Otoritas Jasa Keuangan (OJK) baru saja mengeluarkan aturan baru mengenai penguatan mitigasi risiko teknologi informasi pada sektor jasa keuangan non-bank. Aturan tersebut tercantum pada Peraturan OJK Nomor 4 Tahun 2021 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Lembaga Jasa Keuangan Nonbank.
POJK 4/2021 diterbitkan melihat perkembangan teknologi informasi yang cepat dan disruptif sehingga mendorong peningkatan penggunaan teknologi informasi di sektor Industri Keuangan Nonbank (IKNB). Dalam penggunaan teknologi informasi tersebut ternyata memiliki potensi risiko yang dapat merugikan LJKNB dan konsumen.
“Agar dapat melindungi kepentingan LJKNB dan konsumen, LJKNB dituntut untuk dapat menerapkan manajemen risiko yang memadai dalam penggunaan teknologi informasi. Hingga saat ini belum seluruh jenis LJKNB memiliki pengaturan mengenai manajemen risiko dalam penggunaan teknologi informasi (MRTI), sementara pengaturan yang ada bagi beberapa jenis LJKNB memiliki cakupan pengaturan yang terbatas,” kutip aturan tersebut yang diundangkan pada Rabu (17/3).
Oleh sebab itu perlu adanya pengaturan mengenai penerapan MRTI bagi LJKNB secara komprehensif untuk seluruh LJKNB dalam satu POJK. Kemudian, penyusunan pengaturan mengenai penerapan MRTI LJKNB dipandang perlu diharmonisasikan dengan ketentuan serupa di sektor perbankan dengan tetap mempertimbangkan kompleksitas dan karakteristik LJKNB. (Baca: Jerat Pidana Sektor Jasa Keuangan Saat Tidak Penuhi Perintah OJK)
Pokok-pokok aturan POJK 4/2021 antara lain seluruh jenis perusahaan perasuransian, dana pensiun, lembaga pembiayaan dan lembaga jasa keuangan lainnya yang terdiri atas perusahaan pergadaian, lembaga penjamin, penyelenggara layanan pinjam meminjam uang berbasis teknologi informasi, lembaga pembiayaan ekspor Indonesia, perusahaan pembiayaan sekunder perumahan, badan penyelenggara jaminan sosial dan PT Permodalan Nasional Madani (Persero).
Nantinya, LJKNB wajib menerapkan manajemen risiko secara efektif dalam penggunaan teknologi informasi yang mencakup paling sedikit pengawasan aktif direksi dan dewan komisaris, kecukupan kebijakan dan prosedur penggunaan teknologi informasi, kecukupan proses identifikasi, pengukuran, pengendalian, dan pemantauan risiko penggunaan teknologi informasi dan sistem pengendalian internal atas penggunaan Teknologi Informasi.
Penerapan manajemen risiko dalam penggunaan teknologi informasi oleh LJKNB wajib disesuaikan dengan tujuan, kebijakan usaha, ukuran, dan kompleksitas usaha LJKNB. LJKNB yang memiliki total aset lebih dari Rp 1 triliun wajib memiliki komite pengarah teknologi informasi, yang beranggotakan paling sedikit direktur yang membawahkan satuan kerja penyelenggara Teknologi Informasi, direktur atau pejabat yang membawahkan fungsi manajemen risiko, pejabat tertinggi yang membawahkan satuan kerja penyelenggara Teknologi Informasi; dan pejabat tertinggi yang membawahkan satuan kerja pengguna Teknologi Informasi.
LJKNB wajib memiliki kebijakan dan prosedur penggunaan teknologi informasi yang meliputi aspek paling sedikit manajemen, pengembangan dan pengadaan, operasional teknologi informasi, jaringan komunikasi, pengamanan informasi, rencana pemulihan bencana, penggunaan pihak penyedia jasa Teknologi Informasi dan layanan keuangan elektronik, bagi LJKNB yang menyelenggarakan layanan keuangan elektronik.
LJKNB wajib memiliki rencana pemulihan bencana dan melakukan uji coba atas rencana pemulihan bencana terhadap seluruh aplikasi inti dan infrastruktur yang kritikal sesuai hasil analisis dampak secara berkala dengan melibatkan satuan kerja pengguna teknologi informasi. Penyelenggaraan teknologi informasi oleh LJKNB dapat dilakukan secara sendiri dan/atau menggunakan pihak penyedia jasa teknologi informasi.
LJKNB yang memiliki total aset sampai dengan Rp 500 miliar wajib melakukan rekam cadang data aktivitas yang diproses menggunakan teknologi informasi, yang dilakukan secara berkala. i. LJKNB yang memiliki total aset lebih dari Rp 500 miliar- Rp 1 triliun wajib memiliki pusat data dan melakukan rekam cadang data aktivitas yang diproses menggunakan Teknologi Informasi, yang dilakukan secara berkala. LJKNB yang memiliki total aset lebih dari Rp 1 triliun dan/atau mayoritas penyelenggaraan usahanya dilakukan dengan menggunakan teknologi informasi, wajib memiliki pusat data dan pusat pemulihan bencana.
