Fondasi Tata Kelola Baik (Good Corporate Governance) dalam PSP
Pasal 102 dan 103 PBI 10/2025 menetapkan bahwa setiap Penyelenggara Sistem Pembayaran (PSP) dan Peserta wajib menerapkan prinsip tata kelola yang baik (Good Corporate Governance — GCG) dan manajemen risiko yang sesuai dengan tujuan, jenis aktivitas, ukuran, dan kompleksitas usaha mereka, dengan mempertimbangkan aspek TIKMI (Transaksi, Interkoneksi, Kompetensi, Manajemen Risiko, dan Infrastruktur TI).
Dalam konteks regulasi sektor keuangan Indonesia, GCG bukan sekadar best practice opsional — ia merupakan persyaratan hukum yang mengikat. Pasal 103 ayat 2 PBI 10/2025 secara eksplisit menetapkan lima prinsip GCG minimum yang harus diterapkan oleh setiap PSP:
| KONSEP KUNCI | Lima prinsip GCG adalah dasar konstitusional tata kelola PSP: (1) Keterbukaan (transparency) — komunikasi terbuka kepada stakeholder dan kepatuhan informasi; (2) Akuntabilitas — kejelasan peran, tugas, dan tanggung jawab setiap fungsi; (3) Tanggung Jawab — kepemilikan penuh atas keputusan dan implementasi; (4) Independensi — kebebasan dari konflik kepentingan dalam pengambilan keputusan; (5) Kewajaran — perlakuan adil terhadap semua stakeholder. |
Lima Prinsip GCG: Definisi dan Penerapan Praktis untuk PSP
Setiap prinsip bukan abstraksi konseptual, tetapi dirancang untuk memiliki implikasi praktis operasional dalam konteks PSP. Berikut adalah pemetaan lengkap lima prinsip beserta interpretasi untuk ekosistem pembayaran:
| Prinsip GCG | Definisi Inti | Penerapan Praktis untuk PSP | Indikator Kepatuhan |
|---|---|---|---|
| Keterbukaan (Transparency) | Penyediaan informasi material kepada stakeholder dengan cara yang akurat, tepat waktu, dan dapat diverifikasi | Disklosure berkala kepada BI tentang transaksi, peserta, infrastruktur; komunikasi jelas kepada peserta tentang SLA dan perubahan layanan | Laporan keuangan tepat waktu; pemberitahuan peserta ≤2 hari sebelum change; audit keuangan tahunan |
| Akuntabilitas (Accountability) | Kejelasan peran, wewenang, dan tanggung jawab setiap struktur organisasi dan organ pengelola | Ketersediaan uraian tugas (job description) tertulis; pemisahan fungsi antara eksekutif, pengawas, compliance, dan audit; laporan manajemen risiko kepada dewan komisaris secara berkala | Dokumentasi kebijakan tata kelola; matriks RACI untuk proses kritikal; dokumentasi laporan internal compliance dan audit |
| Tanggung Jawab (Accountability for Actions) | Kepemilikan penuh atas keputusan, tindakan, dan konsekuensinya; tidak ada pengaburan tanggung jawab | Direksi bertanggung jawab atas kebijakan strategi dan kepatuhan; dewan komisaris melakukan oversight; fungsi GRC melaporkan temuan secara mandiri kepada komite audit | Notulen rapat dewan dan komite; dokumentasi analisis risiko sebelum keputusan material; bukti tindakan perbaikan atas temuan audit |
| Independensi (Independence) | Kebebasan dari tekanan atau konflik kepentingan dalam pengambilan keputusan; khususnya untuk fungsi oversight, audit, dan kepatuhan | Direksi dan komisaris tidak memiliki saham atau hubungan bisnis dengan peserta atau kompetitor; fungsi audit internal melaporkan kepada komite audit, bukan kepada eksekutif; KPO (Kepala Pengawas Operasional) atau sejenisnya independen dari line of business | SK independensi personel audit; pernyataan ketiadaan konflik kepentingan; struktur pelaporan audit ke level dewan |
