PENERAPAN MANAJEMEN RISIKO DALAM

PENGGUNAAN TEKNOLOGI INFORMASI

OLEH BANK UMUM
POJK NOMOR 13/POJK.03/2020, 38/POJK.03/2016
DAN SEOJK NOMOR 21/SEOJK.03/2017

LATAR BELAKANG
Mendukung penggunaan Sistem Elektronik yang terintegrasi agar
bank dapat meningkatkan efektivitas dan efisiensi operasional serta
memberikan layanan perbankan yang lebih baik kepada nasabah

RUANG LINGKUP
MANAJEMEN RISIKO
Penerapan manajemen risiko paling sedikit mencakup:

Kecukupan proses
Pengawasan aktif Sistem Kecukupan kebijakan,
identifikasi, pengawasan,
Direksi & Dewan pengendalian standar & prosedur
pemantauan &
Komisaris intern atas penggunaan Teknologi
pengendalian risiko
penggunaan TI Informasi (TI)
penggunaan TI

SISTEM ELEKTRONIK
Persetujuan OJK dapat diberikan dengan
Bank wajib menempatkan Sistem syarat, Bank:
Elektronik pada Pusat Data & Pusat
Wajib memenuhi ketentuan Bank untuk
Pemulihan Bencana di wilayah
menyelenggarakan TI, didasari dengan
Indonesia
perjanjian tertulis, & melakukan proses
Sistem elektronik boleh seleksi dalam memilih pihak penyedia TI
ditempatkan di luar wilayah
Indonesia sepanjang memperoleh Menyampaikan hasil analisis country risk
persetujuan OJK Memastikan penyelenggaraan sistem
Merupakan sistem elektronik yang: elektronik di LN tidak mengurangi
efektivitas pengawasan OJK
Mendukung analisis terintegrasi
Memastikan informasi rahasia Bank hanya
Manajemen risiko secara
diungkapkan sepanjang memenuhi
terintegrasi
ketentuan
Penerapan anti pencucian uang Memastikan perjanjian tertulis memuat
& pendanaan terorisme klausula pilihan hukum
Pelayanan kepada nasabah
Menyampaikan surat pernyataan tidak
secara global
keberatan otoritas pengawas penyedia jasa
Manajemen komunikasi antara TI di luar wilayah Indonesia
kantor pusat-cabang atau
Memberikan surat pernyataan bahwa Bank
perusahaan anak-induk
menyampaikan secara berkala hasil
Manajemen intern Bank penilaian
Memastikan manfaat dari rencana
penempatan Sistem Elektronik di luar
wilayah Indonesia
Menyampaikan rencana Bank untuk
meningkatkan kemampuan SDM

LAYANAN PERBANKAN
ELEKTRONIK
Bank wajib membuat rencana Penyampaian permohonan
penerbitan produk layanan harus dilengkapi dengan hasil
perbankan elektronik dalam RBB pemeriksaan pihak independen

Bank wajib mengajukan permohonan persetujuan produk layanan perbankan

elektronik & memperoleh persetujuan OJK untuk menerbitkan produk layanan
perbankan elektronik transaksional
Pengajuan permohonan wajib dilengkapi dengan:

Bukti kesiapan Hasil analisa bisnis mengenai

Dokumen lain yang
menyelenggarakan layanan proyeksi produk baru 1 tahun
diperlukan
perbankan elektronik yang akan datang

SANKSI
Teguran Tertulis
Pembekuan kegiatan usaha tertentu

Penurunan TKS berupa penurunan Larangan menjadi pihak utama

peringkat faktor tata kelola dalam Lembaga Jasa Keuangan
penilaian TKS Bank
Denda sebesar Rp 1.000.000 per
Larangan penerbitan hari, dan paling banyak sebesar Rp
produk/pelaksanaan aktivitas baru 50.000.000
POJK NO.13/POJK.03/2020
TENTANG
PERUBAHAN ATAS POJK NO.38/POJK.03/2016 TENTANG
PENERAPAN MANAJEMEN RISIKO DALAM PENGGUNAAN
TEKNOLOGI INFORMASI OLEH BANK UMUM

