(gambar ilustrasi)
Postingan kali ini saya akan membahas tentang proses penerbitan layanan electronic banking (E-Banking) di Indonesia sesuai dengan syarat yang telah ditentukan oleh Badan Regulator (Bank Indonesia dan Otoritas Jasa Keuangan). Mungkin ada beberapa kita yang masih bingung langkah apa saja yang harus dilakukan jika ingin menerbitkan layanan E-Banking.
Sebelum masuk ke inti perijinan, alangkah baiknya jika kita terlebih dahulu mengenal apa itu E-Banking. Jika mengacu dari SEBI 9/30/DPNP pengertian E-Banking adalah layanan yang memungkinkan nasabah Bank untuk memperoleh informasi, melakukan komunikasi, dan melakukan transaksi perbankan melalui media elektronik seperti Automatic Teller Machine (ATM), phone banking, electronic fund transfer (EFT), Electronic Data Capture (EDC)/Point Of Sales (POS), internet banking dan mobile banking. (Kurang SMS Banking & Rekening Ponsel)
Jadi semua layanan yang berbasiskan electronic seperti disebutkan diatas maka wajib mengacu ke peraturan 9/15/PBI/2007 dan SEBI 9/30/DPNP. Jika tidak mengacu ke peraturan tersebut pastinya ada sanksi yang akan diterima oleh Bank. Pembahasan yang berkaitan dengan E-Banking pada 9/15/PBI/2007 diatur di Bab V sampai Bab VIII. Semua Bank harus bisa mematuhi aturan main disitu.
Disini saya coba membahas syarat-syarat yang harus dipenuhi apa saja sih dan saya akan jabarkan dari pasal-pasal yang disebutkan di PBI dan bahasan yang ada di SEBI tersebut.
Pasal 23
- Ayat 1 = Setiap rencana penerbitan produk Electronic Banking baru harus dimuat dalam Rencana Bisnis Bank.
- Ayat 2 = Setiap rencana penerbitan produk Electronic Banking yang bersifat transaksional wajib dilaporkan kepada Bank Indonesia paling lambat 2 (dua) bulan sebelum produk tersebut diterbitkan.
*Pengertiannya bahwa Bank harus memasukkan didalam Rencana Bisnis Bank (RBB) jika ingin mengadakan layanan E-Banking dan juga IT Strategic Plan (ITSP) Bank tersebut harus selaras dengan RBB. Contoh di tahun 2020 Bank XYZ ingin menyediakan layanan Internet Banking, maka sebelumnya harus dituangkan juga di ITSP bagaimana pihak IT untuk mendukung layanan tersebut. Mulai dari rencana penyiapan infrastruktur, sumber daya manusia, framework yang digunakan, dll.
Nah hal-hal apa saja yang perlu disiapkan dalam mengirimkan dokumen-dokumen pendukung untuk laporan yang akan dikirimkan kepada pihak regulator dapat mengacu ke Pasal 23 ayat 2 yang menyebutkan:
Laporan rencana penerbitan produk sebagaimana dimaksud pada ayat (2) wajib dilengkapi dengan hal-hal sebagai berikut:
a. bukti-bukti kesiapan untuk menyelenggarakan Electronic Banking yang paling kurang memuat:
1) struktur organisasi yang mendukung termasuk pengawasan dari pihak manajemen;
2) kebijakan, sistem, prosedur dan kewenangan dalam penerbitan produk Electronic Banking;
3) kesiapan infrastruktur Teknologi Informasi untuk mendukung produk Electronic Banking;
4) hasil analisis dan identifikasi risiko terhadap risiko yang melekat pada produk Electronic Banking;
5) kesiapan penerapan manajemen risiko khususnya pengendalian pengamanan (security control) untuk memastikan terpenuhinya prinsip kerahasiaan (confidentiality), integritas (integrity), keaslian (authentication), non repudiation dan ketersediaan (availability);
6) hasil analisis aspek hukum;
7) uraian sistem informasi akuntansi;
8) program perlindungan dan edukasi nasabah.
b. hasil analisis bisnis mengenai proyeksi produk baru 1 (satu) tahun kedepan.
