menempatkan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di luar wilayah Indonesia kecuali telah mendapatkan persetujuan dari OJK.

p. Sistem elektronik yang dapat ditempatkan pada pusat data dan/atau pusat pemulihan bencana di luar wilayah Indonesia adalah:

1) Sistem elektronik yang digunakan untuk mendukung analisis terintegrasi dalam rangka memenuhi ketentuan yang diterbitkan oleh otoritas negara asal LJKNB yang bersifat global, termasuk lintas negara;

2) Sistem elektronik yang digunakan untuk manajemen risiko secara terintegrasi dengan perusahaan induk, entitas utama, dan/atau entitas lain yang memiliki kegiatan usaha sejenis dalam satu grup LJKNB di luar wilayah Indonesia;

3) Sistem elektronik yang digunakan dalam rangka penerapan anti pencucian uang dan pencegahan pendanaan terorisme secara terintegrasi dengan perusahaan induk, entitas utama, dan/atau entitas lain yang memiliki kegiatan usaha sejenis dalam satu grup LJKNB di luar wilayah Indonesia;

4) Sistem elektronik yang digunakan dalam rangka pelayanan kepada konsumen secara global, yang membutuhkan integrasi dengan sistem elektronik milik grup LJKNB di luar wilayah Indonesia;

5) Sistem elektronik yang digunakan untuk manajemen komunikasi dengan perusahaan induk, entitas utama, dan/atau entitas lain yang memiliki kegiatan usaha sejenis dalam satu grup LJKNB; dan/atau

6) Sistem elektronik yang digunakan untuk manajemen internal.

Selanjutnya

Tulisan OJK terpampang di Kantor Otoritas Jasa Keuangan (OJK), Jakarta. (Liputan6.com/Angga Yuniar)
Tulisan OJK terpampang di Kantor Otoritas Jasa Keuangan (OJK), Jakarta. (Liputan6.com/Angga Yuniar)

q. LJKNB wajib melaporkan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan teknologi informasi yang dapat dan/atau telah mengakibatkan kerugian keuangan yang signifikan dan/atau mengganggu kelancaran operasional LJKNB paling lama lima hari kerja setelah kejadian kritis dan/atau penyalahgunaan atau kejahatan diketahui.

r. LJKNB yang melanggar ketentuan dalam POJK ini dikenakan sanksi administratif berupa peringatan tertulis yang berlaku sampai dengan dipenuhinya ketentuan.

s. LJKNB yang terlambat menyampaikan laporan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan teknologi informasi dikenakan sanksi administratif tambahan berupa denda administratif sebesar Rp 500 ribu per hari keterlambatan dan paling banyak sebesar Rp 25 juta.

t. Dalam hal OJK telah mengenakan sanksi administratif sebagaimana dimaksud pada huruf a dan LJKNB tidak memenuhi ketentuan yang menyebabkan dikenakannya sanksi administratif, OJK dapat:

1) menurunkan hasil penilaian tingkat kesehatan;

2) melakukan penilaian kembali terhadap pihak utama LJKNB.

u. Ketentuan dalam Peraturan Otoritas Jasa Keuangan ini mulai berlaku:

1) Satu tahun sejak Peraturan Otoritas Jasa Keuangan ini diundangkan bagi:

a) penyelenggara layanan pinjam meminjam uang berbasis teknologi informasi; dan

b) LJKNB yang memiliki total aset lebih dari Rp 1 triliun

2) Dua tahun sejak Peraturan Otoritas Jasa Keuangan ini diundangkan bagi LJKNB yang memiliki total aset lebih dari Rp 500 miliar sampai dengan Rp 1 triliun; dan

3) Tiga tahun sejak Peraturan Otoritas Jasa Keuangan ini diundangkan bagi LJKNB yang memiliki total aset sampai dengan Rp 500 miliar, kecuali ketentuan mengenai penempatan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di wilayah Indonesia yang berlaku pada tanggal diundangkan.

Saksikan Video Pilihan di Bawah Ini