Otoritas Jasa Keuangan

Jakarta, April 2020
LATAR BELAKANG 1

1 Pengaturan terkait Penempatan Sistem Elektronik

Dalam POJK No.38/POJK.03/2016 2 Penerbitan
PP No.71 Tahun 2019

Bank wajib menempatkan Sistem
Elektronik pada pusat data
dan/atau pusat pemulihan bencana
di wilayah Indonesia
Kriteria Sistem Elektronik yang
dapat ditempatkan pada pusat data
dan/atau pusat pemulihan bencana
di luar wilayah Indonesia
Penyelenggara Sistem Elektronik
lingkup privat dapat melakukan
pengelolaan, pemrosesan, dan/atau
penyimpanan Sistem Elektronik dan
Data Elektronik di wilayah Indonesia
dan/atau di luar wilayah Indonesia

PSE lingkup privat di sektor

Tindak Lanjut oleh Bank
Terdapat keuangan diatur lebih lanjut oleh
Bank telah menyusun action plan pembatasan atas otoritas pengatur dan pengawas
rencana onshoring penggunaan data

Diperlukan penyesuaian pengaturan

Kendala dalam Implementasi POJK khususnya mengenai
penempatan sistem elektronik

2
POKOK-POKOK
PENYEMPURNAAN KETENTUAN

1 Kriteria Sistem Elektronik yang dapat ditempatkan di luar wilayah Indonesia

A. Penghapusan pembatasan terkait sistem elektronik yang ditempatkan di luar negeri.
B. Penambahan kriteria sistem elektronik yang dapat ditempatkan di luar negeri, yaitu sistem elektronik
dalam rangka pelayanan kepada nasabah global.

2 Pengendalian atas Penempatan Sistem Elektronik di luar wilayah Indonesia

OJK berdasarkan pertimbangan tertentu dapat meminta bank untuk tetap menempatkan sistem
elektronik di wilayah Indonesia.

3 Implementasi Action Plan

Bank wajib mengimplementasikan action plan yang telah disampaikan.

4 Penggunaan Data dalam Sistem Elektronik yang

Ditempatkan di Luar Wilayah Indonesia

5 Pencabutan SE BI tentang Penerapan Manajemen Risiko

dalam Penggunaan Teknologi Informasi oleh Bank Umum

3
POKOK-POKOK
PENYEMPURNAAN KETENTUAN
Topik 1: Kriteria Sistem Elektronik yang dapat ditempatkan di luar wilayah Indonesia

POJK 38/POJK.03/2016 POJK 13/POJK.03/2020 Keterangan

Sistem Elektronik yang dapat ditempatkan Sistem Elektronik yang dapat ditempatkan di -
di luar negeri, yaitu Sistem Elektronik luar negeri, yaitu Sistem Elektronik untuk:
untuk:
1. analisis terintegrasi, 1. analisis terintegrasi,
tanpa menggunakan data individu dan
data transaksi nasabah;
2. manajemen risiko terintegrasi, 2. manajemen risiko terintegrasi, Penghapusan pembatasan terkait
sepanjang menggunakan data penggunaan data elektronik untuk
agregat nasabah dan/atau data mendukung efektivitas implementasi sistem
individu nasabah global; elektronik.
3. APU dan PPT terintegrasi, 3. APU dan PPT terintegrasi,
tanpa menggunakan data transaksi
nasabah;
4. pelayanan kepada nasabah global, Penambahan kriteria bertujuan agar bank
yang membutuhkan integrasi dengan dapat memberikan layanan yang terintegrasi
Belum diatur
Sistem Elektronik milik grup Bank di bagi nasabah global yang memiliki rekening
luar wilayah Indonesia; dan/atau di beberapa negara.
4. manajemen komunikasi dengan 5. manajemen komunikasi dengan kantor -
kantor induk; dan/atau induk; dan/atau
5. manajemen intern. 6. manajemen intern. -
4
POKOK-POKOK
PENYEMPURNAAN KETENTUAN
Topik 2: Pengendalian atas Penempatan Sistem Elektronik di luar wilayah Indonesia

POJK 38/POJK.03/2016 POJK 13/POJK.03/2020 Keterangan

OJK berwenang meminta bank untuk tetap -

menempatkan Sistem Elektronik di Indonesia,
apabila penempatan Sistem Elektronik di luar
negeri:
1. tidak sesuai dengan rencana penempatan
Sistem Elektronik di luar wilayah Indonesia
yang disampaikan kepada Otoritas Jasa
Belum diatur Keuangan;
2. berpotensi mengurangi efektivitas
pengawasan Otoritas Jasa Keuangan;
3. berpotensi berdampak negatif terhadap
kinerja Bank; dan/atau
4. tidak sesuai dengan ketentuan peraturan
perundang-undangan.

