ABSTRAK
Dokumen ini membahas pemantauan kepatuhan terhadap audit teknologi informasi di Indonesia, khususnya di sektor perbankan dan lembaga keuangan non-bank. Regulasi dari OJK dan BI mewajibkan audit TI secara berkala untuk memastikan keamanan sistem informasi. Pengawasan dilakukan melalui inspeksi berkala maupun ad hoc, dengan sanksi administratif bagi ketidakpatuhan. Aturan mencakup manajemen risiko TI, audit internal, serta persyaratan independensi auditor. Implementasi kepatuhan ini bertujuan meningkatkan ketahanan siber dan keandalan sistem informasi di sektor keuangan.
Perusahaan yang bisnisnya terkait langsung dengan produk-produk perbankan dan institusi keuangan di Indonesia akan berada di bawah pengawasan Otoritas Jasa Keuangan (OJK) selaku regulator. Pemanfaatan teknologi dan sistem informasi dalam proses bisnis perusahaan juga mendapat perhatian dari regulator. Perhatian itu terlihat di dalam peraturan-peraturan yang dikeluarkan oleh regulator.
Beberapa peraturan mengharuskan penyelenggaraan audit teknologi informasi (IT Audit) atas pemanfaatan teknologi dalam sistem informasi. IT Audit diselenggarakan mandiri oleh manajemen, dan regulator akan melakukan pemantauan kepatuhan atas IT Audit tersebut. Secara umum, regulator seperti OJK atau Bank Indonesia (“BI”) tidak memiliki jadwal tetap atau periodik untuk melakukan pemantauan atas pelaksanaan audit Teknologi Informasi (“TI”) suatu perusahaan.
Pemeriksaan reguler biasanya tergantung pada kebijakan internal regulator dan dapat dipicu oleh berbagai faktor seperti laporan pelanggaran, perubahan signifikan dalam perusahaan, atau insiden keamanan. Namun, regulator dapat melakukan pemeriksaan atau pengujian kepatuhan secara mendadak berdasarkan kebutuhan, atau jika ada indikasi risiko yang signifikan.
Beberapa peraturan yang menjadi lingkup pemantauan kepatuhan atas audit teknologi informasi adalah sebagai berikut:
- Peraturan Bank Indonesia No. 23/6/PBI/2021 “Penyedia Jasa Pembayaran”
Subjek: Penyedia Jasa Pembayaran (“PJP”) yaitu Bank atau Lembaga Selain Bank yang menyediakan jasa untuk memfasilitasi transaksi pembayaran kepada pengguna jasa.
- Keamanan dan Keandalan Sistem Informasi:
Pasal 44: Mengatur kewajiban PJP untuk memenuhi prinsip umum dalam penyelenggaraan sistem pembayaran dengan standar keamanan sistem informasi.
- Audit IT Periodik:
Pasal 71: Menyatakan bahwa PJP berkewajiban melaksanakan audit TI oleh auditor TI independen secara berkala paling sedikit 1 (satu) kali dalam 1 (satu) tahun.
- Pengawasan oleh Bank Indonesia:
Pasal 231: Wewenang Bank Indonesia untuk melakukan pengawasan yang dilakukan melalui pemeriksaan berkala dan/atau sewaktu-waktu guna memastikan kepatuhan bank terhadap peraturan yang berlaku, termasuk aspek sistem informasi.
- Peraturan Otoritas Jasa Keuangan No. 4/POJK.03/2022 “Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Lembaga Jasa Keuangan Nonbank (LJKNB)”
Subjek: Lembaga Jasa Keuangan Nonbank (“LJKNB”) yaitu lembaga yang melaksanakan kegiatan di sektor perasuransian, dana pensiun, lembaga pembiayaan, dan lembaga jasa keuangan lain.
- Keamanan dan Keandalan Sistem Informasi:
Pasal 3: Mengatur kewajiban LJKNB untuk menerapkan manajemen risiko secara efektif, termasuk kecukupan proses identifikasi, pengukuran, pengendalian, dan pemantauan risiko penggunaan TI, serta pengendalian internal atasnya.
- Audit IT Periodik:
Pasal-pasal 19 dan 20: Menyatakan bahwa LJKNB wajib melaksanakan audit internal secara berkala terhadap seluruh aspek dalam penyelenggaraan dan penggunaan TI, serta wajib melakukan kaji ulang atas fungsi audit internal dalam penggunaan TI secara berkala.
- Pengawasan oleh OJK:
Pasal 34: OJK dapat mengenakan sanksi administratif bagi LJKNB yang melakukan pelanggaran terhadap ketentuan-ketentuan dalam POJK ini.
- Peraturan Otoritas Jasa Keuangan No. 11/POJK.03/2022 “Penyelenggaraan Teknologi Informasi oleh Bank Umum”
Subjek: Seluruh bank umum termasuk kantor cabang dari bank yang berkedudukan di luar negeri, serta mencakup pula Bank Umum Syariah dan Unit Usaha Syariah.
- Keamanan dan Keandalan Sistem Informasi:
Pasal 21: Bank wajib menjaga ketahanan siber, yang didukung dengan sistem informasi ketahanan siber yang memadai.
- Audit IT Periodik:
Pasal 54 dan 55: Bank wajib melaksanakan audit internal terhadap penyelenggaraan TI sesuai kebutuhan, prioritas, dan hasil analisis risiko atas penyelenggaraan TI, paling sedikit 1 (satu) kali dalam 1 (satu) tahun, serta wajib melakukan kaji ulang atas fungsi audit internal dalam penyelenggaraan TI paling sedikit 1 (satu) kali dalam 3 (tiga) tahun dengan menggunakan jasa pihak ekstern yang independen.
- Pengawasan oleh OJK:
Pasal-pasal 9, 14, 20, 27, 33, 42, 46, 51, 56, 62-64, 66,: OJK dapat mengenakan sanksi administratif bagi Bank yang melakukan pelanggaran terhadap ketentuan-ketentuan dalam POJK ini.
