LATAR BELAKANG
Mendukung penggunaan Sistem Elektronik yang terintegrasi agar
bank dapat meningkatkan efektivitas dan efisiensi operasional serta
memberikan layanan perbankan yang lebih baik kepada nasabah
RUANG LINGKUP
MANAJEMEN RISIKO
Penerapan manajemen risiko paling sedikit mencakup:
Kecukupan proses
Pengawasan aktif Sistem Kecukupan kebijakan,
identifikasi, pengawasan,
Direksi & Dewan pengendalian standar & prosedur
pemantauan &
Komisaris intern atas penggunaan Teknologi
pengendalian risiko
penggunaan TI Informasi (TI)
penggunaan TI
SISTEM ELEKTRONIK
Persetujuan OJK dapat diberikan dengan
Bank wajib menempatkan Sistem syarat, Bank:
Elektronik pada Pusat Data & Pusat
Wajib memenuhi ketentuan Bank untuk
Pemulihan Bencana di wilayah
menyelenggarakan TI, didasari dengan
Indonesia
perjanjian tertulis, & melakukan proses
Sistem elektronik boleh seleksi dalam memilih pihak penyedia TI
ditempatkan di luar wilayah
Indonesia sepanjang memperoleh Menyampaikan hasil analisis country risk
persetujuan OJK Memastikan penyelenggaraan sistem
Merupakan sistem elektronik yang: elektronik di LN tidak mengurangi
efektivitas pengawasan OJK
Mendukung analisis terintegrasi
Memastikan informasi rahasia Bank hanya
Manajemen risiko secara
diungkapkan sepanjang memenuhi
terintegrasi
ketentuan
Penerapan anti pencucian uang Memastikan perjanjian tertulis memuat
& pendanaan terorisme klausula pilihan hukum
Pelayanan kepada nasabah
Menyampaikan surat pernyataan tidak
secara global
keberatan otoritas pengawas penyedia jasa
Manajemen komunikasi antara TI di luar wilayah Indonesia
kantor pusat-cabang atau
Memberikan surat pernyataan bahwa Bank
perusahaan anak-induk
menyampaikan secara berkala hasil
Manajemen intern Bank penilaian
Memastikan manfaat dari rencana
penempatan Sistem Elektronik di luar
wilayah Indonesia
Menyampaikan rencana Bank untuk
meningkatkan kemampuan SDM
LAYANAN PERBANKAN
ELEKTRONIK
Bank wajib membuat rencana Penyampaian permohonan
penerbitan produk layanan harus dilengkapi dengan hasil
perbankan elektronik dalam RBB pemeriksaan pihak independen
SANKSI
Teguran Tertulis
Pembekuan kegiatan usaha tertentu
• L ATA R B E L A K A N G
2
LATAR BELAKANG
SEOJK MRTI
3
POJK MRTI
RUANG LINGKUP MANAJEMEN RISIKO TI
4
POJK MRTI
Kecukupan Kebijakan, Standar, dan Prosedur Penggunaan TI di Bank
jaringan komunikasi;
5
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB I. MANAJEMEN
1.1. Pendahuluan
1.2. Peran dan Tanggung Jawab Manajemen
1.2.1. Direksi
1.2.2. Dewan Komisaris
1.2.3. Komite Pengarah TI
1.2.4. Pejabat Tertinggi yang Memimpin Satuan Kerja TI
1.3. Struktur Organisasi Satuan Kerja TI
1.4. Sistem Informasi Manajemen
1.5. Manajemen Proyek
1.6. Rencana Strategis TI
1.7. Kebijakan, Standar, dan Prosedur Manajemen TI
1.8. Proses Manajemen Risiko TI
1.8.1. Identifikasi Jenis Risiko Terkait Manajemen TI
1.8.2. Risiko Terkait TI
1.8.3. Penilaian Risiko TI
1.8.4. Pengukuran Risiko Terkait TI
1.8.5. Pemantauan Risiko Terkait TI
1.8.6. Pengendalian Risiko terkait TI
6
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB I. MANAJEMEN
Direksi
Selain wewenang dan tanggung jawab bagi Direksi sebagaimana diatur
dalam Pasal 5 POJK MRTI, wewenang dan tanggung jawab bagi Direksi juga
dapat mencakup:
a. memastikan tersedianya sumber daya manusia (SDM) yang cukup dan
kompeten sesuai dengan kebutuhan;
b. memastikan terdapat upaya peningkatan kompetensi SDM terkait
penyelenggaraan TI diantaranya melalui pendidikan atau pelatihan yang
memadai dan program edukasi untuk meningkatkan kesadaran atas
pengamanan informasi;
c. memastikan struktur organisasi manajemen proyek dari seluruh proyek
terkait TI digunakan dengan maksimal; dan
d. memastikan bahwa Bank memiliki kontrak tertulis yang mengatur peran,
hubungan, kewajiban, tanggung jawab dari semua pihak yang terikat
kontrak tersebut, serta memiliki keyakinan bahwa kontrak tersebut
merupakan perjanjian yang berkekuatan hukum dan melindungi
kepentingan Bank, dalam hal Bank menggunakan jasa pihak lain.
