Otoritas Jasa Keuangan (OJK) menerbitkan aturan tentang manajemen risiko penggunaan teknologi informasi sebagaimana tertuang dalam POJK Nomor 4/pojk.05/2021. Tujuannya untuk melindungi konsumen serta industri non-bank
Ketentuan tersebut ditetapkan oleh Ketua Dewan Komisioner OJK Wimboh Santoso pada 9 Maret 2021. Dan sudah diundangkan pada 17 Maret 2021 oleh Menteri Hukum dan HAM Yasonna H. Laoly.
Menurut OJK, dasar diterbitkannya aturan tersebut karena hingga saat ini belum semua sektor non-bank memiliki pengaturan mengenai manajemen risiko. Sementara pengaturan yang ada memiliki cakupan terbatas. Oleh karena itu, perlu adanya pengaturan secara komprehensif untuk semua sektor dalam satu POJK.
“Penyusunan pengaturan mengenai penerapan manajemen risiko tersebut perlu diharmonisasikan dengan ketentuan serupa di sektor perbankan dengan tetap mempertimbangkan kompleksitas dan karakterisik industri non-bank,” jelas OJK dalam siaran pers, Senin (22/03/2021).
POJK Nomor 4/pojk.05/2021 ini mengatur sektor non bank seperti asuransi, dana pensiun, lembaga pembiayaan dan lembaga jasa keuangan lain. Dalam prakteknya, penerapan manajemen risiko melibatkan pengawasan aktif dari direksi dan dewan komisaris.
Baca: Perlu Diketahui, Bocoran Aturan Bank Digital yang Sedang Digarap OJK
Hal itu dibarengi kebijakan serta prosedur penggunaan teknologi informasi yang cukup. Kemudian proses identifikasi, pengukuran, pengendalian dan pemantauan risiko penggunaan teknologi. Juga harus ada sistem pengendalian internal atas teknologi tersebut.
OJK menjelaskan, “Perusahaan beraset Rp 1 triliun wajib memiliki komite pengarah teknologi informasi yang beranggotakan paling sedikit direksi membawahi satuan kerja teknologi informasi, direktur atau pejabat membawahi fungsi manajemen risiko, pejabat tertinggi yang membawahi satuan kerja.
“Sementara kebijakan dan prosedur penggunaan teknologi informasi mencakup manajemen, pengembangan dan pengadaan, operasional, jaringan komunikasi, pengamanan informasi, penggunaan pihak penyedia jasa teknologi informasi dan layanan keuangan elektronik.”
“Perusahaan wajib memiliki rencana pemulihan bencana dan melakukan uji coba atas rencana pemulihan bencana terhadap seluruh aplikasi inti dan infrastruktur yang kritikal sesuai hasil analisis dampak secara berkala dengan melibatkan satuan kerja pengguna teknologi informasi.”
OJK juga menjelaskan bahwa perusahaan beraset Rp 500 miliar wajib melakukan rekam cadang data aktivitas yang diproses menggunakan teknologi informasi dan dilakukan secara berkala. Selain rekam cadang, perusahaan beraset Rp 500 miliar – Rp 1 triliun wajib memiliki pusat data.
“Perusahaan yang memiliki aset lebih dari Rp 1 triliun, di mana mayoritas penyelenggaraan usahanya melalui teknologi informasi maka wajib memiliki pusat data dan pusat pemulihan bencana.”
Perusahaan-perusahaan itu, lanjut OJK, juga wajib melaporkan kejadian kritis, penyalahgunaan dan kejahatan dalam penyelenggaraan teknologi yang kerugian keuangan serta bisnis paling lambat lima hari kerja. Jika melanggar ketentuan ini maka akan dikenakan sanksi administratif berupa peringatan tertulis.
POJK Nomor 4/pojk.05/2021 juga memuat sejumlah sanksi, “Bagi yang terlambat menyampaikan laporan akan dikenakan sanksi denda Rp 500 ribu per hari dan paling banyak Rp 25 juta. Namun jika tidak memenuhi ketentuan, maka regulator akan menurunkan penilaian tingkat kesehatan dan melakukan penilaian ulang.”
Ketentuan OJK ini mulai berlaku satu tahun sejak POJK diundangkan bagi perusahaan beraset lebih dari Rp 1 triliun. Tahun berikutnya bagi perusahaan beraset Rp 500 miliar – Rp 1 triliun. Terakhir, dilanjutkan perusahaan beraset sampai Rp 500 miliar pada tahun selanjutnya.
Baca: OJK Masukkan Akselerasi Transformasi Digital Dalam Roadmap Perbankan 2020-2025














