PENERAPAN MANAJEMEN RISIKO DALAM

PENGGUNAAN TEKNOLOGI INFORMASI

OLEH BANK UMUM
POJK NOMOR 13/POJK.03/2020, 38/POJK.03/2016
DAN SEOJK NOMOR 21/SEOJK.03/2017

LATAR BELAKANG
Mendukung penggunaan Sistem Elektronik yang terintegrasi agar
bank dapat meningkatkan efektivitas dan efisiensi operasional serta
memberikan layanan perbankan yang lebih baik kepada nasabah

RUANG LINGKUP
MANAJEMEN RISIKO
Penerapan manajemen risiko paling sedikit mencakup:

Kecukupan proses
Pengawasan aktif Sistem Kecukupan kebijakan,
identifikasi, pengawasan,
Direksi & Dewan pengendalian standar & prosedur
pemantauan &
Komisaris intern atas penggunaan Teknologi
pengendalian risiko
penggunaan TI Informasi (TI)
penggunaan TI

SISTEM ELEKTRONIK
Persetujuan OJK dapat diberikan dengan
Bank wajib menempatkan Sistem syarat, Bank:
Elektronik pada Pusat Data & Pusat
Wajib memenuhi ketentuan Bank untuk
Pemulihan Bencana di wilayah
menyelenggarakan TI, didasari dengan
Indonesia
perjanjian tertulis, & melakukan proses
Sistem elektronik boleh seleksi dalam memilih pihak penyedia TI
ditempatkan di luar wilayah
Indonesia sepanjang memperoleh Menyampaikan hasil analisis country risk
persetujuan OJK Memastikan penyelenggaraan sistem
Merupakan sistem elektronik yang: elektronik di LN tidak mengurangi
efektivitas pengawasan OJK
Mendukung analisis terintegrasi
Memastikan informasi rahasia Bank hanya
Manajemen risiko secara
diungkapkan sepanjang memenuhi
terintegrasi
ketentuan
Penerapan anti pencucian uang Memastikan perjanjian tertulis memuat
& pendanaan terorisme klausula pilihan hukum
Pelayanan kepada nasabah
Menyampaikan surat pernyataan tidak
secara global
keberatan otoritas pengawas penyedia jasa
Manajemen komunikasi antara TI di luar wilayah Indonesia
kantor pusat-cabang atau
Memberikan surat pernyataan bahwa Bank
perusahaan anak-induk
menyampaikan secara berkala hasil
Manajemen intern Bank penilaian
Memastikan manfaat dari rencana
penempatan Sistem Elektronik di luar
wilayah Indonesia
Menyampaikan rencana Bank untuk
meningkatkan kemampuan SDM

LAYANAN PERBANKAN
ELEKTRONIK
Bank wajib membuat rencana Penyampaian permohonan
penerbitan produk layanan harus dilengkapi dengan hasil
perbankan elektronik dalam RBB pemeriksaan pihak independen

Bank wajib mengajukan permohonan persetujuan produk layanan perbankan

elektronik & memperoleh persetujuan OJK untuk menerbitkan produk layanan
perbankan elektronik transaksional
Pengajuan permohonan wajib dilengkapi dengan:

Bukti kesiapan Hasil analisa bisnis mengenai

Dokumen lain yang
menyelenggarakan layanan proyeksi produk baru 1 tahun
diperlukan
perbankan elektronik yang akan datang

SANKSI
Teguran Tertulis
Pembekuan kegiatan usaha tertentu

Penurunan TKS berupa penurunan Larangan menjadi pihak utama

peringkat faktor tata kelola dalam Lembaga Jasa Keuangan
penilaian TKS Bank
Denda sebesar Rp 1.000.000 per
Larangan penerbitan hari, dan paling banyak sebesar Rp
produk/pelaksanaan aktivitas baru 50.000.000
 SOSIALISASI
SURAT EDARAN OTORITAS JASA KEUANGAN
TENTANG
PENERAPAN MANAJEMEN RISIKO DALAM
PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM
(SEOJK MRTI)
2017

Departemen Penelitian dan Pengaturan Perbankan

Otoritas Jasa Keuangan
 Outline Presentasi

• L ATA R B E L A K A N G

• POJK MRTI & SEOJK MRTI

2
 LATAR BELAKANG

Telah terbit POJK No. 38 /POJK.03/2016

tentang Penerapan Manajemen Risiko
dalam Penggunaan TI oleh Bank Umum

Penyempurnaan “Surat Edaran Bank Indonesia No.

