Otoritas Jasa Keuangan (OJK) menerbitkan Peraturan Otoritas Jasa Keuangan Nomor 11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum (POJK PTI). Peraturan tersebut mengadopsi konsep principle dari cetak biru yang penting untuk dituangkan menjadi peraturan. 

Cetak biru atau blueprint merupakan sebuah rancangan sebagai pedoman dan acuan bagi seluruh kepentingan dalam membuat kebijakan. 

Kepala Eksekutif Pengawas Perbankan, Dian Ediana Rae, mengatakan pengaturan POJK PTI ini telah mengakomodasi seluruh pilar dalam cetak biru transformasi digital perbankan. Dian menjelaskan, pengaturan tata kelola penyelenggaraan TI bertujuan meningkatkan peran direksi, dewan komisaris, serta seluruh pihak yang berkaitan dengan penyelenggaraan TI di bank. 

"Dengan demikian bank dapat memaksimalkan value added dari penyelenggaraan TI sesuai dengan strategi digitalisasi perbankan yang diikuti dengan mitigasi risiko yang memadai," katanya dalam keterangan resmi, Kamis (8/4). 

Dalam mendukung tata kelola TI, bank harus memastikan bahwa penyelenggaraan TI dapat memenuhi kebutuhan organisasi.

Bagaimana cara memastikannya? Hal tersebut dilakukan dengan penyusunan arsitektur TI yang menerjemahkan strategi organisasi menjadi rencana sistem informasi berdasarkan pemahaman atas strategi organisasi.

Arsitektur TI merupakan cetak biru yang menjadi landasan bagi bank dalam mengatur, merencanakan dan menentukan TI yang mendukung proses bisnis organisasi.

Sementara itu, Deputi Komisioner Pengawas Perbankan I Otoritas Jasa Keuangan (OJK), Teguh Supangkat, mengatakan perkembangan teknologi informasi telah mengubah perilaku masyarakat dalam penggunaan layanan perbankan. 

Hal ini menuntut industri perbankan yang selalu beradaptasi dengan kebutuhan masyarakat terhadap produk dan layanan yang cepat, aman, dan efisien. Untuk merespon hal tersebut, industri perbankan perlu melakukan suatu transsformasi digital dengan mengoptimalkan pemanfaatan TI dalam suatu layanan. 

"Di sisi lain pengembangan TI ini berpotensi meningkatkan exposure risiko bagi bank sehingga bank ini perlu memperkuat tata kelola dalam penyelenggaraan teknologi informasi," katanya dalam paparan publik, Kamis (4/8). 

Teguh menjelaskan saat ini, ada beberapa regulasi yang telah diterbitkan oleh OJK, yakni, POJK No.12/POJK.03/2018 tentang Layanan Perbankan Digital oleh Bank Umum. Kemudian, POJK No.12/POJK.03/2021 tentang Bank Umum untuk mendukung digitalisasi perbankan; POJK No.13/POJK .03/2021 tentang Penyelenggaraan Produk oleh Bank Umum dan terbaru adalah POJK No.11/POJK.03/2022 tentang Penyelenggaraan Teknologi Informasi oleh Bank Umum.

Teguh mengatakan OJK akan mengatur tata kelola teknologi informasi di POJK yang terbaru dengan pokok aturan sebagai berikut: 

1. Tata Kelola TI Bank

Dalam penerapan tata kelola TI mempertimbangkan faktor yakni strategi dan tujuan bisnis bank, ukuran dan kompleksitas bank, peran IT bagi bank, metode pengadaan TI, dan risiko dan permasalahan terkait TI. Lalu, praktik atau standar yang berlaku nasional maupun internasional, serta peraturan perundang-undangan. 

Lalu, kewajiban penetapan wewenang dan tanggung jawab direksi, dewan komisaris, dan pejabat eksekutif bank.  Serta, wajib memiliki komite pengarah TI dan satuan kerja TI. 

2. Arsitektur TI Bank 

Bank wajib memiliki arsitektur TI yang disusun secara komprehensif meliputi perencanaan, desain, implementasi, dan kontrol. Bank wajib memiliki rencana strategis TI (RSTI) yang mendukung rencana korporasi bank.

3. Penerapan Manajemen Risiko dalam Penyelenggaraan TI

Dalam hal ini bank wajib menerapkan manajemen risiko secara efektif dalam penyelenggaraan TI. Untuk menerapkan manajemen risiko, Bank melakukan proses paling sedikit, yakni: identifikasi risiko, pengukuran risiko, pemantauan risiko, dan pengendalian risiko. 

Bank wajib memiliki Rencana Pemulihan Bencana (disaster recovery plan/DRP) dan memastikan bahwa DRP dapat dilaksanakan. Uji coba atas DRP dan kaji ulang DRP, wajib dilakukan paling sedikit satu kali dalam 1 tahun.

4. Ketahanan dan Keamanan Siber

Proses ketahanan siber yakni indentifikasi, perlindungan, deteksi, penanggulangan dan pemulihan. 

5. Penggunaan Pihak Penyedia  Jasa TI 

Dalam menggunakan pihak penyedia jasa TI, bank wajib memiliki kemampuan dalam melakukan pengawasan terhadap pekerjaan yang dilaksanakan pihak penyedia jasaTI. Bank juga wajib memiliki kebijakan dan prosedur dalam penggunaan pihak penyedia jasa TI. 

6. Penempatan Sistem Elektronik 

Bank wajib menempatkan Sistem Elektronik pada Pusat Data (DC) dan Pusat Pemulihan Bencana (DRC) di wilayah Indonesia.

Bank dapat menempatkan SistemElektronik pada DC dan/atau DRC di luar wilayah Indonesia sepanjang memperoleh izin dari OJK. 

7. Pengelolaan Data dan Pelindungan Data Pribadi

Bank wajib melaksanakan prinsip pelindungan data priba di dalam melakukan pemrosesan data pribadi.

Pengelolaan data memperhatikan kepemilikan dan kepengurusan data, kualitas data, sistem pengelolaan data, dan sumber daya pendukung. 

8. Penyediaan Jasa TI oleh Bank

Bank dapat menyediakan jasa TI kepada lembaga jasa keuangan yang memiliki otoritas pengawas dan pengatur (baik di  dalam maupun luar wilayah Indonesia), dengan memperoleh izin OJK.

Penyediaan jasa TI berupa aplikasi kepada lembaga jasa keuangan selain bank dapat dilakukan dengan memenuhi kriteria tertentu.

9. Pengendalian Intern dan Audit Intern

Sistem pengendalian intern meliputi kegiatan pengawasan hingga pemantauan dan koreksi penyimpangan. Bank melakukan audit TI serta kaji ulang terhadap fungsi audit intern secara berkala dan melaporkan hasilnya kepada OJK. 

10. Pelaporan

Bank menyampaikan laporan antara lain rencana strategis TI, rencana pengembangan TI, kondisi terkini penyelenggaraan TI dan  laporan insiden TI (baik siber/nonsiber) melalui sistem elektronik.

11. Penilaian Tingkat Maturitas Digital Bank

Bank melakukan penilaian sendiri atas tingkat maturitas digital bank  paling  sedikit sekali dalam setahun  dan  disampaikan sebagai bagian  dari laporan kondisi  terkini penyelenggaraan TI.

Reporter: Patricia Yashinta Desy Abigail