Mencermati Ketentuan Penyelenggaraan Teknologi Informasi bagi BPR

computerTidak dapat dipungkiri bahwa layanan teknologi informasi membutuhkan komitmen, kompetensi dan integritas yang tinggi dari penyedia jasa layanan (vendor). Selain itu, keberlanjutan pelayanan juga merupakan faktor penting dalam memilih vendor.

Berikut ini adalah beberapa contoh kasus buruk tentang vendor:

  • Vendor tidak profesional, aplikasi inti perbankan yang sering mengalami masalah (terjadi error).
  • Vendor lari dari tanggung jawab kontrak.
  • Vendor tidak memberi layanan tepat waktu, sehingga aktivitas layanan perbankan jadi terganggu.
  • Vendor perorangan yang meninggal dunia, sehingga aplikasi inti perbankan tidak memperoleh layanan lagi.
  • Vendor tidak mampu menyesuaikan aplikasi dengan peraturan perundang-undangan yang berlaku.
  • Vendor tidak mampu mengikuti perkembangan teknologi informasi.

Sementara itu, kita menyadari bahwa perkembangan teknologi informasi bergerak dinamis mengikuti lingkungan bisnis atau bahkan justru bisnis yang bergerak mengikuti kemajuan teknologi informasi. Khusus untuk sektor perbankan, penggunaan teknologi informasi yang tepat menjadi tuntutan utama seiring dengan perkembangan teknologi informasi yang mempengaruhi pola berinteraksi masyarakat. Pengembangan produk dan layanan perbankan berbasis digital menjadi kebutuhan bagi sebagian besar mayarakat tentu harus menjadi perhatian bagi manajemen bank. Penyelenggaraan teknologi informasi yang aman, efektif dan efisien merupakan tujuan utama sekaligus menjadi tanggung jawab bagi manajemen dan seluruh jajaran dalam organisasi di bank.

Sebagai wujud kewenangan dan sekaligus tanggung jawab Otoritas Jasa Keuangan (OJK) terhadap pengaturan dan pengawasan di sektor perbankan, khususnya Bank Perkreditan Rakyat (BPR) dan Bank Pembiayaan Rakyat Syariah (BPRS), OJK telah mengeluarkan Peraturan Otoritas Jasa Keuangan nomor 75/POJK.03/2015 tentang Standar Penyelenggaraan Teknologi Informasi bagi Bank Perkreditan Rakyat dan Bank Pembiayaan Syariah, yang diberlakukan sejak 28 Desember 2016; dan Surat Edaran nomor 15/SEOJK.03/2017.  Terbitnya peraturan ini dimaksudkan untuk mendorong BPR agar dapat menyelenggarakan teknologi informasi secara efektif dan efisien serta dapat menjaga kualitas layanan kepada para nasabahnya. Dengan diberlakukannya peraturan tersebut, maka penyelenggaraan teknologi informasi pada BPR wajib memenuhi ketentuan sebagaimana diatur dalam POJK tersebut.

Ruang Lingkup Penyelenggaraan Teknologi Informasi

BPR yang memiliki modal inti kurang dari Rp 50 miliar, wajib menyelenggarakan teknologi informasi paling kurang berupa:

  • Aplikasi Inti Perbankan (Core Banking System), dan
  • Pusat Data (Data Center)

Sedangkan BPR yang memiliki modal inti paling sedikit Rp 50 miliar, wajib menyelenggarakan teknologi informasi paling kurang berupa:

  • Aplikasi Inti Perbankan (Core Banking System),
  • Pusat Data (Data Center), dan
  • Pusat Pemulihan Bencana (Disaster Recovery Center)

Pusat data dan pusat pemulihan bencana wajib berada di wilayah Indonesia. Pusat pemulihan bencana wajib ditempatkan di lokasi dengan karakteristik risiko yang berbeda dengan Pusat data.

Aplikasi Inti Perbankan

Aplikasi Inti Perbankan yang digunakan BPR/BPRS wajib mampu:

  • Menerapkan peraturan perundang-undangan yang berlaku.
  • Melakukan pembukuan transaksi antar jaringan kantor pada hari yang sama (bagi bpr/bprs yang tidak menyediakan layanan perbankan elektronik dan ATM, dan secara online dan realtime (bagi bpr/bprs yang menyediakan layanan perbankan elektronik dan/atau ATM).
  • Menghasilkan data/informasi yang digunakan dalam mendukung proses penyusunan laporan.
  • Mengonsolidasikan fungsi-fungsi dalam aplikasi untuk mendukung penyediaan data/informasi yang lengkap, akurat, kini dan utuh.
  • Mengimplementasikan profil nasabah secara terpadu (single customer identification file).

Penyelenggaraan dan Pengadaan Aplikasi Inti Perbankan

BPR dapat menyelenggarakan teknologi informasi secara mandiri atau bekerjasama dengan penyedia jasa teknologi informasi (vendor).

