MODUL PEMBELAJARAN

Sistem Informasi Manajemen (SIM)

Pertemuan ke-13: Tata Kelola TI dan Regulasi Digital Perbankan Syariah

Program Studi: Perbankan Syariah — Fakultas Ekonomi dan Bisnis Islam
Institut: UIN K.H. Abdurrahman Wahid Pekalongan
Semester: IV (Empat) | SKS: 2 SKS
Bobot Pertemuan: 3%
Alokasi Waktu: 100 Menit (40 menit teori + 45 menit lab + 15 menit pengarahan proyek akhir)

🎯 CAPAIAN PEMBELAJARAN

Capaian Pembelajaran Lulusan (CPL) yang Dibebankan

Kode	Domain	Deskripsi
CPL-2	Pengetahuan	Menguasai konsep dan prinsip dasar sistem informasi manajemen serta penerapannya dalam pengambilan keputusan di lembaga keuangan syariah
CPL-3	Keterampilan Umum	Mampu menganalisis informasi secara kritis dan menggunakannya untuk memecahkan permasalahan manajerial di perbankan syariah
CPL-4	Keterampilan Khusus	Mampu mengoperasikan perangkat teknologi informasi dasar, mengolah data sederhana, serta mengevaluasi kinerja dan tata kelola sistem informasi di lembaga keuangan syariah sesuai regulasi OJK dan Bank Indonesia

Capaian Pembelajaran Mata Kuliah (CPMK)

CPMK-4: Mahasiswa mampu mengevaluasi perkembangan digitalisasi layanan perbankan syariah dan mengaitkannya dengan regulasi OJK/BI serta prinsip-prinsip syariah yang berlaku (C5 — Mengevaluasi)

Sub-CPMK Pertemuan Ini

Mahasiswa mampu menjelaskan konsep IT Governance (tata kelola TI) dan signifikansinya bagi bank syariah; mengidentifikasi lima domain COBIT sebagai kerangka internasional IT Governance yang relevan; menganalisis kewajiban-kewajiban bank berdasarkan POJK No. 38/POJK.03/2016 beserta implikasi praktisnya; mendeskripsikan proses compliance dan audit TI di perbankan; serta mengintegrasikan prinsip-prinsip Islam — terutama syura (musyawarah), mas'uliyyah (pertanggungjawaban), dan 'adalah (keadilan) — sebagai landasan etis tata kelola digital yang baik di bank syariah.

Indikator Ketercapaian

☐ Mahasiswa dapat mendefinisikan IT Governance dan membedakannya dari IT Management dengan contoh konkret di perbankan syariah
☐ Mahasiswa dapat menjelaskan tujuan utama IT Governance: value delivery, risk management, dan resource management
☐ Mahasiswa dapat mengidentifikasi lima domain COBIT 2019 dan mencontohkan satu aktivitas konkret per domain di bank syariah
☐ Mahasiswa dapat menganalisis minimal lima kewajiban utama bank berdasarkan POJK No. 38/POJK.03/2016 dan implikasi pelanggarannya
☐ Mahasiswa dapat menjelaskan siklus audit TI perbankan: siapa yang mengaudit, apa yang diaudit, bagaimana prosesnya, dan apa output-nya
☐ Mahasiswa dapat mengidentifikasi perbedaan antara IT Governance konvensional dan penambahan lapisan syariah yang unik bagi bank syariah (peran DPS, fatwa, dan audit syariah digital)
☐ Mahasiswa dapat mengaitkan prinsip syura, mas'uliyyah, 'adalah, dan amanah dengan praktik IT Governance yang baik

🔗 KAITAN DENGAN PERTEMUAN SEBELUMNYA DAN PEMBUKAAN BLOK 4

Blok 3 sudah selesai — Blok 4 dimulai hari ini. Selama empat pertemuan terakhir kita mendalami bagaimana seorang manajer bank syariah memanfaatkan informasi untuk pengambilan keputusan: Business Intelligence dan dashboard KPI untuk membaca kondisi bank (P9), CRM untuk mengenal dan melayani nasabah secara individual (P10), sistem early warning untuk mendeteksi risiko pembiayaan sebelum membesar (P11), dan evaluasi serta perencanaan pengembangan SIM (P12). Semua itu adalah ekosistem informasi yang saling menopang.

Namun ada pertanyaan mendasar yang belum terjawab: "Siapa yang memastikan semua sistem digital itu dijalankan dengan benar, bertanggung jawab, dan sesuai nilai?" Aplikasi mobile banking yang bagus, firewall yang kuat, dan strategi open banking yang ambisius — semua itu tidak ada artinya jika tidak ada tata kelola yang memastikan teknologi melayani tujuan yang benar dengan cara yang benar.

Itulah inti Blok 4 (Pertemuan 13–15): Tata Kelola dan Proyek Akhir. Pertemuan 13 membangun pemahaman tentang IT Governance — "sistem kemudi" yang mengarahkan seluruh TI bank syariah. Pemahaman ini sekaligus menjadi pengikat seluruh materi yang sudah dipelajari sejak Pertemuan 1.