9/30/DPNP tahun 2007 tentang Penerapan
Manajemen Risiko dalam Penggunaan TI oleh
Bank Umum (SEBI MRTI)”

SEOJK MRTI
3
POJK MRTI
RUANG LINGKUP MANAJEMEN RISIKO TI

Bank wajib menerapkan manajemen risiko secara efektif dalam

penggunaan TI.

Penerapan manajemen risiko paling sedikit mencakup:

• pengawasan aktif Direksi dan Dewan Komisaris;

• kecukupan kebijakan, standar, dan prosedur penggunaan TI;
• kecukupan proses identifikasi, pengukuran, pemantauan dan
pengendalian risiko penggunaan TI; dan
• sistem pengendalian intern atas penggunaan TI.

Penerapan manajemen risiko harus dilakukan secara terintegrasi dalam

setiap tahapan penggunaan TI sejak proses perencanaan, pengadaan,
pengembangan, operasional, pemeliharaan hingga penghentian dan
penghapusan sumber daya TI.

4
 POJK MRTI
Kecukupan Kebijakan, Standar, dan Prosedur Penggunaan TI di Bank

Kebijakan, standar, dan prosedur penggunaan TI paling sedikit

meliputi aspek:
 Bank wajib
manajemen; melakukan kaji ulang
dan pengkinian
pengembangan dan pengadaan; kebijakan, standar
dan prosedur secara
operasional TI; berkala.

jaringan komunikasi;

pengamanan informasi;  Bank wajib

menetapkan jangka
Rencana Pemulihan Bencana; waktu kaji ulang dan
pengkinian kebijakan,
Layanan Perbankan Elektronik; standar, dan
prosedur dalam
penggunaan pihak penyedia jasa TI kebijakan secara
tertulis.
penyediaan jasa TI oleh Bank.

5
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB I. MANAJEMEN
1.1. Pendahuluan
1.2. Peran dan Tanggung Jawab Manajemen
1.2.1. Direksi
1.2.2. Dewan Komisaris
1.2.3. Komite Pengarah TI
1.2.4. Pejabat Tertinggi yang Memimpin Satuan Kerja TI
1.3. Struktur Organisasi Satuan Kerja TI
1.4. Sistem Informasi Manajemen
1.5. Manajemen Proyek
1.6. Rencana Strategis TI
1.7. Kebijakan, Standar, dan Prosedur Manajemen TI
1.8. Proses Manajemen Risiko TI
1.8.1. Identifikasi Jenis Risiko Terkait Manajemen TI
1.8.2. Risiko Terkait TI
1.8.3. Penilaian Risiko TI
1.8.4. Pengukuran Risiko Terkait TI
1.8.5. Pemantauan Risiko Terkait TI
1.8.6. Pengendalian Risiko terkait TI

6
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB I. MANAJEMEN

Direksi
Selain wewenang dan tanggung jawab bagi Direksi sebagaimana diatur
dalam Pasal 5 POJK MRTI, wewenang dan tanggung jawab bagi Direksi juga
dapat mencakup:
a. memastikan tersedianya sumber daya manusia (SDM) yang cukup dan
kompeten sesuai dengan kebutuhan;
b. memastikan terdapat upaya peningkatan kompetensi SDM terkait
penyelenggaraan TI diantaranya melalui pendidikan atau pelatihan yang
memadai dan program edukasi untuk meningkatkan kesadaran atas
pengamanan informasi;
c. memastikan struktur organisasi manajemen proyek dari seluruh proyek
terkait TI digunakan dengan maksimal; dan
d. memastikan bahwa Bank memiliki kontrak tertulis yang mengatur peran,
hubungan, kewajiban, tanggung jawab dari semua pihak yang terikat
kontrak tersebut, serta memiliki keyakinan bahwa kontrak tersebut
merupakan perjanjian yang berkekuatan hukum dan melindungi
kepentingan Bank, dalam hal Bank menggunakan jasa pihak lain.

