Pendekatan Pengawasan Berbasis Risiko
Bank Indonesia menerapkan pendekatan pengawasan berbasis risiko (Risk-Based Supervision/RBS) terhadap semua Penyedia Jasa Pembayaran yang terdaftar di bawah PBI 23/2021. Pendekatan ini dirancang untuk mengalokasikan sumber daya pengawasan secara efisien dengan fokus pada risiko yang paling material bagi stabilitas sistem pembayaran. Setiap PJP dievaluasi berdasarkan profil risiko uniknya, yang mencakup kompleksitas operasional, skala transaksi, jangkauan layanan, dan kualitas governance.
Intensitas pengawasan ditentukan oleh kategori PJP yang ditentukan dalam PBI 23/2021. Penyedia Jasa Pembayaran Lintas Negara (PJPLN) dan Penyelenggara Teknologi Finansial Pembayaran (Fintech), sebagai PJP dengan risiko lebih tinggi, mendapatkan pengawasan lebih intensif dibandingkan PJP tradisional. Bank Indonesia menggunakan matriks risiko multi-dimensi untuk mengevaluasi tiga pilar utama pengawasan: off-site monitoring, on-site examination, dan market intelligence.
| KONSEP KUNCI | Pengawasan berbasis risiko adalah pendekatan yang menyesuaikan intensitas dan metode pengawasan dengan profil risiko spesifik setiap PJP. Hal ini memungkinkan Bank Indonesia untuk memberikan perhatian prioritas pada entitas dengan eksposur risiko tertinggi, sambil mempertahankan standar compliance di seluruh industri pembayaran. |
Unit Organisasi dan Tanggung Jawab Pengawasan
Pengawasan terhadap Penyedia Jasa Pembayaran berada di bawah tanggung jawab Departemen Kebijakan Sistem Pembayaran (DKSP), yang merupakan unit khusus di Bank Indonesia yang berfokus pada pengembangan dan implementasi kebijakan sistem pembayaran. DKSP memiliki sub-unit spesialisasi untuk berbagai kategori PJP, memastikan keahlian teknis dalam mengawasi operasi pembayaran yang kompleks. Struktur organisasi ini memfasilitasi koordinasi yang efektif antara fungsi pengawasan (prudential supervision), compliance monitoring, dan consumer protection.
Selain DKSP, Bank Indonesia berkoordinasi dengan unit-unit lain seperti Departemen Stabilitas Sistem Pembayaran untuk memastikan pengawasan holistik terhadap risiko sistemik dalam sistem pembayaran. Koordinasi lintas departemen sangat penting mengingat semakin kompleksnya ekosistem fintech dan interconnectedness antara berbagai PJP. Bank Indonesia juga menjalin koordinasi regulasi dengan Otoritas Jasa Keuangan (OJK) untuk PJP yang beroperasi di perbatasan antara pembayaran dan layanan keuangan terkoneksi (seperti e-wallet yang terintegrasi dengan pembiayaan).
| Kategori PJP | Intensitas Pengawasan | Frekuensi On-Site |
|---|---|---|
| Penyelenggara Inti Pembayaran (PIP) | Sangat Tinggi | Tahunan atau lebih |
| Institusi Pembayaran (IP) | Tinggi | Dua tahun sekali |
| Institusi Keuangan Tanpa Bank (IKBT) | Sedang-Tinggi | Tiga tahun sekali |
| Institusi Utama Pembayaran Kecil (IUPK) | Sedang | Empat tahun atau sesuai temuan |
| Penyelenggara Teknologi Finansial (Fintech) | Tinggi-Sangat Tinggi | Tahunan atau sesuai risiko |
| Penyelenggara Dompet Elektronik | Sedang | Dua hingga empat tahun sekali |
Tiga Pilar Pengawasan BI
Pengawasan BI terhadap PJP dibangun atas tiga pilar fundamental. Pertama, off-site monitoring melibatkan analisis data berkala yang disampaikan oleh PJP melalui laporan konsolidasi dan laporan khusus. Laporan ini mencakup laporan keuangan, laporan risiko operasional, laporan compliance, dan laporan incident. Tim BI melakukan analisa mendalam terhadap tren dan indikator kunci untuk mengidentifikasi potensi risiko sebelum berkembang menjadi masalah yang lebih serius.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
Kedua, on-site examination adalah pemeriksaan langsung yang dilakukan oleh tim examiner BI ke lokasi PJP. Pemeriksaan ini memungkinkan BI untuk mengevaluasi kualitas governance, kecukupan sistem dan prosedur, kepatuhan terhadap regulasi, dan implementasi kontrol internal. On-site examination juga menjadi kesempatan bagi BI untuk melakukan stress testing dan penetration testing terhadap sistem teknologi PJP. Ketiga, market intelligence mengumpulkan informasi dari sumber eksternal termasuk media massa, laporan dari pihak ketiga, keluhan konsumen, dan informasi dari koordinasi dengan regulator lain. Intelligence ini membantu BI untuk memahami persepsi pasar, reputasi PJP, dan emerging risks yang mungkin tidak terlihat dari data internal PJP.