7
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB I. MANAJEMEN
Dewan Komisaris
Selain wewenang dan tanggung jawab bagi Dewan Komisaris sebagaimana
diatur dalam Pasal 6 POJK MRTI, wewenang dan tanggung jawab bagi
Dewan Komisaris juga dapat mencakup:
a. mengevaluasi, mengarahkan, dan memantau, kebijakan manajemen
risiko di bidang TI dan kesesuaian dengan penerapannya dengan
karakteristik, kompleksitas, dan profil risiko Bank;
b. memberikan arahan perbaikan atas pelaksanaan kebijakan manajemen
risiko di bidang TI;
c. melakukan evaluasi terhadap perencanaan dan pelaksanaan audit,
memastikan audit dilaksanakan dengan frekuensi dan lingkup yang
memadai, serta melakukan pemantauan atas tindak lanjut hasil audit
yang terkait dengan sistem informasi; dan
d. melakukan evaluasi terhadap pengelolaan pengamanan yang andal dan
efektif atas TI guna menjamin ketersediaan, kerahasiaan, dan
keakuratan informasi.
8
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI - BAB I. MANAJEMEN
10
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB III. AKTIVITAS OPERASIONAL TI
3.1. Pendahuluan
3.2. Kebijakan, Standar, dan Prosedur terkait Aktivitas Operasional TI
3.2.1. Kebijakan terkait Pusat Data
3.2.2. Kebijakan Perencanaan dan Pemantauan Kapasitas TI
3.2.3. Kebijakan Pengelolaan Konfigurasi Perangkat Keras dan
Perangkat Lunak
3.2.4. Kebijakan Pemeliharaan Perangkat Keras dan Perangkat Lunak
3.2.5. Kebijakan Manajemen Perubahan (Change Management)
3.2.6. Kebijakan Penanganan Kejadian atau Permasalahan
3.2.7. Kebijakan Pengelolaan Pangkalan Data (Database)
3.2.8. Kebijakan Pengendalian Pertukaran Informasi (Exchange of
Information)
3.2.9. Kebijakan Pengelolaan Library
3.2.10. Kebijakan Pemusnahan (Disposal) Perangkat Keras dan
Perangkat Lunak
3.3. Proses Manajemen Risiko Aktivitas Operasional TI
11
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB IV. JARINGAN KOMUNIKASI
4.1. Pendahuluan
4.2. Kebijakan, Standar, dan Prosedur terkait Jaringan Komunikasi
4.3. Proses Manajemen Risiko Jaringan Komunikasi
4.3.1. Pengendalian Risiko
4.3.2. Pemantauan Risiko
BAB V. PENGAMANAN INFORMASI
5.1. Pendahuluan
5.2. Kebijakan, Standar, dan Prosedur terkait Pengamanan Informasi
5.2.1. Kebijakan Pengamanan Informasi
5.2.2. Standar Pengamanan Informasi
5.2.3. Prosedur Pengamanan Informasi
5.2.3.1. Prosedur Pengelolaan Aset
5.2.3.2. Prosedur Pengelolaan Sumber Daya Manusi
5.2.3.3. Prosedur Pengamanan Fisik dan Lingkungan
5.2.3.4. Prosedur Pengendalian Akses
5.2.3.5. Prosedur Pengamanan Operasional TI
5.2.3.6. Prosedur Pemantauan Pengamanan Informasi
5.2.3.7. Prosedur Penanganan Insiden dalam Pengamanan Informasi
5.3. Proses Manajemen Risiko terkait Pengamanan Informasi
5.3.1. Pengukuran Risiko Pengamanan Informasi
5.3.2. Pengendalian dan Mitigasi Risiko
12
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
13
POJK MRTI
RENCANA PEMULIHAN BENCANA
14
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
15
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
16
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
BAB VIII. AUDIT INTERN TI
8.1. Pendahuluan
8.2. Kebijakan, Standar, dan Prosedur terkait Audit TI
8.3. Proses Audit TI
8.4. Pemenuhan Fungsi Audit Intern TI
Jasa TI Bank LJK Non Bank Non LJK LJK di luar wilayah
Indonesia
Aplikasi (Sistem
Boleh *) Dilarang Dilarang Dilarang
Elektronik)
*) dalam rangka mendukung inklusi keuangan; dan/atau pengguna jasa TI berada dalam
konglomerasi yang sama.