7
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB I. MANAJEMEN
Dewan Komisaris
Selain wewenang dan tanggung jawab bagi Dewan Komisaris sebagaimana
diatur dalam Pasal 6 POJK MRTI, wewenang dan tanggung jawab bagi
Dewan Komisaris juga dapat mencakup:
a. mengevaluasi, mengarahkan, dan memantau, kebijakan manajemen
risiko di bidang TI dan kesesuaian dengan penerapannya dengan
karakteristik, kompleksitas, dan profil risiko Bank;
b. memberikan arahan perbaikan atas pelaksanaan kebijakan manajemen
risiko di bidang TI;
c. melakukan evaluasi terhadap perencanaan dan pelaksanaan audit,
memastikan audit dilaksanakan dengan frekuensi dan lingkup yang
memadai, serta melakukan pemantauan atas tindak lanjut hasil audit
yang terkait dengan sistem informasi; dan
d. melakukan evaluasi terhadap pengelolaan pengamanan yang andal dan
efektif atas TI guna menjamin ketersediaan, kerahasiaan, dan
keakuratan informasi.

8
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI - BAB I. MANAJEMEN

Kebijakan Standar Prosedur

Kebijakan adalah ketentuan Standar adalah seperangkat Prosedur adalah urutan

atau prinsip yang aturan teknis yang harus kegiatan dari suatu proses
menggambarkan tekad, dipatuhi organisasi dalam penyelenggaraan TI yang
komitmen, atau rencana rangka menerapkan suatu melibatkan satu atau beberapa
manajemen terhadap suatu kerangka kerja dan tata kelola unit kerja TI dalam Bank.
masalah tertentu yang TI (dapat berasal dari internal
dinyatakan secara formal oleh atau eksternal). Standar Contoh: prosedur
manajemen, dan menjadi menetapkan persyaratan atau pengendalian dokumen,
landasan kerja organisasi. ukuran tertentu yang dapat pengendalian rekaman, dan
digunakan sebagai patokan audit internal.
Contoh : kebijakan manajemen
bagi Bank dalam
risiko TI, kebijakan keamanan
menyelenggarakan TI.
informasi, dan kebijakan
penggunaan SDM TI. Contoh: standar intern berupa
standar aplikasi desktop,
standar konfigurasi komputer,
dan standar penomoran
dokumen.
Berdasarkan Pasal 8 ayat (1) dan ayat (4) POJK MRTI, Bank wajib memiliki dan menerapkan
kebijakan, standar, dan prosedur penggunaan TI, serta wajib melakukan kaji ulang dan pengkinian
kebijakan, standar dan prosedur dimaksud secara berkala.

Contoh: Bank “X” menetapkan jangka waktu kaji ulang dan

pengkinian untuk kebijakan setiap 5 (lima) tahun sekali, standar
setiap 2 (dua) tahun sekali, dan prosedur setiap tahun.
9
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI

BAB II. PENGEMBANGAN DAN PENGADAAN

2.1. Pendahuluan
2.2. Langkah Pengendalian dalam Pengembangan dan Pengadaan
2.3. Kebijakan, Standar, dan Prosedur Pengembangan dan Pengadaan
2.3.1. Kebijakan, Standar, dan Prosedur Pengembangan
2.3.1.1. Tahap Inisiasi dan Perencanaan
2.3.1.2. Tahap Pendefinisian Kebutuhan Pengguna
2.3.1.3. Tahap Perancangan Sistem
2.3.1.4. Tahap Pemrograman
2.3.1.5. Tahap Uji Coba
2.3.1.6. Tahap Implementasi
2.3.1.7. Tahap Kaji Ulang Pascaimplementasi
2.3.1.8. Tahap Pemeliharaan
2.3.1.9. Tahap Pemusnahan (Disposal)
2.3.2. Kebijakan, Standar, dan Prosedur Pengadaan
2.3.3. Kebijakan, Standar, serta Prosedur Manajemen Proyek dan Manajemen
Perubahan
2.4. Proses Manajemen Risiko Pengembangan dan Pengadaan