Serta jangan lupa ayat lanjutan pada ayat 5, yaitu:
Penyampaian pelaporan sebagaimana dimaksud dalam ayat (2) harus dilengkapi dengan hasil pemeriksaan dari pihak independen untuk memberikan pendapat atas karakteristik produk dan kecukupan pengamanan sistem Teknologi Informasi terkait produk serta kepatuhan terhadap ketentuan dan atau praktek-praktek yang berlaku di dunia internasional.
*Pengertian dari ayat 5 tersebut bahwa layanan E-Banking tersebut sebelum di launching harus dilakukan pemeriksaan / audit dari pihak independen. Jika mengacu ke SEBI 9/30/DPNP Sub BAB 8.6.1.1 untuk pengertian pihak independen yang dimaksud adalah:
Yang dimaksud dengan pihak independen adalah pihak-pihak yang tidak terlibat dalam perancangan dan pengembangan sistem aplikasi serta pengambilan keputusan untuk implementasi (go or no go).
Hasil pemeriksaan dari pihak independen di luar Bank (Kantor Akuntan Publik atau perusahaan konsultan dibidang IT Security atau sejenisnya) diperlukan untuk produk e-banking bersifat transaksional yang baru pertama kali diterbitkan oleh Bank seperti internet banking yang bersifat transaksional dan sms banking yang bersifat transaksional.
Untuk ruang lingkup pemeriksaandari pihak independen dapat mengacu ke SEBI 9/30/DPNP Sub BAB 8.6.1.2 untuk ruang lingkupnya adalah sebagai berikut:
Bank wajib memastikan bahwa laporan yang disampaikan oleh pihak independen mengenai kesiapan TI Bank untuk kegiatan e-banking yang direncanakan memuat periode pemeriksaan, ruang lingkup, metode pemeriksaan, temuan, rekomendasi, tanggapan manajemen atas temuan serta target penyelesaian. Adapun ruang lingkup pemeriksaan meliputi:
a. pengawasan aktif manajemen;
b. kecukupan kebijakan dan prosedur pengamanan sistem e-banking untuk memastikan terpenuhinya prinsip kerahasiaan, integritas, ketersediaan dan non repudiation dalam setiap transaksi e-banking;
c. kecukupan penerapan dan pemantauan terhadap pengamanan sistem aplikasi ebanking yang disiapkan bank yang meliputi:
1) penerapan pengamanan aplikasi, infrastruktur (server, firewall dan router) serta jaringan sistem e-banking;
2) pengamanan untuk mendeteksi transaksi yang tidak wajar;
3) terdapat pemeliharaan dan kaji ulang atas audit trail log transaksi;
4) pengamanan fisik yang memadai atas perangkat komputer dan perangkat komunikasi terkait produk/jasa e-banking;
5) pengamanan atas jaringan internal bank sehingga terlindung dari serangan yang berasal dari eksternal;
6) pengamanan atas data dan database transaksi e-banking.
3) terdapat pemeliharaan dan kaji ulang atas audit trail log transaksi;
4) pengamanan fisik yang memadai atas perangkat komputer dan perangkat komunikasi terkait produk/jasa e-banking;
5) pengamanan atas jaringan internal bank sehingga terlindung dari serangan yang berasal dari eksternal;
6) pengamanan atas data dan database transaksi e-banking.
d. Business Continuity Plan dan prosedur tanggap darurat (incident response management);
e. penggunaan pihak penyedia jasa TI sebagai penyelenggara e-banking;
f. kaji ulang atas analisis risiko dalam produk baru e-banking yang meliputi sekurang-kurangnya risiko strategis, risiko pengamanan, risiko hukum, risiko reputasi;
g. program edukasi dan perlindungan nasabah termasuk kehati-hatian dalam pembukaan rekening dan dalam melakukan transaksi melalui e-banking.