| Kewajaran (Fairness) | Perlakuan adil dan seimbang terhadap semua stakeholder (peserta, regulator, pemilik, pegawai, masyarakat) | Penerapan rule yang sama terhadap semua peserta dalam hal SLA, fee, akses infrastruktur; tidak ada diskriminasi atau preferensi tanpa dasar objektif; mekanisme keluhan peserta yang transparan dan independen | Dokumen kebijakan non-diskriminasi; laporan keluhan peserta dan penyelesaiannya; audit kepatuhan terhadap SLA |
Implementasi Minimum GCG: Delapan Elemen Wajib
Pasal 103 ayat 3 PBI 10/2025 menetapkan bahwa implementasi GCG dilaksanakan minimum melalui delapan elemen berikut. Ini bukan pilihan atau rekomendasi — setiap elemen adalah persyaratan regulasi yang tidak dapat dikurangi:
(a) Legalitas Badan Hukum
PSP harus memiliki badan hukum yang sah berdasarkan hukum Indonesia. Untuk PJP (Penyedia Jasa Pembayaran), umumnya PT atau organisasi sejenisnya yang telah memperoleh izin BI. Bukti legalitas mencakup Akta Pendirian, SK Menkumham, NPWP, dan izin khusus BI.
(b) Kebijakan dan Prosedur Tertulis
Seluruh proses material — dari izin peserta baru, hingga manajemen risiko operasional, keamanan siber, hingga penanganan insiden — harus terdokumentasi dalam bentuk kebijakan dan prosedur tertulis yang jelas. Dokumentasi ini harus tersedia untuk audit internal, audit eksternal, dan pemeriksaan BI.
(c) Pelaksanaan Tugas Direksi dan Dewan Komisaris
Direksi wajib menjalankan tugas-tugas strategis: menetapkan visi-misi, rencana bisnis, kebijakan manajemen risiko, dan pengawasan operasional. Dewan Komisaris melakukan pengawasan (oversight) terhadap direksi dan laporan keuangan. Pemisahan peran ini harus jelas dan diterapkan konsisten.
(d) Fungsi Kepatuhan dan Audit
PSP wajib memiliki fungsi compliance (atau Kelompok Kerja Kepatuhan Regulasi) yang mandiri dan melaporkan kepada dewan komisaris atau komite khusus. Demikian pula, fungsi audit internal (atau tim pemeriksaan internal) harus independen dari lini bisnis dan melaporkan temuan secara berkala kepada komite audit.
(e) Rencana Strategis atau Bisnis
PSP wajib memiliki rencana bisnis jangka panjang (strategis) dan rencana operasional jangka pendek (SBP dan RBSP per Pasal 22) yang disampaikan kepada BI. Rencana ini harus mencakup target bisnis, strategi pertumbuhan, manajemen risiko, dan alokasi sumber daya.
(f) Laporan Keuangan
PSP wajib menyusun laporan keuangan yang akurat, lengkap, dan diaudit oleh auditor eksternal independen. Laporan keuangan diterbitkan secara berkala (kuartalan dan tahunan) dan mematuhi standar akuntansi berlaku (SAK).
(g) Pemenuhan Ketentuan Perundang-undangan
PSP wajib memastikan seluruh aktivitas, struktur, dan proses mematuhi peraturan perundang-undangan yang berlaku: PBI 10/2025, undang-undang sektor keuangan (UU P2SK), UU Transfer Dana, UU PDP (perlindungan data pribadi), UU AMLA (anti-money laundering), dan lainnya.
