Peraturan Bank Indonesia Nomor 9/15/PBI/2007 Tahun 2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum
Dasar Hukum
Peraturan Terkait
Histori
Lampiran
Pasal 1
Dalam Peraturan Bank Indonesia ini yang dimaksud dengan:
1.
Bank adalah Bank Umum sebagaimana dimaksud dalam Undang-Undang Nomor 7 Tahun 1992 tentang Perbankan sebagaimana telah diubah dengan Undang-Undang Nomor 10 Tahun 1998, termasuk kantor cabang bank asing.
2.
Teknologi Informasi adalah teknologi terkait sarana komputer, telekomunikasi dan sarana elektronis lainnya yang digunakan dalam pengolahan data keuangan dan atau pelayanan jasa perbankan.
3.
Layanan Perbankan Melalui Media Elektronik atau selanjutnya disebut Electronic Banking adalah layanan yang memungkinkan nasabah Bank untuk memperoleh informasi, melakukan komunikasi, dan melakukan transaksi perbankan melalui media elektronik antara lain ATM, phone banking, electronic fund transfer, internet banking, mobile phone.
Informasi untuk memenuhi kebutuhan bisnis dan mendukung rencana strategis jangka panjang.
5.
Pusat Data (Data Center) adalah fasilitas utama pemrosesan data Bank yang terdiri dari perangkat keras dan perangkat lunak untuk mendukung kegiatan operasional Bank secara berkesinambungan.
6.
Database adalah sekumpulan data komprehensif dan disusun secara sistematis, dapat diakses oleh pengguna sesuai wewenang masing-masing, dan dikelola oleh database administrator.
7.
Disaster Recovery Center (DRC) adalah fasilitas pengganti pada saat Pusat Data (Data Center) mengalami gangguan atau tidak dapat berfungsi antara lain karena tidak adanya aliran listrik ke ruang komputer, kebakaran, ledakan atau kerusakan pada komputer, yang digunakan sementara waktu selama dilakukannya pemulihan Pusat Data Bank untuk menjaga kelangsungan kegiatan usaha (business continuity).
8.
Business Continuity Plan (BCP) adalah kebijakan dan prosedur yang memuat rangkaian kegiatan yang terencana dan terkoordinir mengenai langkah-langkah pengurangan risiko, penanganan dampak gangguan/bencana dan proses pemulihan agar kegiatan operasional Bank dan pelayanan kepada nasabah tetap dapat berjalan.
9.
Pemrosesan Transaksi Berbasis Teknologi adalah kegiatan berupa penambahan, perubahan, penghapusan, dan/atau otorisasi data yang dilakukan pada sistem aplikasi yang digunakan untuk memproses transaksi.
10.
Komisaris :
a.
bagi Bank berbentuk hukum perseroan terbatas adalah dewan komisaris sebagaimana dimaksud dalam Pasal 1 angka 6 Undang-Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas;
b.
bagi Bank berbentuk hukum perusahaan daerah adalah pengawas sebagaimana dimaksud dalam Pasal 19 Undang-Undang Nomor 5 Tahun 1962 tentang Perusahaan Daerah;
c.
bagi Bank berbentuk hukum koperasi adalah pengawas sebagaimana dimaksud dalam Pasal 38 Undang-Undang Nomor 25 Tahun 1992 tentang Perkoperasian;
d.
bagi kantor cabang bank asing adalah pejabat yang ditunjuk kantor pusat bank asing untuk melakukan fungsi pengawasan.
11.
Direksi:
a.
bagi Bank berbentuk hukum perseroan terbatas adalah direksi sebagaimana dimaksud dalam Pasal 1 angka 5 Undang-Undang Nomor 40 Tahun 2007 tentang Perseroan Terbatas;
b.
bagi Bank berbentuk hukum perusahaan daerah adalah direksi sebagaimana dimaksud dalam Undang Nomor 5 Tahun 1962 tentang Perusahaan Daerah;
c.
bagi Bank berbentuk hukum koperasi adalah pengurus sebagaimana dimaksud dalam Pasal 29 Undang-Undang Nomor 25 Tahun 1992 tentang Perkoperasian;
d.
bagi kantor cabang bank asing adalah pimpinan kantor cabang bank asing.
Pasal 2
(1)
Bank wajib menerapkan manajemen risiko secara efektif dalam penggunaan Teknologi Informasi.
(2)
Penerapan manajemen risiko sebagaimana dimaksud pada ayat (1) paling kurang mencakup:
a.
pengawasan aktif dewan Komisaris dan Direksi;
b.
kecukupan kebijakan dan prosedur penggunaan Teknologi Informasi;
c.
kecukupan proses identifikasi, pengukuran, pemantauan dan pengendalian risiko penggunaan Teknologi Informasi; dan
d.
sistem pengendalian intern atas penggunaan Teknologi Informasi.
(3)
Penerapan manajemen risiko harus dilakukan secara terintegrasi dalam setiap tahapan penggunaan Teknologi Informasi sejak proses perencanaan, pengadaan, pengembangan, operasional, pemeliharaan hingga penghentian dan penghapusan sumber daya Teknologi Informasi.
Pasal 3
Penerapan manajemen risiko dalam penggunaan Teknologi Informasi oleh Bank sebagaimana dimaksud dalam wajib disesuaikan dengan tujuan, kebijakan usaha, ukuran dan kompleksitas usaha Bank.