10
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB III. AKTIVITAS OPERASIONAL TI
3.1. Pendahuluan
3.2. Kebijakan, Standar, dan Prosedur terkait Aktivitas Operasional TI
3.2.1. Kebijakan terkait Pusat Data
3.2.2. Kebijakan Perencanaan dan Pemantauan Kapasitas TI
3.2.3. Kebijakan Pengelolaan Konfigurasi Perangkat Keras dan
Perangkat Lunak
3.2.4. Kebijakan Pemeliharaan Perangkat Keras dan Perangkat Lunak
3.2.5. Kebijakan Manajemen Perubahan (Change Management)
3.2.6. Kebijakan Penanganan Kejadian atau Permasalahan
3.2.7. Kebijakan Pengelolaan Pangkalan Data (Database)
3.2.8. Kebijakan Pengendalian Pertukaran Informasi (Exchange of
Information)
3.2.9. Kebijakan Pengelolaan Library
3.2.10. Kebijakan Pemusnahan (Disposal) Perangkat Keras dan
Perangkat Lunak
3.3. Proses Manajemen Risiko Aktivitas Operasional TI

11
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB IV. JARINGAN KOMUNIKASI
4.1. Pendahuluan
4.2. Kebijakan, Standar, dan Prosedur terkait Jaringan Komunikasi
4.3. Proses Manajemen Risiko Jaringan Komunikasi
4.3.1. Pengendalian Risiko
4.3.2. Pemantauan Risiko
BAB V. PENGAMANAN INFORMASI
5.1. Pendahuluan
5.2. Kebijakan, Standar, dan Prosedur terkait Pengamanan Informasi
5.2.1. Kebijakan Pengamanan Informasi
5.2.2. Standar Pengamanan Informasi
5.2.3. Prosedur Pengamanan Informasi
5.2.3.1. Prosedur Pengelolaan Aset
5.2.3.2. Prosedur Pengelolaan Sumber Daya Manusi
5.2.3.3. Prosedur Pengamanan Fisik dan Lingkungan
5.2.3.4. Prosedur Pengendalian Akses
5.2.3.5. Prosedur Pengamanan Operasional TI
5.2.3.6. Prosedur Pemantauan Pengamanan Informasi
5.2.3.7. Prosedur Penanganan Insiden dalam Pengamanan Informasi
5.3. Proses Manajemen Risiko terkait Pengamanan Informasi
5.3.1. Pengukuran Risiko Pengamanan Informasi
5.3.2. Pengendalian dan Mitigasi Risiko
12
 SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI

Prosedur Penanganan Insiden dalam Pengamanan Informasi

Hal-hal yang harus diperhatikan Bank dalam melakukan penanganan insiden
dalam pengamanan informasi antara lain:
Bank harus menetapkan hal-hal terkait penanganan
insiden dalam pengamanan informasi antara lain
sebagai berikut:
Bank perlu Bank harus menetapkan
mempertimbangkan hal-hal terkait pelaporan 1. personel yang menjadi anggota TRIPI termasuk tugas
dan tanggung jawabnya;
pembentukan tim insiden dalam pengamanan
khusus yang informasi antara lain 2. panduan untuk melakukan assessment terhadap
memiliki unit kerja atau kebenaran laporan insiden termasuk klasifikasi
menangani insiden insiden dalam pengamanan informasi yang
personel yang harus
pengamanan misalnya disampaikan PoC;
dihubungi apabila pegawai
Tim Respon Insiden Bank, pegawai honorer, 3. panduan penanganan insiden dalam pengamanan
dalam Pengamanan maupun pihak penyedia informasi yang akan dilakukan oleh TRIPI. Adapun
Informasi (TRIPI) sesuai jasa TI mengetahui adanya contoh klasifikasi insiden antara lain sebagai berikut:
dengan ukuran dan insiden dalam pengamanan a. Denial of Service (DoS);
kompleksitas usaha keamanan informasi (Point b. akses fisik dan logic yang dilakukan oleh pihak yang
Bank; of Contact/PoC); tidak berwenang terhadap Sistem Elektronik; dan
c. penyebaran malicious code (misalnya virus, worms,
dan trojan horse).

