Penulis:
Munawar Kasan, ST, MBA, AAIK, FIIS, ERMCP, QRMP, CERG, QRGP
(Artikel ini telah dimuat di koran Bisnis Indonesia, 29 April 2021).
Adopsi teknologi digital mengalami akselerasi selama pandemi Covid-19. Menurut McKinsey (2020), organisasi dan industri melakukan quantum leap dalam adopsi digital. Hal serupa terjadi di Indonesia yang ditandai dengan melonjaknya transaksi daring.
Hadirnya Peraturan Otoritas Jasa Keuangan (POJK) Nomor 4/POJK.05/2021 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Lembaga Jasa Keuangan Nonbank (LJKNB) mendapatkan momentum yang tepat. POJK yang berlaku sejak 17 Maret 2021 ini menjadi pedoman bagi pelaku industri jasa keuangan nonbank (IKNB) dalam manajemen risiko teknologi informasi (MRTI).
Munculnya ketentuan ini didorong oleh makin meningkatnya penggunaan teknologi informasi (TI) di IKNB. Terlebih dengan munculnya variasi produk dan akselerasi penjualan produk yang membutuhkan TI yang andal. Selama ini, MRTI di IKNB diatur dalam peraturan yang terpisah dengan cakupan substansi yang berbeda. Di industri perasuransian, pembiayaan, dan fintech lending misalnya, ketentuan terkait MRTI tidak seragam.
Banyak LJKNB yang penopang utamanya adalah TI. Pendatang baru seperti insurtech di industri perasuransian, produk paylater di industri pembiayaan, atau transaksi di industri fintech lending adalah beberapa contoh aktivitas/transaksi yang mengandalkan TI. Koneksi melalui application programming interface juga terus tumbuh.
Optimalisasi TI akan meningkatkan efektivitas dan efisiensi operasional, sekaligus dapat meningkatkan layanan dan perlindungan konsumen. Di dalam ekosistem digital, TI yang andal adalah keharusan. OJK sendiri membutuhkan TI yang andal dalam rangka peningkatan efektivitas pengawasan melalui supervisory technology (suptech).
Mengandalkan TI dalam operasional perusahaan juga memunculkan risiko. Realitanya, penggunaan TI tidak serta merta selalu diikuti dengan MRTI yang efektif. Berdasarkan Global Cyber Risk and Insurance Survey – Munich Re (2021), 81% eksekutif perusahaan menyatakan bahwa perusahaannya tidak memiliki proteksi yang memadai terhadap ancaman siber. Melalui implementasi POJK 4/POJK.05/2021, pengelolaan risiko TI perusahaan diharapkan dapat efektif diimplementasikan.
Untuk LJKNB & Konsumen
Ketentuan di dalam POJK 4/2021 mewajibkan LJKNB menerapkan manajemen risiko secara efektif dalam penggunaan TI. Ada empat cakupannya, yakni (1) pengawasan aktif direksi dan dewan komisaris; (2) kecukupan kebijakan dan prosedur penggunaan TI; (3) kecukupan proses identifikasi, pengukuran, pengendalian, dan pemantauan risiko penggunaan TI; dan (4) sistem pengendalian internal atas penggunaan TI.
Bagi LJKNB yang telah mengantongi SNI ISO 27001 tentang Sistem Manajemen Keamanan Informasi, akan relatif mudah untuk mematuhi POJK tersebut. Di industri fintech lending, SNI ISO 27001 adalah prasyarat sebelum platform fintech lending mendapatkan status berizin dari OJK.
Penerapan MRTI di LJKNB disesuaikan dengan karakteristik dan kompleksitas LJKNB. Beberapa ketentuan esensial antara lain terkait data center, data recovery center, dan disaster recovery plan. Selain itu juga adanya aturan terkait akses dan penggunaan data pribadi yang menjadi data sensitif di era digital. Di tengah banyaknya kasus penyalahgunaan dan kebocoran data pribadi saat ini, ketentuan POJK MRTI dapat menjadi pedoman bagi LJKNB sebelum ditetapkan UU Perlindungan Data Pribadi yang mengatur lebih komprehensif.
Setidaknya ada empat catatan utama atas implementasi POJK 4/2021. Pertama, MRTI akan meningkatkan kualitas IT governance. MRTI adalah salah satu fokus area IT governance (ITGI, 2007). Ada kewajiban pengawasan aktif oleh direksi dan dewan komisaris dalam implementasi MRTI. Untuk LJKNB yang memiliki aset diatas Rp 1 triliun, bahkan disyaratkan terdapat komite pengarah TI yang membantu direksi.
Kedua, proses manajemen risiko akan dapat diimplementasikan lebih efektif. Risiko-risiko yang mengancam TI perusahaan diidentifikasi, diukur, dikendalikan, dan dipantau secara terstruktur dengan menggunakan pedoman/standar manajemen risiko perusahaan.
Banyak institusi yang memberikan perhatian besar pada risiko TI. The Institute of Internal Auditors, dalam publikasi OnRisk 2021, menempatkan keamanan siber sebagai risiko tertinggi. Risk.net (2021) menempatkan disrupsi TI sebagai risiko teratas pada Top 10 Operational Risks for 2021. Sementara itu, Isaca & Protiviti merilis Global Top 10 Technology Risks for 2021 menempatkan keamanan siber, privasi, data, dan ketahanan (resilience) sebagai tantangan teknologi yang perlu menjadi fokus perusahaan.
Ketiga, melalui keandalan TI akan membuka peluang kerja sama ekosistem digital yang lebih besar. Pemulihan ekonomi tahun 2021 akan banyak mengandalkan digitalisasi dan kemungkinan diikuti dengan menjamurnya kolaborasi yang ditopang oleh TI. Para partner kolaborasi umumnya menerapkan standar TI yang ketat.
Keempat, kepatuhan pada POJK MRTI akan mengerek kualitas layanan dan (khususnya) perlindungan konsumen. Literasi digital di Indonesia belum sampai level “baik” (katada, 2020), untuk itu membutuhkan edukasi masyarakat dan sistem yang dapat memberikan perlindungan yang lebih memadai. MRTI yang efektif akan dapat meminimalisir kerugian/keluhan konsumen sehingga kualitas perlindungan konsumen diharapkan meningkat.
***