Pasal 4
Bank wajib menetapkan wewenang dan tanggung jawab yang jelas pada setiap jenjang jabatan yang terkait dengan penggunaan Teknologi Informasi.
Pasal 5
Wewenang dan tanggung jawab sebagaimana dimaksud dalam bagi dewan Komisaris paling kurang mencakup:
a.
mengarahkan, memantau dan mengevaluasi Rencana Strategis Teknologi Informasi dan kebijakan Bank terkait penggunaan Teknologi Informasi;
b.
mengevaluasi pertanggungjawaban Direksi atas penerapan manajemen risiko dalam penggunaan Teknologi Informasi.
Pasal 6
Wewenang dan tanggung jawab sebagaimana dimaksud dalam bagi Direksi paling kurang mencakup:
a.
menetapkan Rencana Strategis Teknologi Informasi dan kebijakan Bank terkait penggunaan Teknologi Informasi;
b.
memastikan bahwa :
1.
Teknologi Informasi yang digunakan Bank dapat mendukung perkembangan usaha, pencapaian tujuan bisnis Bank dan kelangsungan pelayanan kepada nasabah;
2.
terdapat upaya peningkatan kompetensi sumber daya manusia yang terkait dengan penggunaan Teknologi Informasi;
3.
penerapan proses manajemen risiko dalam penggunaan Teknologi Informasi dilaksanakan secara memadai dan efektif;
4.
tersedianya kebijakan dan prosedur Teknologi Informasi yang memadai dan dikomunikasikan serta diterapkan secara efektif baik pada satuan kerja penyelenggara maupun pengguna Teknologi Informasi;
5.
terdapat sistem pengukuran kinerja proses penyelenggaraan Teknologi Informasi yang paling kurang dapat:
a)
mendukung proses pemantauan terhadap implementasi strategi;
b)
mendukung penyelesaian proyek;
c)
mengoptimalkan pendayagunaan sumber daya manusia dan investasi pada infrastruktur;
d)
meningkatkan kinerja proses penyelenggaraan Teknologi Informasi dan kualitas layanan penyampaian hasil proses kepada pengguna.
Pasal 7
(1)
Bank wajib memiliki Komite Pengarah Teknologi Informasi (Information Technology Steering Committe).
(2)
Komite Pengarah Teknologi Informasi sebagaimana dimaksud pada ayat (1) bertanggung jawab memberikan rekomendasi kepada Direksi yang paling kurang terkait dengan:
a.
Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) yang searah dengan rencana strategis kegiatan usaha Bank;
b.
kesesuaian proyek-proyek Teknologi Informasi yang disetujui dengan Rencana Strategis Teknologi Informasi;
c.
kesesuaian antara pelaksanaan proyek-proyek Teknologi Informasi dengan rencana proyek yang disepakati (project charter);
d.
kesesuaian Teknologi Informasi dengan kebutuhan sistem informasi manajemen dan kebutuhan kegiatan usaha Bank;
e.
efektivitas langkah-langkah meminimalkan risiko atas investasi Bank pada sektor Teknologi Informasi agar investasi tersebut memberikan kontribusi terhadap tercapainya tujuan bisnis Bank;
f.
pemantauan atas kinerja Teknologi Informasi dan upaya peningkatannya;
g.
upaya penyelesaian berbagai masalah terkait Teknologi Informasi, yang tidak dapat diselesaikan oleh satuan kerja pengguna dan penyelenggara, secara efektif, efisien dan tepat waktu.
(3)
Komite Pengarah Teknologi Informasi sebagaimana dimaksud pada ayat (1) paling kurang beranggotakan:
a.
direktur yang membawahi satuan kerja Teknologi Informasi;
b.
direktur yang membawahi satuan kerja Manajemen Risiko;
c.
pejabat tertinggi yang membawahi satuan kerja penyelenggara Teknologi Informasi;
d.
pejabat tertinggi yang membawahi satuan kerja pengguna utama Teknologi Informasi.
Pasal 8
(1)
Bank wajib memiliki kebijakan dan prosedur penggunaan Teknologi Informasi sebagaimana dimaksud dalam ayat (2) huruf b.
(2)
Kebijakan dan prosedur penggunaan Teknologi Informasi paling kurang meliputi aspek-aspek sebagai berikut:
a.
Manajemen;
b.
Pengembangan dan pengadaan; с. Operasional Teknologi Informasi;
d.
Jaringan komunikasi;
e.
Pengamanan informasi;
f.
Business Continuity Plan;
g.
End user computing;
h.
Electronic Banking; dan
i.
Penggunaan pihak penyedia jasa Teknologi Informasi.
(3)
Bank wajib menetapkan limit risiko yang dapat ditoleransi untuk dapat memastikan aspek-aspek terkait Teknologi Informasi sebagaimana dimaksud pada ayat (2) dapat berjalan dengan optimal.
Pasal 9
(1)
Bank wajib memiliki Rencana Strategis Teknologi Informasi (Information Technology Strategic Plan) yang mendukung rencana strategis kegiatan usaha Bank.
(2)
Rencana Strategis Teknologi Informasi sebagaimana dimaksud pada ayat (1) dijabarkan dalam Rencana Bisnis Bank.
Pasal 10
(1)
Bank wajib melakukan proses manajemen risiko yang mencakup identifikasi, pengukuran, pemantauan dan pengendalian atas risiko terkait penggunaan Teknologi Informasi.
Akses Terbatas
Anda melihat 10 dari 32 pasal. Masuk untuk akses penuh.