13
POJK MRTI
RENCANA PEMULIHAN BENCANA

Bank wajib memiliki Rencana Pemulihan Bencana.

Bank wajib melakukan uji coba atas Rencana Pemulihan Bencana

terhadap seluruh aplikasi dan infrastruktur yang kritikal sesuai
hasil analisis dampak bisnis (business impact analysis), paling
sedikit 1 (satu) kali dalam 1 (satu) tahun dengan melibatkan
pengguna TI.

Bank wajib melakukan kaji ulang Rencana Pemulihan Bencana paling

sedikit 1 (satu) kali dalam 1 (satu) tahun.

14
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI

BAB VI. RENCANA PEMULIHAN BENCANA

6.1. Pendahuluan
6.2. Kebijakan, Standar, dan Prosedur terkait Rencana Pemulihan Bencana
6.2.1. Kebijakan terkait Rencana Pemulihan Bencana
6.2.2. Prosedur terkait Rencana Pemulihan Bencana
6.3. Pengujian Rencana Pemulihan Bencana
6.3.1. Ruang Lingkup Pengujian Rencana Pemulihan Bencana
6.3.2. Skenario Pengujian (Test Plan) Rencana Pemulihan Bencana
6.3.3. Analisis dan Laporan Hasil Pengujian Rencana Pemulihan
Bencana
6.4. Pemeliharaan Rencana Pemulihan Bencana dan Audit Intern
6.4.1. Pemeliharaan Rencana Pemulihan Bencana
6.4.2. Audit Intern

15
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI

BAB VII. LAYANAN PERBANKAN ELEKTRONIK

7.1. Pendahuluan
7.2. Kebijakan, Standar, dan Prosedur terkait Layanan Perbankan Elektronik
7.3. Manajemen Risiko Layanan Perbankan Elektronik
7.3.1. Pengukuran Risiko Terkait Layanan Perbankan Elektronik
7.3.2. Pengendalian Risiko terkait Layanan Perbankan Elektronik
7.3.2.1. Pengendalian Risiko untuk Layanan Perbankan Elektronik
Tertentu
7.3.2.2. Pengendalian Risiko terkait Layanan Perbankan Elektronik Lintas
Negara
7.3.2.3. Pengendalian Risiko terkait Layanan Perbankan Elektronik yang
Diselenggarakan oleh Pihak Penyedia Jasa TI
7.4. Rencana Penerbitan Layanan Perbankan Elektronik Baru
7.5. Permohonan Persetujuan terkait Layanan Perbankan Elektronik
7.6. Realisasi Layanan Perbankan Elektronik
7.6.1. Pemeriksaan oleh Pihak Independen
7.6.2. Ruang Lingkup Pemeriksaan Pihak Independen

16
 SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB VIII. AUDIT INTERN TI
8.1. Pendahuluan
8.2. Kebijakan, Standar, dan Prosedur terkait Audit TI
8.3. Proses Audit TI
8.4. Pemenuhan Fungsi Audit Intern TI

BAB IX. PENGGUNAAN PIHAK PENYEDIA JASA TI

9.1. Pendahuluan
9.2. Kebijakan, Standar, dan Prosedur Penggunaan Penyedia Jasa TI
9.2.1. Kebijakan Penggunaan Penyedia Jasa TI
9.2.2. Standar Penggunaan Penyedia Jasa TI
9.2.3. Prosedur Penggunaan Penyedia Jasa TI
9.3. Proses Manajemen Risiko
9.3.1. Identifikasi Risiko
9.3.2. Pengukuran Risiko
9.3.3. Mitigasi Risiko
9.3.4. Pengendalian Risiko Lainnya
9.4. Pengendalian Intern dan Audit Intern
9.4.1. Pemantauan dan Pengawasan Penyedia Jasa TI
9.4.2. Audit Intern
17
POJK MRTI
PENYELENGGARAAN TI OLEH PIHAK PENYEDIA JASA TI DAN/ATAU BANK

• Jasa TI yang dapat diberikan bank hanya terbatas pada penyediaan

Pusat Data dan/atau Pusat Pemulihan Bencana .