5
POKOK-POKOK
PENYEMPURNAAN KETENTUAN
Topik 3: Implementasi Action Plan
POJK 38/POJK.03/2016 POJK 13/POJK.03/2020 Keterangan
Bank wajib mengimplementasikan rencana -
tindak (action plan) yang telah disampaikan
kepada OJK.
Belum diatur
Pelanggaran atas kewajiban ini dapat
dikenakan sanksi administratif.

Topik 4: Penggunaan Data dalam Sistem Elektronik yang Ditempatkan di Luar Wilayah Indonesia

POJK 38/POJK.03/2016 POJK 13/POJK.03/2020 Keterangan

Bank wajib memastikan bahwa data yang Pengaturan ini bertujuan agar data nasabah
digunakan dalam Sistem Elektronik yang tidak disalahgunakan oleh pihak terkait bank
ditempatkan pada Pusat Data dan/atau Pusat yang ada di luar negeri.
(Belum diatur)
Pemulihan Bencana di luar wilayah Indonesia
tidak digunakan untuk tujuan selain kriteria yang
sudah diatur (angka 1).

6
POKOK-POKOK
PENYEMPURNAAN KETENTUAN
Topik 5: Pencabutan SEBI Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum (MRTI)
POJK 38/POJK.03/2016 POJK 13/POJK.03/2020 Keterangan
SEBI MRTI tetap berlaku sepanjang tidak Mencabut SEBI MRTI Saat ini telah terdapat SEOJK MRTI yang
bertentangan menggantikan SEBI MRTI.

7
 RINGKASAN
PERATURAN OTORITAS JASA KEUANGAN NOMOR 13/POJK.03/2020
TENTANG
PERUBAHAN ATAS PERATURAN OTORITAS JASA KEUANGAN
NOMOR 38/POJK.03/2016 TENTANG PENERAPAN MANAJEMEN RISIKO
DALAM PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM

1. POJK Nomor 13/POJK.03/2020 tentang Perubahan Atas Peraturan Otoritas Jasa

Keuangan Nomor 38/POJK.03/2016 tentang Penerapan Manajemen Risiko Dalam
Penggunaan Teknologi Informasi oleh Bank Umum diterbitkan dalam rangka mendukung
penggunaan Sistem Elektronik yang terintegrasi agar bank dapat meningkatkan
efektivitas dan efisiensi operasional serta memberikan layanan perbankan yang lebih baik
kepada nasabah.
2. Pokok-pokok ketentuan dalam POJK ini adalah:
a. Penghapusan pembatasan penggunaan data dalam sistem elektronik yang
ditempatkan di luar wilayah Indonesia (Pasal 21 ayat 3 huruf a, huruf b, dan huruf c);
b. Penambahan 1 (satu) kriteria sistem elektronik yang dapat ditempatkan di luar
wilayah Indonesia, yaitu sistem elektronik dalam rangka pelayanan kepada nasabah
global (Pasal 21 ayat 3 huruf d);
c. Kewenangan OJK meminta Bank untuk menempatkan sistem elektronik di wilayah
Indonesia;
d. Kewajiban Bank untuk tetap mengimplementasikan rencana tindak (action plan) yang
telah disampaikan kepada OJK sesuai dengan POJK MRTI.
e. Kewajiban Bank untuk memastikan data yang digunakan dalam sistem elektronik
yang ditempatkan di luar wilayah Indonesia tidak digunakan untuk tujuan selain
kriteria yang sudah diatur. Pelanggaran atas kewajiban ini dapat dikenai sanksi
administratif.
f. Pencabutan Surat Edaran Bank Indonesia No.9/30/DPNP tanggal 12 Desember 2007
tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh
Bank Umum (SEBI MRTI).
 FREQUENTLY ASKED QUESTIONS
PERATURAN OTORITAS JASA KEUANGAN NOMOR 13/POJK.03/2020
TENTANG
PERUBAHAN ATAS PERATURAN OTORITAS JASA KEUANGAN
NOMOR 38/POJK.03/2016 TENTANG PENERAPAN MANAJEMEN RISIKO
DALAM PENGGUNAAN TEKNOLOGI INFORMASI OLEH BANK UMUM

1. Apa latar belakang penerbitan POJK ini?

POJK Nomor 13/POJK.03/2020 tentang Perubahan Atas Peraturan Otoritas Jasa
Keuangan Nomor 38/POJK.03/2016 tentang Penerapan Manajemen Risiko Dalam
Penggunaan Teknologi Informasi Oleh Bank Umum diterbitkan dalam rangka
mendukung penggunaan Sistem Elektronik yang terintegrasi agar bank dapat
meningkatkan efektivitas dan efisiensi operasional serta memberikan layanan
perbankan yang lebih baik kepada nasabah.