(h) Kewajiban Lain yang Ditetapkan Regulasi
Daftar delapan elemen ini bersifat non-exhaustive. Regulasi dapat menetapkan kewajiban tambahan melalui PADG (Peraturan Anggota Dewan Gubernur) maupun pengawasan khusus BI.
| PENTING | Delapan elemen implementasi minimum bukan pemeriksaan kotak (check-box) yang dapat diselesaikan sekali selamanya. Implementasi GCG adalah proses berkelanjutan: kebijakan harus diperbarui seiring perubahan regulasi dan risiko; prosedur harus diuji keandalannya melalui audit; dan kepatuhan terhadap elemen-elemen ini harus dimonitor secara berkala. Kegagalan mempertahankan implementasi minimum dapat menjadi dasar pencabutan izin (Pasal 169). |
Prinsip Proporsionalitas: GCG Disesuaikan Ukuran dan Kompleksitas
Pasal 102 menyebutkan bahwa penerapan GCG dan manajemen risiko harus "mempertimbangkan tujuan dan jenis aktivitas, ukuran dan kompleksitas usaha, serta aspek TIKMI". Ini berarti tidak ada model GCG one-size-fits-all untuk semua PSP. Pendekatan proporsional adalah kunci.
Proporsionalitas didasarkan pada klasifikasi PSP yang ditetapkan melalui penilaian TIKMI:
| Klasifikasi PSP | Ciri Karakteristik | Ekspektasi Implementasi GCG |
|---|---|---|
| PSP Utama Paket 1A (Sistemik) | Menyelenggarakan seluruh aktivitas pembayaran (inisiasi-otorisasi-kliring-setelmen) dengan transaksi sangat besar, interkoneksi luas, infrastruktur TI critical, tingkat kompleksitas maksimal | Struktur tata kelola paling ketat: dewan direksi + dewan komisaris (minimal 3 orang masing-masing); komite audit mandiri; fungsi compliance dan audit terpisah dengan kepala fungsi level setara direksi; risk committee; rencana bisnis detail dengan skenario stress; audit eksternal annual + audit internal berkala |
| PSP Utama Paket 1B (Sangat Penting) | Menyelenggarakan kliring dan setelmen atau aktivitas material lainnya; transaksi besar; interkoneksi signifikan; infrastruktur TI penting | Struktur tata kelola menengah: direksi + dewan komisaris; komite audit; fungsi compliance dan audit internal; rencana bisnis dan laporan risiko berkala; audit eksternal tahunan |
| PSP Selain Utama Paket 2 (Standar) | Menyelenggarakan inisiasi dan otorisasi tanpa kliring-setelmen; transaksi menengah; interkoneksi terbatas; infrastruktur TI standar | Struktur tata kelola sederhana: direksi + dewan komisaris (dapat gabung dengan pemilik); fungsi kepatuhan terintegrasi; audit internal minimal 1 orang independent; rencana bisnis sederhana; audit eksternal minimal setiap 2 tahun |
| PSP Selain Utama Paket 3 (Mikro) | Menyelenggarakan aktivitas pembayaran terbatas; transaksi kecil; interkoneksi minimal; infrastruktur TI sederhana | Struktur tata kelola minimum: pemilik/direksi + minimum 1 orang pengawas eksternal; dokumentasi kebijakan dan prosedur dasar; mekanisme keluhan peserta sederhana; review bulanan atas kepatuhan; audit eksternal dapat dilakukan per permintaan BI |
Tanggung Jawab PSP atas Tata Kelola Pihak Ketiga yang Bekerja Sama
Pasal 106 PBI 10/2025 menetapkan prinsip penting: PSP dan Peserta wajib memastikan dan bertanggung jawab atas penerapan GCG dan manajemen risiko oleh setiap pihak yang bekerja sama dengan PSP. Ini mencakup Penyelenggara Penunjang (vendor, cloud provider, fraud detector) dan mitra bisnis lainnya.
Implikasi praktis dari pasal ini adalah:
1. Due Diligence Sebelum Kerja Sama
PSP wajib melakukan uji tuntas (due diligence) menyeluruh sebelum menjalin kerja sama dengan pihak ketiga. Uji tuntas ini mencakup lima aspek: legalitas, kapabilitas manajemen risiko, kompleksitas kerjasama, muatan perjanjian, dan kepatuhan regulasi (lihat Artikel 3.6 untuk detail lengkap).
2. Inkorporasi Kewajiban ke Dalam Perjanjian
Setiap perjanjian kerja sama harus memuat klausula yang memaksa pihak ketiga menerapkan GCG dan manajemen risiko yang setara dengan standar PBI 10/2025. Untuk Penyelenggara Penunjang kritikal dan penting, perjanjian harus mencakup kewajiban tambahan seperti BCP, DRP, dan keamanan data.