• Penyediaan jasa TI berupa aplikasi diperbolehkan sepanjang

pengguna jasa TI berupa bank.

Jasa TI Bank LJK Non Bank Non LJK LJK di luar wilayah
Indonesia

DC/DRC atau Jaringan Boleh Boleh Dilarang Boleh

Aplikasi (Sistem
Boleh *) Dilarang Dilarang Dilarang
Elektronik)

*) dalam rangka mendukung inklusi keuangan; dan/atau pengguna jasa TI berada dalam
konglomerasi yang sama.

18
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI

BAB X. PENYEDIAAN JASA TEKNOLOGI INFORMASI OLEH BANK

10.1. Pendahuluan
10.2. Kebijakan, Standar, dan Prosedur Penyediaan Jasa TI
10.2.1. Kebijakan Penyediaan Jasa TI oleh Bank
10.2.2. Standar Penyediaan Jasa TI oleh Bank
10.2.3. Prosedur Penyediaan Jasa TI oleh Bank
10.2.4. Pembuatan Perjanjian Penyediaan Jasa TI oleh Bank
10.3. Proses Manajemen Risiko
10.3.1. Identifikasi Risiko
10.3.2. Pengukuran dan Mitigasi Risiko

19
SEOJK MRTI
KEBIJAKAN PENYEDIAAN JASA TI OLEH BANK
a. Prinsip-prinsip 1) memenuhi persyaratan penyediaan jasa Teknologi Informasi tidak menjadi salah satu
kegiatan pokok Bank;
penyediaan jasa TI
2) memenuhi prinsip kehati-hatian;

3) memperhatikan analisa biaya dan manfaat (cost and benefit analysis);

4) memenuhi ketentuan peraturan perundang-undangan; dan

5) memenuhi prinsip hubungan kerja sama secara wajar (arm’s length principle).

b. Pernyataan kebijakan dari manajemen

Keputusan 1) mendapatkan persetujuan manajemen;
penyediaan jasa TI
pada dasarnya harus
mempertimbangkan
faktor efisiensi dan 2) memiliki perjanjian penyediaan jasa TI yang memungkinkan adanya klausula kondisi
pemutusan perjanjian sesuai dengan jangka waktu perjanjian maupun sebelum
risiko. Oleh karena
perjanjian berakhir;
itu, penyediaan jasa
TI harus memenuhi 3) menetapkan peran dan tanggung jawab pihak-pihak yang terkait dengan penyediaan
prinsip-prinsip jasa TI; dan
penyediaan jasa TI
sebagaimana tertulis
pada huruf a dan 4) mengevaluasi calon penerima jasa TI antara lain berdasarkan kondisi keuangan dan
harus: reputasi.
20
POJK MRTI
PELAPORAN

Bank wajib Laporan kondisi terkini penggunaan Teknologi Informasi disampaikan

menyampai- paling lambat 1 (satu) bulan sejak akhir tahun pelaporan.
kan laporan-
laporan Laporan rencana 1) Laporan disampaikan paling lambat
sebagai pengembangan Teknologi pada tanggal 31 Oktober tahun
berikut: Informasi yang akan sebelumnya.
diimplementasikan 1 (satu)
tahun ke depan dengan 2) Laporan dapat diubah 1 (satu) kali
ketentuan sebagai berikut: dan disampaikan paling lambat
pada tanggal 30 Juni tahun
berjalan.
3) Pengajuan perubahan laporan
rencana pengembangan Teknologi
Informasi dapat dilakukan selain
dalam jangka waktu sebagaimana
dimaksud pada angka 2) di atas
sepanjang memenuhi
pertimbangan tertentu dan
mendapatkan persetujuan dari
Otoritas Jasa Keuangan.

