Sebagai latar belakang, OJK memandang bahwa penggunaan teknologi informasi yang dapat meningkatkan produktivitas dan bisnis di sektor IKNB juga memiliki potensi risiko yang dapat merugikan perusahaan dan konsumen. Oleh karena itu, perlu bagi IKNB untuk menerapkan manajemen risiko yang memadai dalam penggunaan teknologi informasi.
Adapun subjek pengaturan dalam POJK ini adalah perusahaan perasuransian, dana pensiun, lembaga pembiayaan, lembaga jasa keuangan lainnya seperti perusahaan pergadaian, PT Permodalan Nasional Madani (Persero), lembaga pembiayaan ekspor, lembaga pembiayaan sekunder perumahan, hingga perusahaan penyelenggara layanan pinjam meminjam uang berbasis teknologi informasi (fintech).
Dalam ketentuannya, IKNB wajib menerapkan manajemen risiko secara efektif dalam penggunaan teknologi informasi yang mencakup paling sedikit pengawasan aktif direksi dan dewan komisaris; kecukupan kebijakan dan prosedur penggunaan teknologi informasi; kecukupan proses identifikasi, pengukuran, pengendalian, dan pemantauan risiko penggunaan teknologi informasi; serta sistem pengendalian internal atas penggunaan Teknologi Informasi.
Bagi IKNB yang memiliki total aset lebih dari Rp1 triliun diwajibkan untuk memiliki komite pengarah teknologi informasi, yang beranggotakan paling sedikit direktur yang membawahkan satuan kerja penyelenggara Teknologi Informasi. Lalu direktur atau pejabat yang membawahkan fungsi manajemen risiko, pejabat tertinggi yang membawahkan satuan kerja penyelenggara Teknologi Informasi, serta pejabat tertinggi yang membawahkan satuan kerja pengguna Teknologi Informasi.
IKNB juga wajib memiliki rencana pemulihan bencana dan melakukan uji coba atas rencana pemulihan bencana terhadap seluruh aplikasi inti dan infrastruktur yang kritikal sesuai hasil analisis dampak secara berkala dengan melibatkan satuan kerja pengguna teknologi informasi.
Adapun bagi perusahaan IKNB yang memiliki total aset sampai dengan Rp500 miliar wajib melakukan rekam cadang data aktivitas yang diproses menggunakan teknologi informasi, yang dilakukan secara berkala. Sementara IKNB yang memiliki total aset lebih dari Rp500 miliar sampai dengan Rp1 triliun wajib memiliki pusat data dan melakukan rekam cadang data aktivitas yang diproses menggunakan Teknologi Informasi, yang dilakukan secara berkala.
Sedangkan IKNB yang memiliki total aset lebih dari Rp1 triliun dan yang mayoritas penyelenggaraan usahanya dilakukan dengan menggunakan teknologi informasi, wajib memiliki pusat data dan pusat pemulihan bencana. IKNB yang memiliki pusat data dan/atau pusat pemulihan bencana wajib menempatkan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di wilayah Indonesia.
"IKNB dilarang menempatkan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di luar wilayah Indonesia, kecuali telah mendapatkan persetujuan dari OJK," tegas OJK.
Sistem elektronik yang dapat ditempatkan pada pusat data dan/atau pusat pemulihan bencana di luar wilayah Indonesia adalah, pertama, sistem elektronik yang digunakan untuk mendukung analisis terintegrasi dalam rangka memenuhi ketentuan yang diterbitkan oleh otoritas negara asal IKNB yang bersifat global, termasuk lintas negara.
Kedua, sistem elektronik yang digunakan untuk manajemen risiko secara terintegrasi dengan perusahaan induk, entitas utama, dan/atau entitas lain yang memiliki kegiatan usaha sejenis dalam satu grup IKNB di luar wilayah Indonesia. Ketiga, sistem elektronik yang digunakan dalam rangka penerapan anti pencucian uang dan pencegahan pendanaan terorisme secara terintegrasi dengan perusahaan induk, entitas utama, dan/atau entitas lain yang memiliki kegiatan usaha sejenis dalam satu grup IKNB di luar wilayah Indonesia;
Keempat, sistem elektronik yang digunakan dalam rangka pelayanan kepada konsumen secara global, yang membutuhkan integrasi dengan sistem elektronik milik grup IKNB di luar wilayah Indonesia. Kelima, sistem elektronik yang digunakan untuk manajemen komunikasi dengan perusahaan induk, entitas utama, dan/atau entitas lain yang memiliki kegiatan usaha sejenis dalam satu grup IKNB. Keenam, sistem elektronik yang digunakan untuk manajemen internal.
IKNB wajib melaporkan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan teknologi informasi yang dapat dan/atau telah mengakibatkan kerugian keuangan yang signifikan dan/atau mengganggu kelancaran operasional LJKNB paling lama lima hari kerja setelah kejadian kritis dan/atau penyalahgunaan atau kejahatan diketahui.
"IKNB yang terlambat menyampaikan laporan kejadian kritis, penyalahgunaan, dan/atau kejahatan dalam penyelenggaraan teknologi informasi dikenakan sanksi administratif tambahan berupa denda administratif sebesar Rp500 ribu per hari keterlambatan dan paling banyak sebesar Rp25 juta.
Ketentuan ini mulai berlaku satu tahun sejak POJK ini diundangkan bagi penyelenggara layanan pinjam meminjam uang berbasis teknologi informasi atau fintech peer to peer lending dan IKNB yang memiliki total aset lebih dari Rp1 triliun
"Dua tahun sejak POJK ini diundangkan bagi IKNB yang memiliki total aset lebih dari Rp500 miliar sampai dengan Rp1 triliun. Tiga tahun sejak POJK ini diundangkan bagi IKNB yang memiliki total aset sampai dengan Rp500 miliar, kecuali ketentuan mengenai penempatan sistem elektronik pada pusat data dan/atau pusat pemulihan bencana di wilayah Indonesia yang berlaku pada tanggal diundangkan," tutur OJK.
POJK ini ditetapkan oleh Ketua Dewan Komisioner OJK Wimboh Santoso pada 9 Maret 2021 dan mulai berlaku sejak 17 Maret 2021 setelah diundangkan oleh Menteri Hukum dan Hak Asasi Manusia (HAM).
Cek Berita dan Artikel yang lain di
Google News
