Bisnis.com, JAKARTA — Otoritas Jasa Keuangan (OJK) menerbitkan aturan baru terkait penerapan manajemen risiko dalam penggunaan teknologi informasi oleh industri keuangan nonbank (IKNB). Sejumlah aspek harus dipenuhi, mulai dari komite khusus hingga kepemilikan pusat data di dalam negeri.
Ketentuan itu tercantum dalam Peraturan OJK (POJK) 4/2021 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Lembaga Jasa Keuangan Non Bank (LJKNB). Beleid itu ditetapkan oleh Ketua Dewan Komisioner OJK Wimboh Santoso pada 9 Maret 2021.
POJK 4/2021 mulai berlaku sejak 17 Maret 2021 setelah diundangkan oleh Menteri Hukum dan Hak Asasi Manusia (HAM) Yasonna H. Laoly. Beleid itu berlaku bagi seluruh jenis LJKNB, mulai dari asuransi, perusahaan pembiayaan, pergadaian, dana pensiun, hingga badan penyelenggara jaminan sosial atau BPJS.
Wimboh menjelaskan bahwa aturan itu terbit mengingat perkembangan teknologi informasi (TI) yang sangat cepat tetapi di satu sisi bersifat disruptif. Sektor IKNB pun didorong untuk meningkatkan penggunaan TI agar menggenjot produktivitas dan bisnisnya.
Di sisi lain, penggunaan TI memiliki potensi risiko yang dapat merugikan perusahaan terkait dan konsumennya. Oleh karena itu, IKNB harus dapat menerapkan manajemen risiko yang memadai dalam penggunaan TI dengan mengedepankan manajemen risiko dalam penggunaan teknologi informasi (MRTI).
"Hingga saat ini belum seluruh jenis LJKNB memiliki pengaturan mengenai MRTI, sementara pengaturan yang ada bagi beberapa jenis LJKNB memiliki cakupan pengaturan yang terbatas. Oleh sebab itu perlu adanya pengaturan mengenai penerapan MRTI bagi LJKNB secara komprehensif untuk seluruh LJKNB dalam satu POJK," tulis Wimboh dalam ringkasan POJK 4/2021 yang dipublikasikan pada Senin (22/3/2021).
POJK itu mengatur sejumlah aspek yang harus dipenuhi seluruh perusahaan IKNB. Salah satu di antaranya adalah perusahaan yang memiliki aset di atas Rp1 triliun wajib memiliki komite pengarah TI, dengan anggota paling sedikit terdiri dari empat unsur.
Keempat unsur anggota itu adalah direktur yang membawahkan satuan kerja penyelenggara TI, direktur yang membawahkan fungsi manajemen risiko, pejabat tertinggi yang membawahkan satuan kerja penyelenggara TI, dan pejabat tertinggi yang membawahkan satuan kerja pengguna TI.
Lalu, seluruh perusahaan IKNB wajib memiliki kebijakan dan prosedur penggunaan TI yang meliputi paling sedikit delapan aspek, yakni manajemen, pengembangan dan pengadaan, operasional TI ,jaringan komunikasi, pengamanan informasi, rencana pemulihan bencana, penggunaan pihak penyedia jasa teknologi informasi, serta layanan keuangan elektronik.
"LJKNB wajib memiliki rencana pemulihan bencana dan melakukan uji coba atas rencana pemulihan bencana terhadap aplikasi inti dan infrastruktur kritikal sesuai hasil analisis dampak secara berkala dengan melibatkan satuan kerja pengguna TI," tulis Wimboh.
Terdapat ketentuan khusus yang disusun OJK berdasarkan besaran aset perusahaan IKNB. Perusahaan dengan aset sampai dengan Rp500 miliar wajib melakukan rekam cadang data aktivitas yang diproses menggunakan TI dan dilakukan secara berkala.
Adapun, perusahaan IKNB dengan aset Rp500 miliar hingga Rp1 triliun wajib memiliki pusat data dan melakukan rekam cadang data aktivitas yang diproses menggunakan TI dan dilakukan secara berkala. Ketentuan berbeda berlaku bagi perusahaan dengan aset lebih besar.
Dalam POJK itu tertulis bahwa perusahaan dengan total aset di atas Rp1 triliun dan/atau mayoritas penyelenggaraan usahanya dilakukan dengan menggunakan TI wajib memiliki pusat data dan pusat pemulihan bencana. OJK pun berhak meminta perusahaan-perusahaan untuk memenuhi ketentuan yang ada.
"LJKNB yang memiliki pusat data dan/atau pusat pemulihan bencana wajib menempatkan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di wilayah Indonesia," tertulis dalam beleid tersebut.
Sistem elektronik pada pusat data dan pusat pemulihan bencana dari sebuah perusahaan yang memenuhi ketentuan wajib berada di lokasi yang berbeda. Dalam menempatkannya, perusahaan terkait harus memperhatikan faktor geografis.
OJK melarang perusahaan IKNB untuk menempatkan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di luar wilayah Indonesia, kecuali telah mendapatkan persetujuan dari otoritas. Penempatan di luar negeri pun hanya dapat dilakukan jika memenuhi sejumlah ketentuan.
"LJKNB wajib melaporkan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan teknologi informasi yang dapat dan/atau telah mengakibatkan kerugian keuangan yang signifikan dan/atau mengganggu kelancaran operasional LJKNB paling lama lima hari kerja setelah kejadian kritis dan/atau penyalahgunaan atau kejahatan diketahui," tertulis dalam aturan tersebut.
Terdapat sejumlah sanksi bagi perusahaan IKNB yang tidak memenuhi ketentuan POJK 4/2021, mulai dari peringatan tertulis hingga denda administratif Rp500.000 per hari keterlambatan. OJK pun dapat menurunkan hasil penilaian tingkat kesehatan jika perusahaan tidak memenuhi ketentuan.
Ketentuan dalam POJK 4/2021 mulai berlaku satu tahun ke depan bagi penyelenggara layanan pinjam meminjam uang berbasis teknologi informasi atau pinjaman online (fintech peer-to-peer lending) dan perusahaan IKNB dengan aset di atas Rp1 triliun.
Ketentuan itu berlaku dua tahun mendatang bagi perusahaan dengan aset antara Rp500 miliar hingga Rp1 triliun. Adapun, ketentuan tersebut berlaku tiga tahun ke depan bagi perusahaan IKNB yang memiliki aset hingga Rp500 miliar.
"Kecuali ketentuan mengenai penempatan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di wilayah Indonesia yang berlaku pada tanggal diundangkan," tulis Wimboh.
Cek Berita dan Artikel yang lain di Google News dan WA Channel