18
SEOJK MRTI
PEDOMAN MANAJEMEN RISIKO TI
19
SEOJK MRTI
KEBIJAKAN PENYEDIAAN JASA TI OLEH BANK
a. Prinsip-prinsip 1) memenuhi persyaratan penyediaan jasa Teknologi Informasi tidak menjadi salah satu
kegiatan pokok Bank;
penyediaan jasa TI
2) memenuhi prinsip kehati-hatian;
5) memenuhi prinsip hubungan kerja sama secara wajar (arm’s length principle).
21
SEOJK MRTI
PELAPORAN
DAFTAR LAPORAN KONDISI TERKINI PENGGUNAAN TEKNOLOGI INFORMASI
2.1.1 Visi dan Misi Bank
2.1.2 Organisasi dan Manajemen
2.1.2.1 Struktur Organisasi Bank dan Jumlah Sumber Daya Manusia Bank
2.1.2.2 Struktur Organisasi Teknologi Informasi dan Jumlah Sumber Daya Manusia Teknologi
Informasi (TI)
2.1.2.3 Surat Keputusan Komite Pengarah Teknologi Informasi (Information Technology Steering
Committee/ITSC) Terkini
2.1.2.4 Risalah Rapat ITSC 1 (satu) Tahun Terakhir
2.1.2.5 Dokumen Rencana Strategis Teknologi Informasi (Information Technology Strategic
Plan/ITSP)
2.1.3 Manajemen Risiko*)
2.1.3.1 Penerapan Manajemen Risiko
2.1.3.2 Struktur Organisasi Audit Intern Teknologi Informasi (TI)
2.1.3.3 Audit Teknologi Informasi 1 (satu) Tahun Terakhir
2.1.4 Kebijakan, Standar, dan Prosedur Teknologi Informasi (TI)
2.1.5 Arsitektur Aplikasi
2.1.6 Daftar Aplikasi
2.1.7 Alur Proses Pelaporan
2.1.8 Delivery Channel
2.1.9 Jaringan Komunikasi
2.1.10 Pusat Data (Data Center) dan Pusat Pemulihan Bencana (Disaster Recovery Center)
2.1.11 Pengamanan Teknologi Informasi (TI)
2.1.12 Rencana Pemulihan Bencana (Disaster Recovery Plan)
2.1.13 Penyedia Jasa Teknologi Informasi (TI)
2.1.14 Biaya Teknologi Informasi (TI)
22
SEOJK MRTI
FORMAT LAPORAN MRTI
Catatan : Laporan Rencana Pengembangan TI ini tidak menghilangkan kewajiban Bank untuk menyampaikan laporan dan
permohonan persetujuan sebagaimana diatur dalam Pasal 24 dan Pasal 32 POJK MRTI 23
POJK MRTI
PELAPORAN
24
POJK MRTI
PELAPORAN
25
POJK MRTI
PELAPORAN
Bank yang:
• memiliki rencana kegiatan sebagai penyedia jasa Teknologi
Informasi; dan/atau
• menerbitkan produk Layanan Perbankan Elektronik,
• harus mengajukan permohonan persetujuan kepada Otoritas
Jasa Keuangan paling lambat 2 (dua) bulan sebelum
implementasi.
Bank yang:
• menyelenggarakan Sistem Elektronik yang ditempatkan pada
Pusat Data dan/atau Pusat Pemulihan Bencana di luar wilayah
Indonesia; dan/atau
• menyerahkan penyelenggaraan Pemrosesan Transaksi
Berbasis Teknologi Informasi kepada pihak penyedia jasa di
luar wilayah Indonesia,
• harus mengajukan permohonan persetujuan kepada Otoritas
Jasa Keuangan paling lambat 3 (tiga) bulan sebelum rencana
implementasi.
26
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
28
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
29
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
30
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
Lampiran 2.1.3 Manajemen Risiko
Lampiran 2.1.3.1 Penerapan Manajemen Risiko Lampiran 2.1.3.2 Struktur Organisasi Audit Intern TI
31
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
32
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
33
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
34
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
Lampiran 2.1.6 Daftar Aplikasi (2)
35
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
36
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
Lampiran 2.1.8 Delivery Channel
37
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
38
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
Lampiran 2.1.10 Pusat Data (DC) dan Pusat Pemulihan Bencana (DRC)
Ket: Form diatas dapat diperbanyak sesuai dengan jumlah DC/DRC yang dimiliki Bank
39
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
40
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
41
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
42
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
43
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
44
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
45
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
46
SEOJK MRTI
FORMAT LAPORAN MRTI
Lampiran 2.1
Laporan Kondisi Terkini Penggunaan Teknologi Informasi
47