21
SEOJK MRTI
PELAPORAN
DAFTAR LAPORAN KONDISI TERKINI PENGGUNAAN TEKNOLOGI INFORMASI
2.1.1 Visi dan Misi Bank
2.1.2 Organisasi dan Manajemen
2.1.2.1 Struktur Organisasi Bank dan Jumlah Sumber Daya Manusia Bank
2.1.2.2 Struktur Organisasi Teknologi Informasi dan Jumlah Sumber Daya Manusia Teknologi
Informasi (TI)
2.1.2.3 Surat Keputusan Komite Pengarah Teknologi Informasi (Information Technology Steering
Committee/ITSC) Terkini
2.1.2.4 Risalah Rapat ITSC 1 (satu) Tahun Terakhir
2.1.2.5 Dokumen Rencana Strategis Teknologi Informasi (Information Technology Strategic
Plan/ITSP)
2.1.3 Manajemen Risiko*)
2.1.3.1 Penerapan Manajemen Risiko
2.1.3.2 Struktur Organisasi Audit Intern Teknologi Informasi (TI)
2.1.3.3 Audit Teknologi Informasi 1 (satu) Tahun Terakhir
2.1.4 Kebijakan, Standar, dan Prosedur Teknologi Informasi (TI)
2.1.5 Arsitektur Aplikasi
2.1.6 Daftar Aplikasi
2.1.7 Alur Proses Pelaporan
2.1.8 Delivery Channel
2.1.9 Jaringan Komunikasi
2.1.10 Pusat Data (Data Center) dan Pusat Pemulihan Bencana (Disaster Recovery Center)
2.1.11 Pengamanan Teknologi Informasi (TI)
2.1.12 Rencana Pemulihan Bencana (Disaster Recovery Plan)
2.1.13 Penyedia Jasa Teknologi Informasi (TI)
2.1.14 Biaya Teknologi Informasi (TI)
22
 SEOJK MRTI
FORMAT LAPORAN MRTI

Laporan Rencana Pengembangan Teknologi Informasi

(1) Diisi dengan nomor urut.

(2) Diisi dengan nama aplikasi/ infrastruktur yang akan dikembangkan.
(3) Penjelasan detil aplikasi/infrastruktur yang akan dikembangkan.
(4) Kategori pengembangan.
(5) Diisi "baru" jika aplikasi/infrastruktur baru atau mengganti aplikasi/infrastruktur lama, diisi
"upgrade" untuk penambahan/pengembangan terhadap aplikasi/infrastruktur yang ada.
(6) Diisi "inhouse" jika dikembangkan sendiri atau diisi “PPJ TI” jika dikembangkan oleh ekstern.
(7) Diisi "ya" jika PPJ TI merupakan pihak terkait Bank, "tidak" jika PPJ TI bukan merupakan pihak
terkait, "-" jika pengembangan dilakukan secara inhouse atau PPJ TI belum ditetapkan .
(8) Diisi informasi nama kota dan negara lokasi DC dan DRC .
(9) Diisi menggunakan periode triwulan yaitu Q1/Q2/Q3/Q4.
(10)Diisi estimasi biaya yang dikapitalisasi (Capex) dan/atau biaya operasional (Opex) selama 1
(satu) tahun sejak implementasi (tidak termasuk biaya penyusutan Capex).
(11)Diisi:
a. dampak-dampak pengembangan TI, misalnya butuh penambahan SDM
b. penjelasan keterkaitan pengembangan TI dengan rencana TI dalam Rencana Bisnis Bank

Catatan : Laporan Rencana Pengembangan TI ini tidak menghilangkan kewajiban Bank untuk menyampaikan laporan dan
permohonan persetujuan sebagaimana diatur dalam Pasal 24 dan Pasal 32 POJK MRTI 23
POJK MRTI
PELAPORAN