| PENTING | Ketiga pilar pengawasan (off-site, on-site, market intelligence) bekerja secara sinergis untuk memberikan gambaran komprehensif tentang profil risiko PJP. Defisiensi di satu pilar dapat dikompensasi dengan kekuatan di pilar lain, namun kombinasi ketiganya memberikan tingkat kepercayaan tertinggi terhadap efektivitas pengawasan. |
Siklus Hidup Pengawasan: Dari Lisensi hingga Revokasi
Siklus pengawasan PJP dimulai dari proses perizinan dan berlanjut sepanjang masa operasional PJP hingga berakhir dengan pencabutan izin (revocation). Pada tahap awal (fase lisensi), BI melakukan due diligence komprehensif terhadap calon PJP untuk memastikan bahwa entitas memiliki sumber daya manusia, teknologi, dan governance yang memadai. Setelah lisensi diterbitkan, PJP memasuki fase operasional di mana pengawasan regular dimulai.
Selama fase operasional, intensity pengawasan dapat meningkat jika BI mengidentifikasi area concern tertentu, seperti violation dalam compliance atau incident keamanan siber. Eskalasi pengawasan dapat mencakup peningkatan frekuensi on-site examination, penerbitan targeted examination letter, dan penetapan corrective action plans (CAP) yang lebih ketat. Apabila PJP terus melakukan pelanggaran serius atau mengalami kegagalan dalam remediation temuan, BI dapat memberikan administrative sanctions mulai dari written warning, denda administratif, pembatasan aktivitas, hingga pada tingkat ekstrem: suspensi lisensi atau revokasi izin operasional. Revokasi adalah pengambilan keputusan terakhir yang biasanya dilakukan apabila remediation efforts telah exhausted dan risiko yang ditimbulkan PJP terhadap sistem pembayaran atau konsumen melebihi toleransi regulator.
| Fase Siklus | Aktivitas Utama BI | Status Compliance PJP |
|---|---|---|
| Pre-Lisensi | Due diligence, verifikasi dokumen, stress test awal | Belum beroperasi; persiapan implementasi |
| Fase Operasional Normal | Off-site monitoring berkala, on-site exam rutin | Compliant, laporan tepat waktu, no major findings |
| Fase Alert/Concern | Increased on-site frequency, targeted examination | Minor findings, late reporting, atau operational issues |
| Fase Remedial | Corrective action plan monitoring, escalated oversight | Material findings, risk mitigation in progress |
| Fase Enforcement | Administrative sanctions, publication of violations | Serious breach, repeat violations, or safety concerns |
| Fase Lisensi Akhir | Revocation proceeding, wind-down supervision | Non-compliant beyond remedy, or systemic risk |
Mekanisme Pelaporan sebagai Fondasi Pengawasan
Sistem pelaporan adalah tulang punggung pengawasan BI terhadap PJP. PBI 23/2021 menetapkan kewajiban pelaporan yang komprehensif dan berbeda-beda tergantung kategori PJP. Pelaporan berkala (periodic reporting) meliputi laporan bulanan, triwulanan, atau tahunan yang mencakup data keuangan, data operasional, dan data risiko. Laporan spesial (special reporting) diwajibkan untuk event-event tertentu seperti incident keamanan siber, kegagalan sistem, atau perubahan material dalam struktur kepemilikan atau governance.
Mekanisme pelaporan ini dirancang untuk memberikan early warning terhadap emerging risks. Laporan keuangan memungkinkan BI untuk memonitor kesehatan finansial PJP dan kecukupan modal. Laporan operasional memberikan insights tentang volume transaksi, pertumbuhan user base, dan composition dari revenue streams. Laporan compliance menunjukkan tingkat kepatuhan PJP terhadap regulations dan berisi informasi tentang infractions atau deviations yang teridentifikasi oleh fungsi compliance internal PJP. Laporan incident melaporkan kejadian-kejadian adverse seperti fraud, cyber attack, system downtime, atau customer complaints.