Defisiensi Governance dan Struktur Organisasi
Salah satu kategori temuan yang paling sering ditemukan BI adalah defisiensi dalam governance structure dan processes. Temuan umum dalam kategori ini meliputi: missing board-level policies atau board policies yang tidak comprehensive dan tidak di-update secara berkala. Misalnya, beberapa PJP memiliki risk management policy yang hanya high-level dan tidak detail tentang risk approval authorities, risk reporting procedures, atau escalation mechanisms. Akibatnya, risk decisions di-make secara ad-hoc tanpa framework yang jelas.
Temuan lain adalah inactive atau ineffective risk committee yang seharusnya memberikan oversight terhadap risk management tetapi hanya meet occasionally atau tidak memiliki detailed risk agenda. Beberapa PJP juga memiliki separation of duties yang tidak jelas, misalnya same person bertanggung jawab untuk approval dan execution dari transaksi tertentu, atau Compliance Officer melapor langsung kepada CEO tanpa independence yang cukup. Akar masalah umumnya adalah bahwa PJP yang baru established atau PJP yang pertama kali mengalami formal examination belum memahami depth dan breadth dari governance requirements yang diharapkan oleh regulator.
Langkah remediation yang efektif untuk defisiensi governance: (1) Develop comprehensive set of board-level policies yang cover semua aspek dari PJP operations, dengan clarity tentang roles, responsibilities, dan approval authorities; (2) Establish independent risk committee dan audit committee dengan clear charter, meeting schedules, dan agenda items; (3) Review organizational structure untuk memastikan clear separation of duties dan adequate independence bagi critical functions seperti compliance dan internal audit; (4) Document decision-making processes dan maintain records dari board approvals dan risk committee deliberations.
| KONSEP KUNCI | Governance deficiencies sering menjadi root cause dari temuan-temuan di area lain (compliance, risk management, operations). Memperkuat governance adalah investasi yang payoff-nya akan terlihat dalam reduction dari berbagai operational dan compliance issues di seluruh organizational units. |
Gap dalam IT Governance dan Architecture
Temuan IT governance yang sering ditemukan meliputi: undocumented IT architecture, di mana PJP tidak memiliki clear technical documentation tentang systems, applications, dan infrastructure yang digunakan. Hal ini membuat sulit bagi BI untuk memahami technology risks dan juga membuat remediation sulit ketika issue teridentifikasi. Temuan lain adalah missing atau inadequate IT capacity planning dan IT security assessment. Beberapa PJP melakukan penetration testing atau vulnerability assessment hanya sekali dalam jangka waktu yang lama, atau hasil dari assessment tidak di-track secara proper dan remediation berjalan lambat.
Akar masalah umumnya adalah bahwa PJP menganggap IT sebagai support function dan tidak memberikan sufficient resources atau attention kepada IT governance. PJP juga seringkali tidak memiliki dedicated Chief Technology Officer atau IT Security Officer dengan adequate authority. Akibatnya, IT decisions di-make berdasarkan operational needs saja tanpa proper risk assessment.
Langkah remediation: (1) Develop comprehensive IT architecture documentation yang describes systems, applications, data flows, dan security controls. Hire atau designate someone untuk own this documentation and maintain it secara updated; (2) Implement IT security assessment program yang includes regular penetration testing, vulnerability scanning, dan code review untuk development changes; (3) Establish IT governance committee yang reviews IT risks, IT budget, dan IT security incidents; (4) Create IT capacity plan yang projects future resource needs berdasarkan business growth forecast.
| Kategori Finding | Specific Examples | Root Cause Umum | Quick Fix Actions |
|---|---|---|---|
| Governance Gaps | No board risk policy, inactive risk committee, unclear approval authorities | Immature org structure, rapid growth without proper governance setup | Develop/update policies, establish committees, document decision processes |
| IT/Security Gaps | Undocumented system architecture, no recent pen test, inadequate access controls | Insufficient IT resources, IT not seen as strategic, no dedicated CISO | Document architecture, conduct pen test, implement access control review |
| Float Management Gaps | Float not daily reconciled, float investments not documented, commingling with operations | Weak operational control, misunderstanding of float protection requirement | Implement daily reconciliation, document all float placements, strict segregation |
| Complaint Handling Gaps | Complaints not tracked in log, resolution beyond timeline, no escalation path | Decentralized handling, lack of standardized procedures, resource constraints | Create centralized complaint log, implement SLA tracking, define escalation |
| AML/CFT Gaps | KYC documents incomplete, STRs not filed timely, missing transaction monitoring | Understaffed compliance, complex KYC process, system limitations | Complete KYC review, file pending STRs, enhance monitoring tools |
| BCM/DRP Gaps | No written DRP, untested recovery procedures, unclear recovery time objectives | BCM seen as compliance exercise, not operational necessity, no testing budget | Document DRP, conduct tabletop and live tests, define RTOs |
Pelanggaran Float Management dan Kebijakan Investasi
Manajemen dana nasabah (float) adalah area yang sangat penting karena directly affects consumer protection. Temuan umum dalam float management meliputi: float yang tidak direconcile secara regular (e.g., tidak daily reconciliation sebagaimana required), float yang di-invest dalam instrumen yang tidak sesuai dengan regulasi atau dengan return profile yang terlalu risky, dan commingling antara float dengan operating capital PJP sehingga sulit untuk track posisi float secara akurat.