Jika syarat-syarat diatas telah dapat dipenuhi oleh Bank, maka dapat mengirimkan laporan dan semua dokumen pendukung kepada pihak Regulator. Jika pihak Regulator telah mengirimkan surat izin untuk penerbitan layanan E-Banking tersebut, maka Bank masih ada kewajiban yang harus dipenuhi yaitu merujuk ke 9/15/PBI/2007 pada ayat 7 yang menyebutkan:
Realisasi rencana penerbitan produk Electronic Banking wajib dilaporkan paling lambat 1 (satu) bulan sejak rencana dilaksanakan dengan menggunakan format Laporan Perubahan Mendasar Teknologi Informasi.
Dapat juga melihat secara detail isi di SEBI 9/30/DPNP Sub BAB 8.6 sebagai berikut:
Setiap rencana penerbitan produk Electronic Banking yang bersifat transaksional wajib dilaporkan kepada Bank Indonesia paling lambat 2 (dua) bulan sebelum produk tersebut diterbitkan dengan menggunakan Lampiran 2.21. Rencana Penerbitan Electronic Banking Transaksional. Ketentuan pelaporan rencana produk Electronic Banking berlaku untuk setiap produk baru yang karakteristiknya berbeda dengan produk yang telah ada di Bank dan/atau menambah atau meningkatkan eksposur risiko tertentu pada Bank. Ketentuan pelaporan ini tidak berlaku untuk produk Electronic Banking yang diatur secara khusus dalam ketentuan Bank Indonesia mengenai persyaratan persetujuan produk tersebut.
Dalam hal Teknologi Informasi yang digunakan dalam menyelenggarakan kegiatan Electronic Banking dilakukan oleh pihak penyedia jasa maka berlaku pula ketentuan penggunaan penyedia jasa sebagaimana diatur dalam Bab X mengenai Penggunaan Pihak Penyedia Jasa Teknologi Informasi.
Yang dimaksud dengan “produk Elektronik Banking baru” adalah produk baru yang karakteristiknya berbeda dengan produk yang telah ada di Bank dan/atau menambah atau meningkatkan eksposur risiko tertentu pada Bank, seperti internet banking dan phone banking untuk nasabah penyimpan.
Dengan demikian apabila Bank hanya menambah jenis layanan pada produk ebanking yang telah ada dan penambahan risikonya tidak signifikan misalnya penambahan fasilitas pembayaran melalui e-banking yang semula hanya melayani pembayaran kartu kredit menjadi pembayaran listrik atau telepon, maka penambahan layanan pembayaran tersebut tidak tergolong produk baru sehingga tidak perlu dilaporkan.
Namun jika Bank menambah layanan misalnya yang semula hanya menangani transaksi rupiah kemudian menambah layanan berupa transaksi valuta asing maka Bank harus melaporkan produk baru tersebut karena berdasarkan analisis risiko, transaksi tersebut dapat meningkatkan risiko pasar, risiko hukum, dan risiko lainnya.
Selanjutnya paling lambat 1 (satu) bulan sejak kegiatan tersebut efektif dioperasikan, Bank wajib melaporkan realisasi kegiatan sesuai format Laporan Perubahan Mendasar dalam Penggunaan Teknologi Informasi dengan menggunakan Lampiran 2.3.1. Realisasi Penerbitan Electronic Banking Transaksional. Laporan realisasi tersebut harus dilengkapi dengan tinjauan atas hasil implementasi (Post Implementation Review) oleh pihak independen. Produk dan/atau aktivitas baru yang telah dilaporkan dalam Laporan Realisasi Rencana Perubahan Mendasar Teknologi Informasi tidak perlu dilaporkan dalam Laporan Produk dan Aktivitas Baru sebagaimana diatur dalam ketentuan Bank Indonesia mengenai manajemen risiko Bank umum.