Dalam hal aplikasi inti perbankan diperoleh dari vendor, maka vendor harus:

  1. berbadan hukum,
  2. memiliki sumber daya manusia yang kompeten di bidang teknologi informasi yang dibuktikan dengan sertifikat keahlian, surat keterangan pengalaman, dan/atau ijazah pendidikan sesuai dengan kebutuhan penyelenggaraan teknologi informasi,
  3. berkedudukan di wilayah Indonesia.

Selain berbadan hukum, juga penting untuk dicermati:

  • Apakah vendor memiliki jumlah SDM kompeten yang memadai untuk memberikan layanan kepada klien-kliennya?
  • Apakah vendor memahami proses bisnis dan peraturan perundang-undangan mengenai BPR/BPRS?
  • Apakah vendor berkomitmen untuk terus memberikan jasa layanannya di kemudian hari?
  • Sebagai pihak terafiliasi, apakah vendor berkomitmen untuk turut menjaga rahasia bank?

Wewenang dan Tanggung Jawab

Wewenang dan tanggung jawab Direksi terhadap penyelenggaraan teknologi informasi:

  1. menetapkan rencana pengembangan dan pengadaan Teknologi Informasi BPR atau BPRS;
  2. menetapkan kebijakan dan prosedur terkait penyelenggaraan Teknologi Informasi yang memadai dan mengomunikasikannya secara efektif, baik pada satuan kerja penyelenggara maupun pengguna Teknologi Informasi;
  3. memantau kecukupan kinerja penyelenggaraan Teknologi Informasi dan upaya peningkatannya; dan
  4. memastikan bahwa:
  • teknologi informasi yang digunakan mendukung perkembangan usaha, pencapaian tujuan bisnis dan kelangsungan pelayanan terhadap nasabah BPR atau BPRS;
  • terdapat kegiatan peningkatan kompetensi sumber daya manusia yang terkait dengan penyelenggaraan dan penggunaan Teknologi Informasi;
  • tersedianya sistem pengelolaan pengamanan informasi (information security management system) yang efektif dan dikomunikasikan kepada satuan kerja penyelenggara dan pengguna Teknologi Informasi; dan
  • kebijakan dan prosedur penyelenggaraan Teknologi Informasi diterapkan secara efektif.

Wewenang dan tanggung jawab Dewan Komisaris meliputi:

  1. mengarahkan dan memantau rencana pengembangan dan pengadaan Teknologi Informasi BPR atau BPRS yang bersifat mendasar; dan
  2. mengevaluasi pertanggungjawaban Direksi terkait penyelenggaraan Teknologi Informasi BPR atau BPRS.

Dalam rangka penyelenggaraan Teknologi Informasi secara efektif dan efisien, BPR dan BPRS wajib menunjuk satuan kerja atau pegawai yang bertanggung jawab atas penyelenggaraan Teknologi Informasi.

Wewenang dan tanggung jawab satuan kerja atau pegawai yang bertanggung jawab terhadap penyelenggaraan Teknologi Informasi paling sedikit:

  1. membantu Direksi dan Dewan Komisaris dalam penyelenggaraan Teknologi Informasi terkait dengan perencanaan, pelaksanaan dan pemantauan;
  2. mendukung pengembangan dan/atau pengadaan Teknologi Informasi;
  3. mendukung implementasi, operasional, dan pemeliharaan Teknologi Informasi; dan
  4. melakukan upaya penyelesaian permasalahan terkait operasional Teknologi Informasi, yang tidak dapat diselesaikan oleh satuan kerja pengguna Teknologi Informasi.

Kebijakan dan Prosedur

Kebijakan dan prosedur penyelenggaraan Teknologi Informasi paling sedikit meliputi:

  1. wewenang dan tanggung jawab Direksi, Dewan Komisaris, dan Satuan Kerja atau pegawai yang bertanggung jawab terhadap penyelenggaraan Teknologi Informasi;
  2. pengembangan dan pengadaan;
  3. operasional Teknologi Informasi;
  4. jaringan komunikasi;
  5. pengamanan informasi;
  6. Rencana Pemulihan Bencana;
  7. audit intern Teknologi Informasi; dan
  8. kerjasama dengan penyedia jasa Teknologi Informasi.

Penyelenggaraan Teknologi Informasi Bekerjasama dengan Penyedia Jasa 

Dalam hal penyelenggaraan teknologi informasi dilakukan dengan cara bekerjasama dengan Penyedia Jasa (vendor), maka vendor harus berbentuk badan hukum dan berkedudukan di Indonesia.