Akar masalah sering adalah bahwa PJP memandang float management sebagai "nice to have" operational best practice daripada sebagai mandatory regulatory requirement. Beberapa PJP juga percaya bahwa mereka dapat generate additional income dengan menempatkan float dalam instrumen berisiko tinggi, tidak menyadari bahwa regulasi membatasi float investments untuk memastikan capital preservation. Akibatnya, apabila pasar turun atau instrumen bermasalah, float dapat mengalami loss yang tidak dapat diganti.
Remediation steps: (1) Implement daily float reconciliation dengan clear documentation dari beginning balance, inflows (customer deposits, payments), outflows (customer withdrawals, payments), dan ending balance. Reconciliation ini harus di-verify oleh independent second party sebelum approval; (2) Strictly comply dengan float investment policy yang ditetapkan dalam PJP own governance, dengan placements hanya dalam low-risk instrumen seperti bank deposits, government securities, atau highly-rated corporate bonds; (3) Maintain segregated accounting untuk float dengan clear separation dari operating funds. Maintain float liability di balance sheet dan verify regularly bahwa asset-side float investments fully cover liability.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
Kegagalan dalam Penanganan Keluhan dan Perlindungan Konsumen
Temuan dalam complaint handling sering mencakup: complaints yang tidak di-track dalam centralized complaint log, sehingga sulit untuk manage dan analyze complaint trends; complaint resolution yang melampaui regulatory timeline (e.g., PBI 23/2021 mensyaratkan resolution dalam jangka waktu tertentu), terutama untuk complaints yang memerlukan investigation lebih mendalam; dan absence dari clear escalation procedures untuk complaints yang kompleks atau high-value.
Akar masalah umumnya adalah bahwa PJP menangani complaints secara decentralized di berbagai units (customer service, operations, fraud team) tanpa centralized tracking dan coordination. Akibatnya, complaint status tidak tervisible, dan timeliness requirements tidak tercapai. Beberapa PJP juga memiliki insufficient staff atau training untuk handling complaints dengan proper investigation dan documentation.
Remediation: (1) Establish centralized complaint intake dan logging system dengan unique tracking ID untuk setiap complaint. Implement SLA untuk acknowledge receipt dan untuk resolve based on complexity; (2) Develop complaint categorization framework untuk routing complaints ke proper department dengan clear responsibility assignment; (3) Implement complaints resolution tracking dengan regular status updates dan escalation untuk overdue items; (4) Conduct root cause analysis untuk complaint trends dan implement preventive actions untuk mengurangi complaint volume di future.
Ketentuan Kontrol Keamanan dan Incident Management Gaps
Temuan keamanan yang umum meliputi: missing atau inadequate access control terhadap payment systems dan customer data (e.g., tidak ada segregation antara development, testing, dan production environments; atau admin privileges diberikan secara over-broad); unresolved security vulnerabilities dari prior penetration testing atau vulnerability assessment; dan incomplete atau untested incident response procedures untuk cyber security incidents.
Akar masalah umumnya adalah bahwa PJP considers IT security sebagai cost center daripada business enabler, dan sehingga security improvements di-defer atau di-minimize untuk menghemat costs. Beberapa PJP juga memiliki outdated atau limited IT infrastructure yang mempersulit implementation dari security best practices modern.
Remediation: (1) Conduct comprehensive security architecture review dan identify gaps dalam access controls, encryption, monitoring, dan incident response; (2) Prioritize dan remediate identified vulnerabilities dengan timeline yang aggressive, especially untuk critical vulnerabilities; (3) Implement regular security training untuk staff untuk increase awareness tentang security risks dan proper security procedures; (4) Develop dan test incident response procedures dengan tabletop exercises dan, apabila possible, live drills.
| WAWASAN BITLION | Mayoritas dari BI examination findings adalah preventable melalui proper governance, robust internal controls, dan proactive self-assessment. PJP yang conduct regular internal audits dan engage external advisors untuk gaps identification dan remediation typically menghadapi fewer examination findings dan lebih smooth examinations daripada PJP yang tidak. |
Keterlambatan Pelaporan dan Kelengkapan Data
Temuan sederhana tetapi sering adalah: late submission dari regulatory reports yang seharusnya disampaikan dalam timeline yang ditetapkan, misalnya monthly compliance reports atau quarterly financial reports; incomplete atau inaccurate data dalam reports yang disampaikan, yang membuat BI unable untuk conduct proper analysis; dan inconsistency antara data yang disampaikan dalam different reports untuk same metrics.
Akor masalah umumnya adalah: PJP memiliki resource constraints di finance atau compliance function dan tidak mampu meet multiple reporting deadlines; atau PJP memiliki system yang tidak terintegrasi sehingga manual compilation dari data dari multiple sources rentan terhadap errors dan delays. Dalam beberapa kasus, PJP tidak memahami importance dari timely dan accurate reporting dan menganggapnya sebagai administratif exercise.
Remediation: (1) Implement automated reporting systems yang dapat generate regulatory reports directly dari operational data with minimal manual intervention; (2) Develop data quality frameworks dengan data validation checks dan reconciliation procedures; (3) Establish reporting calendars dengan clear timelines, responsible parties, dan approval workflows; (4) Conduct periodic reviews dari reported data versus actual operational data untuk identify discrepancies early dan resolve bersama BI sebelum formal examination.