Menyimak Pengaturan Manajemen Risiko Teknologi Informasi Pada Bank Umum
Berita

Menyimak Pengaturan Manajemen Risiko Teknologi Informasi Pada Bank Umum

Dalam penerapan teknologi informasi, bank dapat menyediakan layanan perbankan secara elektronik (electronic banking).

Oleh:
CR-22
Bacaan 2 Menit
Menyimak Pengaturan Manajemen Risiko Teknologi Informasi Pada Bank Umum
Hukumonline
Perkembangan teknologi informasi yang cepat direspon Otoritas Jasa Keuangan (OJK) sebagai regulator di sektor perbankan. Beberapa waktu lalu, OJK menerbitkan Peraturan Otoritas Jasa Keuangan (POJK) Nomor 38/POJK.03/2016 tentang Penerapan Manajemen Risiko Penggunaan Teknologi Informasi Oleh Bank Umum. POJK ini diharapkan sejalan dengan dinamika peraturan yang terkait dengan penggunaan eknologi informasi serta perkembangan standar nasional dan internasional.

Dalam POJK ini disebutkan, bank wajib memiliki manajemen risiko yang berkaitan dengan penggunaan sistem teknologi informasi. Manajemen risiko tersebut mencakup pengawasan aktif direksi dan komisaris, kecukupan kebijakan, standar, dan prosedur penggunaan teknologi informasi, kecukupan proses identifikasi, pengukuran, pemantauan, dan pengendalian risiko penggunaan teknologi informasi dan sistem pengendalian internal atas penggunaan teknologi Informasi.

Penerapan manajemen risiko ini harus dilakukan secara terintegrasi dalam setiap tahapan penggunaan teknologi informasi. Mulai dari proses perencanaan, pengadaan, pengembangan, operasional, pemeliharaan, hingga penghentian dan penghapusan sumber daya teknologi informasi. Penerapan ini juga harus sesuai dengan tujuan, kebijakan usaha, ukuran, dan kompleksitas usaha bank. (Baca Juga: OJK Terbitkan 77 Regulasi Sepanjang 2016, Cek Daftarnya)

Sebagai implementasi keberadaan manajemen risiko penggunaan teknologi informasi, dari sisi hulu, bank wajib menetapkan wewenang dan tanggung jawab direksi, dewan komisaris, dan pejabat yang berada di setiap jenjang jabatan yang memiliki keterkaitan dengan penggunaan teknologi informasi. Salah satu wewenang dan tanggung jawab direksi adalah menetapkan Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) dan kebijakan bank terkait penggunaan teknologi Informasi, selain sederet tanggung jawab dan wewenang direksi yang lain.

Rencana strategis teknologi informasi merupakan dokumen yang menggambarkan visi dan misi teknologi informasi bank, strategi yang mendukung visi dan misalteknologi informasi bank, dan prinsip-prinsip utama yang menjadi acuan dalam penggunaan teknologi informasi untuk memenuhi kebutuhan bisnis serta mendukung rencana strategis jangka panjang.

Sementara rekomendasi terkait rencana strategis teknologi informasi ini, merupakan tugas dari Komite Pengarah Teknologi Informasi yang wajib dimiliki oleh setiap bank umum. Nantinya, komite ini lah yang memberikan rekomendasi kepada direksi tentang rencana strategis teknologi informasi yang sejalan dengan rencana strategis kegiatan usaha perbankan.

Masih terkait implementasi manajemen resiko teknologi informasi di sisi hulu, dewan komisaris memliki wewenang dan tanggung jawab berupa mengevaluasi, mengarahkan, dan memantau rencana strategis teknologi informasi dan kebijakan bank terkait penggunaan teknologi informasi. Selain itu, juga berwenang dan bertanggung jawab untuk mengevaluasi pertanggungjawaban direksi atas penerapan manajemen risiko dalam penggunaan teknologi informasi.