3. Monitoring dan Evaluasi Berkelanjutan
PSP wajib melakukan monitoring-evaluasi berkelanjutan terhadap mitra untuk memastikan kepatuhan terhadap kewajiban yang disepakati. Jika ditemukan pelanggaran material, PSP harus segera mengambil tindakan korektif, termasuk ultimatum untuk perbaikan atau pengakhiran kerjasama.
Tanggung jawab ini tidak dapat didelegasikan sepenuhnya kepada pihak ketiga — PSP tetap memiliki akuntabilitas penuh kepada BI untuk seluruh risiko yang timbul dari aktivitas pihak ketiga.
| WAWASAN BITLION | Manajemen Penyelenggara Penunjang adalah tantangan tata kelola terbaru yang dihadapi PSP. Berbeda dengan era regulasi sebelumnya di mana vendor teknologi beroperasi di luar pengawasan langsung BI, PBI 10/2025 membuat vendor teknologi kritikal menjadi subjek pengawasan regulasi — dan PSP adalah gatekeeper pertama. Ini mengubah dinamika negosiasi kontrak dengan vendor: PSP kini harus mampu memaksakan standar GCG dan manajemen risiko yang setara dengan standar regulasi, bukan hanya berdasarkan kekuatan pasar atau kebutuhan operasional semata. |
Checklist Implementasi GCG: Panduan Aksi untuk PSP
Untuk membantu PSP dalam merencanakan dan melaksanakan implementasi GCG yang sesuai dengan Pasal 102-103, berikut adalah checklist praktis berdasarkan tingkat kompleksitas:
| Elemen GCG | PSP Utama (1A/1B) | PSP Standar (2) | PSP Mikro (3) |
|---|---|---|---|
| Struktur Tata Kelola Formal | Direksi + Dewan Komisaris terpisah; minimal 3 orang masing-masing | Direksi + Dewan Komisaris; dapat disesuaikan | Pemilik + minimal 1 pengawas eksternal |
| Komite Audit / Fungsi Audit Internal | Komite audit mandiri; audit internal full-time dengan kepala fungsi di level direksi | Komite audit atau person in charge audit; audit internal minimal part-time | Audit internal atau review eksternal berkala |
| Fungsi Kepatuhan (Compliance) | Kepala Kepatuhan level direksi; melaporkan ke dewan komisaris atau komite khusus; staf kepatuhan dedicated | Kepala Kepatuhan atau Kelompok Kerja Kepatuhan; melaporkan ke direksi | Person in charge kepatuhan; dapat part-time |
| Kebijakan Risiko dan BCP/DRP | Kebijakan detail untuk setiap jenis risiko; BCP dan DRP terstandar; tested minimal 6 bulan | Kebijakan inti untuk risiko utama; BCP dan DRP dasar; tested tahunan | Kebijakan dasar; BCP sederhana; dokumentasi minimal |
| Rencana Bisnis Strategis (SBP/RBSP) | Detail dengan skenario stress, analisis SWOT, dan proyeksi keuangan 3-5 tahun | Rencana dengan target yang jelas dan indikator kinerja | Rencana singkat namun terukur |
| Laporan Keuangan dan Audit Eksternal | Audit tahunan oleh firma terpercaya; laporan keuangan konsolidasi | Audit tahunan; laporan keuangan mandiri | Audit minimal setiap 2 tahun; laporan sederhana |
| Kepatuhan Regulasi: Tracking dan Reporting | Register regulasi; compliance calendar; monthly compliance report ke dewan | Register regulasi; annual compliance review | Checklist kepatuhan; reaktif terhadap permintaan BI |
| Program Whistleblowing dan Anti-Fraud | Program formal dengan perlindungan whistleblower; hotline eksternal; investigasi independen | Program whistleblowing sederhana; hotline internal; investigasi | Mekanisme keluhan dasar; dokumentasi temuan |