Bank wajib Laporan hasil audit Teknologi Informasi paling lambat 2

menyampai- (dua) bulan setelah audit selesai dilakukan.
kan laporan-
Laporan 1) kegiatan sebagai penyedia jasa Teknologi Informasi;
laporan realisasi:
sebagai 2) penerbitan produk Layanan Perbankan Elektronik;
berikut: 3) penyelenggaraan Sistem Elektronik yang
ditempatkan pada Pusat Data dan/atau Pusat
Pemulihan Bencana di luar wilayah Indonesia; dan
4) penyelenggaraan Pemrosesan Transaksi Berbasis
Teknologi Informasi kepada pihak penyedia jasa di
luar wilayah Indonesia;
disampaikan paling lambat 3 (tiga) bulan setelah
implementasi.

24
POJK MRTI
PELAPORAN

Bank wajib Laporan

1) Apabila terdapat kejadian kritis penyalahgunaan,
menyampai- Insidentil: dan/atau kejahatan dalam penyelenggaraaan
kan laporan- Teknologi Informasi yang dapat dan/atau telah
mengakibatkan kerugian keuangan yang signifikan
laporan dan/atau mengganggu kelancaran operasional Bank.
sebagai
berikut:

2) Dilaporkan melalui surat elektronik (email) atau

telepon yang diikuti dengan laporan tertulis paling
lama 7 (tujuh) hari kerja setelah kejadian kritis
dan/atau penyalahgunaan atau kejahatan diketahui.

25
POJK MRTI
PELAPORAN

Permohonan Persetujuan Baru

Bank yang:
• memiliki rencana kegiatan sebagai penyedia jasa Teknologi
Informasi; dan/atau
• menerbitkan produk Layanan Perbankan Elektronik,
• harus mengajukan permohonan persetujuan kepada Otoritas
Jasa Keuangan paling lambat 2 (dua) bulan sebelum
implementasi.

Bank yang:
• menyelenggarakan Sistem Elektronik yang ditempatkan pada
Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah
Indonesia; dan/atau
• menyerahkan penyelenggaraan Pemrosesan Transaksi
Berbasis Teknologi Informasi kepada pihak penyedia jasa di
luar wilayah Indonesia,
• harus mengajukan permohonan persetujuan kepada Otoritas
Jasa Keuangan paling lambat 3 (tiga) bulan sebelum rencana
implementasi.

26
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

28
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.1 Visi dan Misi Bank

29
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.2 Organisasi dan Manajemen

30
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
Lampiran 2.1.3 Manajemen Risiko

Lampiran 2.1.3.1 Penerapan Manajemen Risiko Lampiran 2.1.3.2 Struktur Organisasi Audit Intern TI

Lampiran 2.1.3.3 Audit TI 1 (satu) Tahun Terakhir

31
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.4 Kebijakan, Standar, dan Prosedur Teknologi Informasi

32
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.5 Arsitektur Aplikasi

33
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.6 Daftar Aplikasi (1)

34
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
Lampiran 2.1.6 Daftar Aplikasi (2)

35
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.7 Alur Proses Pelaporan

36
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
Lampiran 2.1.8 Delivery Channel

37
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.9 Jaringan Komunikasi

38
 SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.10 Pusat Data (DC) dan Pusat Pemulihan Bencana (DRC)

Ket: Form diatas dapat diperbanyak sesuai dengan jumlah DC/DRC yang dimiliki Bank

39
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.11 Pengamanan Teknologi Informasi

40
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.12 Rencana Pemulihan Bencana (Disaster Recovery Plan/DRP) (1)

41
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.12 Rencana Pemulihan Bencana (Disaster Recovery Plan/DRP) (2)

42
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.12 Rencana Pemulihan Bencana (Disaster Recovery Plan/DRP) (3)

43
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.12 Rencana Pemulihan Bencana (Disaster Recovery Plan/DRP) (4)

44
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.13 Penyedia Jasa Teknologi Informasi (1)

45
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.13 Penyedia Jasa Teknologi Informasi (2)

46
SEOJK MRTI
FORMAT LAPORAN MRTI

Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi

Lampiran 2.1.14 Biaya Teknologi Informasi

47