Dalam POJK ini mewajibkan kepada bank agar memiliki kebijkan, standar, dan prosedur penggunaan teknologi informasi dan wajib menerapkannya secara konsisten dan berkesinambungan. Terdapat pula toleransi atas limit risiko untuk untuk memastikan segala aspek kebijakan, standar, dan prosedur penggunaan teknologi berjalan secara optimal. (Baca Juga: Pentingnya Peran Otoritas dalam Mengatur Industri Fintech di Indonesia)

POJK ini juga mewajibkan kepada bank untuk memiliki kebijakan, standar, dan, prosedur atas proses manajemen risiko teknologi informasi. Selain itu, bank juga wajib melakukan proses manajemen risiko terkait penggunaan teknologi Informasi. Apabila bank menggunakan pihak penyedia jasa teknologi Informasi, bank wajib memastikan pihak tersebut menerapkan manajemen risiko sebagaimana diatur dalam peraturan OJK ini.

Sebagai langkah preventif, bank harus memastikan kelangsungan dan kestabilan operasional teknologi informasi yang berpotensi dapat menganggu kegiatan operasional bank. Untuk itu, bank diwajibkan turut menyediakan jaringan komunikasi yang memenuhi prinsip kerahasiaan (confidentieality), integritas (integrity), dan ketersediaan (availability).

POJK ini juga mengamanatkan agar bank melaksanakan sistem pengendalian internal secara efektif terhadap seluruh aspek penggunaan teknologi informasi. Sistem pengendalian dimaksud antara lain, pengawasan oleh manajemen dan adanya budaya pengendalian, identifikasi dan penilaian risiko, kegiatan pengendalian dan pemisahan fungsi, sistem informasi, sistem akuntansi dan sistem komunikasi, kegiatan pemantauan dan koreksi penyimpangan yang dilakukan oleh satuan kerja operasional, satuan kerja audit internal maupun pihak lain.

Semua sistem ini mesti didukung oleh teknologi, sumber daya manusia, dan struktur organisasi bank yang memadai. Audit internal ini dilakukan paling sedikit satu kali dalam setahun.

Layanan Elektronik
Dalam penerapan teknologi informasi, bank dapat menyediakan layanan perbankan secara elektronik (electronic banking). Bagi bank yang menyelenggarakan layanan ini, wajib memenuhi ketentuan OJK atau otoritas terkait lainnya. Selain itu, bank tersebut juga diwajibkan memuat rencana penerbitan produk dalam rencana bisnis bank.

Sebagai langkah pengaman, POJK ini mewajibkan kepada bank untuk menerapkan prinsip pemgendalian pengamanan data nasabah dan transaksi layanan perbankan elektronik pada setiap sistem yang digunakan.Sebagai bentuk pertanggungjawaban, POJK ini mewajibkan bank untuk melaporkan kondisi terkini penggunaan teknologi informasi paling lambat satu bulan sejak akhir tahun pelaporan.Termasuk rencana pengembangan teknologi Informasi yang akan diimplementasikan selama satu tahun ke depan.

Terhadap sesuatu hal yang sifatnya insidentil, bank wajib melaporkan kejadian kritis, penyalahgunaan, atau kejahatan dalam penyelenggaraan teknologi informasi yang dapat mengakibatkan kerugian keuangan secarasignifikan sehingga mengganggu kelancaran operasional bank. (Baca Juga: OJK Pertimbangkan Cabut Peraturan Capping Suku Bunga Deposito)

Dalam sesekali waktu, OJK dapat melakukan pemeriksaan atau meminta bank untuk melakukan pemeriksaan terhadap seluruh aspek terkait penggunaan teknologi informasi. Untuk itu, bank wajib menyediakan akses kepada OJK untuk dapat melakukan pemeriksaan pada seluruh aspek terkait penyelenggaraan teknologi informasi yang diselenggarakan sendiri atau diselenggarakan oleh pihak lain.
Tags:

Berita Terkait