BPR/BPRS bertanggung jawab terhadap penyelenggaraan Teknologi Informasi dan diwajibkan:

  1. melakukan pengawasan terhadap penyelenggaraan Teknologi Informasi BPR atau BPRS yang diselenggarakan oleh pihak penyedia jasa Teknologi Informasi;
  2. memantau reputasi pihak penyedia jasa Teknologi Informasi dan kelangsungan penyediaan layanan kepada BPR atau BPRS;
  3. memilih pihak penyedia jasa Teknologi Informasi berdasarkan analisis manfaat dan biaya dengan melibatkan satuan kerja atau pegawai yang bertanggung jawab terhadap penyelenggaraan Teknologi Informasi;
  4. memberikan akses kepada Otoritas Jasa Keuangan terhadap Pangkalan Data secara tepat waktu baik untuk data terkini maupun untuk data yang telah lalu; dan
  5. memastikan penyedia jasa Teknologi Informasi:
  • memiliki tenaga ahli yang didukung dengan sertifikat keahlian sesuai dengan keperluan penyelenggaraan Teknologi Informasi;
  • menerapkan prinsip pengendalian Teknologi Informasi secara memadai yang dibuktikan dengan hasil audit yang dilakukan pihak independen;
  • menyediakan akses bagi auditor intern BPR dan BPRS, auditor ekstern yang ditunjuk oleh BPR dan BPRS, dan Otoritas Jasa Keuangan untuk memperoleh data dan informasi yang diperlukan secara tepat waktu setiap kali dibutuhkan;
  • menyatakan tidak berkeberatan dalam hal Otoritas Jasa Keuangan dan/atau pihak lain yang berwenang sesuai dengan ketentuan peraturan perundang-undangan melakukan pemeriksaan terhadap kegiatan penyediaan jasa yang diberikan;
  • sebagai pihak terafiliasi, menjaga keamanan seluruh informasi termasuk rahasia bank dan data pribadi nasabah;
  • melaporkan kepada BPR atau BPRS setiap kejadian kritis yang dapat mengakibatkan kerugian keuangan dan/atau mengganggu kelangsungan operasional BPR atau BPRS;
  • menyediakan Rencana Pemulihan Bencana yang teruji dan memadai;
  • bersedia untuk menyepakati kemungkinan penghentian perjanjian kerja sama sebelum berakhirnya jangka waktu perjanjian (early termination) dalam hal perjanjian kerja sama tersebut menyebabkan atau diindikasikan akan menyebabkan kesulitan pelaksanaan tugas pengawasan Otoritas Jasa Keuangan; dan
  • memenuhi tingkat layanan sesuai dengan perjanjian tingkat layanan (service level agreement) antara BPR atau BPRS dan pihak penyedia jasa Teknologi Informasi.

Pengamanan Informasi

BPR dan BPRS wajib menerapkan upaya pengamanan yang diperlukan untuk mencegah gangguan keamanan dalam penyelenggaraan Teknologi Informasi yang berpotensi merugikan BPR, BPRS dan/atau nasabahnya. Oleh karena itu, BPR dan BPRS wajib menjaga kerahasiaan (confidentiality), integritas (integrity), ketersediaan (availability), dan dapat ditelusurinya suatu informasi elektronik dan/atau dokumen elektronik yang terkait dengan nasabah dan seluruh aktivitas BPR atau BPRS sesuai dengan ketentuan peraturan perundang-undangan.

BPR dan BPRS wajib melakukan pengendalian otorisasi (authorization of control) dalam penyelenggaraan Teknologi Informasi, yaitu dengan cara menetapkan limit wewenang bagi setiap pengguna aplikasi sesuai dengan ketentuan yang berlaku.

Sebagai penyelenggara teknologi informasi, BPR harus dapat:

  1. menjamin perolehan, penggunaan, pemanfaatan, dan/atau pengungkapan data pribadi nasabah dilakukan berdasarkan persetujuan nasabah yang bersangkutan, kecuali ditentukan lain oleh ketentuan peraturan perundang-undangan; dan
  2. menjamin penggunaan atau pengungkapan data pribadi nasabah dilakukan berdasarkan persetujuan nasabah yang bersangkutan dan sesuai dengan tujuan yang disampaikan kepada nasabah pada saat perolehan data.

Audit Intern Teknologi Informasi

Untuk menilai kepatuhan terhadap ketentuan, BPR wajib melakukan audit penyelenggaraan teknologi informasi sedikitnya 1(satu) kali dalam setahun. Dalam rangka pelaksanaan fungsi audit intern, BPR dan BPRS wajib memastikan tersedianya jejak audit (audit trail) terhadap seluruh kegiatan penyelenggaraan Teknologi Informasi untuk keperluan pengawasan, penegakan hukum, penyelesaian sengketa, verifikasi, pengujian, dan pemeriksaan lainnya.

 

Advertisements

About zinsari

Zinsari adalah seorang professional trainer di bidang keuangan mikro. Ia menciptakan materi-materi pelatihan yang praktis dan bermanfaat bagi perkembangan keuangan mikro. Zinsari juga seorang master asesor dalam bidang asesmen kompetensi kerja serta sebagai lead asesor yang bertugas melakukan asesmen terhadap calon asesor.
This entry was posted in Audit Intern, bank perkreditan rakyat, bpr, manajemen risiko, Uncategorized. Bookmark the permalink.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s