2. Apa perubahan utama pada POJK No.38/POJK.03/2016 dengan diterbitkannya

POJK Nomor 13/POJK.03/2020?
Terdapat relaksasi terkait dengan kriteria sistem elektronik yang dapat ditempatkan
pada pusat data dan/atau pusat pemulihan bencana di luar wilayah Indonesia, yaitu
berupa penghapusan pembatasan penggunaan data dalam sistem elektronik dimaksud
(Pasal 21 ayat 3 huruf a, huruf b, dan huruf c).
Selain itu juga terdapat penambahan 1 (satu) kriteria sistem elektronik yang dapat
ditempatkan pada pusat data dan/atau pusat pemulihan bencana di luar wilayah
Indonesia, yaitu sistem elektronik yang digunakan untuk pelayanan kepada nasabah
secara global (Pasal 21 ayat 3 huruf d).

3. Apa contoh sistem elektronik yang digunakan untuk pelayanan kepada nasabah
secara global?
Beberapa contoh sistem elektronik dimaksud antara lain global cash management
system, mobile banking application dan internet banking yang digunakan oleh bank atau
oleh nasabah untuk memperoleh layanan bank yang disediakan secara global bagi
seluruh nasabahnya baik di wilayah Indonesia maupun di luar wilayah Indonesia.

4. Apakah core banking system termasuk sebagai sistem elektronik yang dapat
ditempatkan di luar wilayah Indonesia?
Core banking system tidak termasuk sebagai sistem elektronik yang dapat ditempatkan
di luar wilayah Indonesia.

5. Dengan adanya relaksasi berupa penghapusan pembatasan penggunaan data,

apakah data individu dan data transaksi nasabah dapat disimpan pada sistem
elektronik yang ditempatkan pada pusat data dan/atau pusat pemulihan bencana
di luar wilayah Indonesia?
Pada prinsipnya penggunaan data tertentu pada suatu sistem elektronik memerlukan
ketersediaan data tersebut pada sistem elektronik dimaksud, dengan kata lain data
tersebut harus tersimpan pada sistem elektronik terlebih dahulu.
 Dalam implementasinya, sistem elektronik memerlukan data yang tepat agar dapat
berfungsi secara efektif, sebagai contoh sistem elektronik yang digunakan untuk
penerapan anti pencucian uang dan pencegahan pendanaan terorisme secara
terintegrasi memerlukan data individu dan data transaksi nasabah dari seluruh kantor
cabang bank untuk dapat melakukan pemrosesan secara terintegrasi. Sementara itu,
data individu dan data transaksi bersumber dari core banking system yang wajib
ditempatkan pada pusat data dan pusat pemulihan bencana di wilayah Indonesia.
Dengan demikian, data individu dan data transaksi dapat di-copy untuk disimpan pada
sistem elektronik yang ditempatkan pada pusat data dan/atau pusat pemulihan
bencana di luar wilayah Indonesia sepanjang data asli tetap disimpan pada sistem
elektronik yang ditempatkan pada pusat data dan/atau pusat pemulihan bencana di
wilayah Indonesia.

6. Sesuai dengan POJK No.38/POJK.03/2016, bank telah menyampaikan laporan

rencana tindak (action plan) dalam rangka pemindahan lokasi Pusat Data, Pusat
Pemulihan Bencana, dan/atau Pemrosesan Transaksi Berbasis Teknologi Informasi
dari luar wilayah Indonesia ke Indonesia. Bagaimana tindak lanjut atas action plan
dimaksud sehubungan dengan diterbitkannya POJK Nomor 13/POJK.03/2020?
Perubahan ketentuan pada POJK No.38/POJK.03/2016 tidak menghilangkan
kewajiban bank untuk mengimplementasikan action plan yang telah disampaikan
kepada OJK. Dalam hal terdapat kendala dalam implementasi action plan, bank dapat
berkoordinasi dengan pengawas untuk tindak lanjut atas action plan dimaksud.