Jika pihak Bank tidak mengikuti seperti hal-hal diatas atau dengan kata lain langsung melakukan launching tanpa mendapatkan ijin dari Badan Regulator, akan dikenakan sanksi sesuai dengan 9/15/PBI/2007 Bab VIII dari Pasal 30 sampai 32 sebagai berikut:
Pasal 30
Bank yang tidak melaksanakan ketentuan sebagaimana ditetapkan dalam Peraturan Bank Indonesia ini dan ketentuan pelaksanaan terkait lainnya dapat dikenakan sanksi administratif sebagaimana dimaksud dalam Pasal 52 Undang Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang Undang Nomor 10 Tahun 1998, antara lain berupa:
a. teguran tertulis;
b. penurunan tingkat kesehatan berupa penurunan peringkat faktor manajemen dalam penilaian tingkat kesehatan;
c. pembekuan kegiatan usaha tertentu;
d. pencantuman anggota pengurus dalam daftar tidak lulus melalui mekanisme uji kepatutan dan kelayakan (fit and proper test).
Bank yang tidak melaksanakan ketentuan sebagaimana ditetapkan dalam Peraturan Bank Indonesia ini dan ketentuan pelaksanaan terkait lainnya dapat dikenakan sanksi administratif sebagaimana dimaksud dalam Pasal 52 Undang Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang Undang Nomor 10 Tahun 1998, antara lain berupa:
a. teguran tertulis;
b. penurunan tingkat kesehatan berupa penurunan peringkat faktor manajemen dalam penilaian tingkat kesehatan;
c. pembekuan kegiatan usaha tertentu;
d. pencantuman anggota pengurus dalam daftar tidak lulus melalui mekanisme uji kepatutan dan kelayakan (fit and proper test).
Pasal 31
Bank yang tidak memenuhi ketentuan pelaporan sebagaimana dimaksud dalam Pasal 21 ayat (2), ayat (3) dan ayat (4), Pasal 23 ayat (2) dan ayat (7), Pasal 24 dan Pasal 25 Peraturan Bank Indonesia ini dikenakan sanksi sesuai Pasal 52 Undang Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana diubah dengan Undang Undang Nomor 10 Tahun 1998, berupa:
a. kewajiban membayar sebesar Rp1.000.000,00 (satu juta rupiah) per hari keterlambatan per laporan;
b. kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah) per laporan, bagi Bank yang belum menyampaikan laporan setelah 1 (satu) bulan sejak batas akhir waktu penyampaian laporan.
Bank yang tidak memenuhi ketentuan pelaporan sebagaimana dimaksud dalam Pasal 21 ayat (2), ayat (3) dan ayat (4), Pasal 23 ayat (2) dan ayat (7), Pasal 24 dan Pasal 25 Peraturan Bank Indonesia ini dikenakan sanksi sesuai Pasal 52 Undang Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana diubah dengan Undang Undang Nomor 10 Tahun 1998, berupa:
a. kewajiban membayar sebesar Rp1.000.000,00 (satu juta rupiah) per hari keterlambatan per laporan;
b. kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah) per laporan, bagi Bank yang belum menyampaikan laporan setelah 1 (satu) bulan sejak batas akhir waktu penyampaian laporan.
Pasal 32
Bank yang menyampaikan laporan yang tidak sesuai dengan kondisi Bank yang sebenarnya dikenakan sanksi kewajiban membayar sebesar Rp50.000.000,00 (lima puluh juta rupiah) setelah Bank diberikan 2 (dua) kali surat teguran oleh Bank Indonesia dengan tenggang waktu 7 (tujuh) hari kerja untuk setiap teguran dan Bank tidak memperbaiki laporan dalam jangka waktu 7 (tujuh) hari kerja setelah surat teguran terakhir.
Demikianlah tulisan saya ini dan jika terdapat kesalahan mohon dimaafkan. Apabila ada yang ingin berdiskusi bisa dengan meninggalkan komentar ditulisan ini dan kita saling sharing agar lebih dapat memahami peraturan yang berlaku di Indonesia tercinta ini.
Download:
9/15/PBI/2007
SEBI 9/30/DPNP dan Lampiran
Download:
9/15/PBI/2007
SEBI 9/30/DPNP dan Lampiran