OJK berwenang meminta LJKNB dengan total aset sampai Rp 500 miliar untuk memiliki pusat data dan LJKNB total aset Rp 500 miliar- Rp 1 triliun untuk memiliki pusat pemulihan bencana LJKNB wajib memenuhi permintaan OJK tersebut. LJKNB yang memiliki pusat data dan/atau pusat pemulihan bencana wajib menempatkan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di wilayah Indonesia.
Penempatan pusat data dan/atau pusat pemulihan bencana wajib menempatkan sistem elektronik pada pusat data di lokasi yang berbeda dengan pusat pemulihan bencana dengan memperhatikan faktor geografis. Namun, penempatannya dilarang di luar wilayah Indonesia kecuali telah mendapatkan persetujuan dari OJK.
Sistem elektronik yang dapat ditempatkan pada pusat data dan/atau pusat pemulihan bencana di luar wilayah Indonesia adalah Sistem elektronik yang digunakan untuk mendukung analisis terintegrasi dalam rangka memenuhi ketentuan yang diterbitkan oleh otoritas negara asal LJKNB yang bersifat global, termasuk lintas negara, Sistem elektronik yang digunakan untuk manajemen risiko secara terintegrasi dengan perusahaan induk, entitas utama, dan/atau entitas lain yang memiliki kegiatan usaha sejenis dalam satu grup LJKNB di luar wilayah Indonesia, Sistem elektronik yang digunakan dalam rangka penerapan anti pencucian uang dan pencegahan pendanaan terorisme secara terintegrasi dengan perusahaan induk, entitas utama, dan/atau entitas lain yang memiliki kegiatan usaha sejenis dalam satu grup LJKNB di luar wilayah Indonesia.
Kemudian, Sistem elektronik yang digunakan dalam rangka pelayanan kepada konsumen secara global, yang membutuhkan integrasi dengan sistem elektronik milik grup LJKNB di luar wilayah Indonesia, Sistem elektronik yang digunakan untuk manajemen komunikasi dengan perusahaan induk, entitas utama, dan/atau entitas lain yang memiliki kegiatan usaha sejenis dalam satu grup LJKNB dan/atau Sistem elektronik yang digunakan untuk manajemen internal.
LJKNB wajib melaporkan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan teknologi informasi yang dapat dan/atau telah mengakibatkan kerugian keuangan yang signifikan dan/atau mengganggu kelancaran operasional LJKNB paling lama 5 (lima) hari kerja setelah kejadian kritis dan/atau penyalahgunaan atau kejahatan diketahui. LJKNB yang melanggar ketentuan dalam POJK ini dikenakan sanksi administratif berupa peringatan tertulis yang berlaku sampai dengan dipenuhinya ketentuan. LJKNB yang terlambat menyampaikan laporan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan teknologi informasi dikenakan sanksi administratif tambahan berupa denda administratif sebesar Rp 500 ribu per hari keterlambatan dan paling banyak sebesar Rp25 juta.
Dalam hal OJK telah mengenakan sanksi administratif sebagaimana dimaksud pada huruf a dan LJKNB tidak memenuhi ketentuan yang menyebabkan dikenakannya sanksi administratif, Otoritas Jasa Keuangan dapat menurunkan hasil penilaian tingkat kesehatan dan/atau melakukan penilaian kembali terhadap pihak utama LJKNB.
Ketentuan dalam Peraturan Otoritas Jasa Keuangan ini mulai berlaku satu tahun sejak Peraturan Otoritas Jasa Keuangan ini diundangkan bagi penyelenggara layanan pinjam meminjam uang berbasis teknologi informasi dan LJKNB yang memiliki total aset lebih dari Rp1 triliun.
Kemudian, aturan POJK 4/2021 berlaku dua tahun bagi LJKNB yang memiliki total aset lebih dari Rp500 miliar- Rp1 triliun. Dan, berlaku tiga tahun bagi LJKNB yang memiliki total aset sampai dengan Rp500 miliar, kecuali ketentuan mengenai penempatan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di wilayah Indonesia yang berlaku pada tanggal diundangkan.
Sebelumnya, Kepala Eksekutif Pengawas Industri Keuangan Non-Bank, Riswinandi menyampaikan industri jasa keuangan non-bank telah berkembang sangat masif sehingga risiko dalam industri tersebut juga meningkat. Selain itu, semakin besarnya jumlah konsumen sebagai pengguna jasa keuangan non-bank juga perlu dilindungi.
“Peningkatan usaha lembaga jasa keuangan non-bank dengan risiko semakin kompleks perlu diimbangi dengan penerapan manajemen risiko yang memadai efektif dan terukur. Penerapan manajemen risiko tersebut tidak hanya ditujukan bagi kepentingan LJKNB tetapi juga masyarakat yang menggunakan jasa dan layanannya,” jelas Riswinandi.