Kaitan langsung dengan materi sebelumnya:

CBS dan infrastruktur TI (Pertemuan 3) → harus dikelola dengan kerangka IT Governance yang baik

DSS dan pengambilan keputusan (Pertemuan 7) → harus didukung data yang integritas dan tata kelolanya terjamin

Manajemen risiko berbasis informasi (Pertemuan 11) → adalah salah satu domain dalam IT Governance, bukan entitas terpisah

Evaluasi dan perencanaan SIM (Pertemuan 12) → harus dipandu oleh IT Governance agar investasi TI terarah dan terukur

🗺️ PETA KONSEP MATERI

PERTEMUAN 13 — TATA KELOLA TI DAN REGULASI DIGITAL PERBANKAN SYARIAH
│
├── A. IT GOVERNANCE: FONDASI AKUNTABILITAS DIGITAL
│   ├── Definisi dan perbedaan IT Governance vs IT Management
│   ├── Tiga tujuan utama IT Governance
│   ├── Mengapa bank syariah butuh IT Governance yang kuat
│   └── Konsekuensi IT Governance yang lemah: kasus nyata
│
├── B. COBIT 2019: KERANGKA INTERNASIONAL IT GOVERNANCE
│   ├── Apa itu COBIT dan siapa yang mengembangkannya?
│   ├── Lima domain COBIT dan relevansinya bagi bank syariah
│   ├── Tingkat kematangan (maturity level) IT Governance
│   └── Penerapan COBIT di perbankan syariah Indonesia
│
├── C. REGULASI TI PERBANKAN SYARIAH DI INDONESIA
│   ├── POJK No. 38/POJK.03/2016 — Manajemen Risiko TI (analisis mendalam)
│   ├── POJK No. 13/POJK.03/2020 — Pembaruan regulasi TI
│   ├── PBI No. 9/15/PBI/2007 — Standar minimum keamanan sistem
│   ├── Matriks regulasi TI perbankan syariah yang komprehensif
│   └── Sanksi dan konsekuensi ketidakpatuhan
│
├── D. COMPLIANCE DAN AUDIT TI DI BANK SYARIAH
│   ├── Compliance TI: definisi, ruang lingkup, dan proses
│   ├── Tiga jenis audit TI: internal, eksternal, dan OJK
│   ├── Siklus audit TI: perencanaan hingga tindak lanjut
│   ├── Pelaporan insiden TI kepada OJK: kewajiban dan batas waktu
│   └── Perbedaan audit TI di bank syariah vs bank konvensional
│
├── E. LAPISAN KHUSUS BANK SYARIAH: DPS DAN AUDIT SYARIAH DIGITAL
│   ├── Peran DPS dalam mengawasi tata kelola TI syariah
│   ├── Aspek apa yang perlu diaudit secara syariah dalam sistem digital?
│   └── Kerangka Sharia IT Governance yang sedang berkembang
│
└── F. NILAI ISLAM DALAM IT GOVERNANCE
    ├── Syura: pengambilan keputusan TI yang partisipatif
    ├── Mas'uliyyah: akuntabilitas di setiap level organisasi
    ├── 'Adalah: keadilan dalam distribusi manfaat teknologi
    └── Amanah: teknologi sebagai titipan yang harus dikelola dengan baik

📚 URAIAN MATERI POKOK

A. IT GOVERNANCE: FONDASI AKUNTABILITAS DIGITAL

A.1 Definisi dan Perbedaan Mendasar

Sebelum mendefinisikan IT Governance, kita perlu memahami perbedaannya dengan IT Management — dua konsep yang sering dicampur aduk:

IT MANAGEMENT vs IT GOVERNANCE

IT MANAGEMENT:
"Bagaimana cara menjalankan TI dengan efektif dan efisien?"
→ Siapa yang memelihara server?
→ Bagaimana proses deployment aplikasi baru?
→ Bagaimana helpdesk menangani keluhan pengguna?
→ Fokus: operasional, teknis, jangka pendek
→ Pelaku: Direktur TI, manajer IT, teknisi

IT GOVERNANCE:
"Apakah TI sudah dijalankan untuk tujuan yang benar?"
→ Apakah investasi TI mendukung strategi bisnis bank?
→ Apakah risiko TI dikelola pada level yang dapat diterima?
→ Apakah TI menciptakan nilai bagi nasabah, pemegang saham, dan masyarakat?
→ Fokus: strategis, akuntabilitas, jangka panjang
→ Pelaku: Direksi, Dewan Komisaris, Komite Audit

Definisi Formal IT Governance:

"IT Governance adalah tanggung jawab Dewan Direksi dan manajemen eksekutif. IT Governance adalah bagian integral dari tata kelola perusahaan dan terdiri dari kepemimpinan, struktur organisasi, dan proses-proses yang memastikan bahwa TI perusahaan mendukung dan memperluas strategi dan tujuan organisasi." — ITGI (IT Governance Institute)

Dalam konteks bank syariah, definisi ini dapat diperluas: IT Governance bukan hanya memastikan TI mendukung strategi bisnis — tetapi juga memastikan TI mendukung misi syariah bank dan memenuhi kewajiban regulator sekaligus amanah kepada nasabah dan umat.

A.2 Tiga Tujuan Utama IT Governance

Setiap keputusan, kebijakan, dan struktur dalam IT Governance seharusnya mengejar tiga tujuan utama ini secara bersamaan:

Tujuan 1 — Value Delivery (Penciptaan Nilai)

TI harus menciptakan nilai nyata bagi bank dan nasabah — bukan sekadar ada karena "semua bank punya."

PERTANYAAN IT GOVERNANCE TENTANG VALUE DELIVERY:
→ Apakah mobile banking benar-benar memudahkan nasabah — atau lebih banyak mengeluh?
→ Apakah sistem CBS membantu analis membuat keputusan pembiayaan lebih baik?
→ Apakah digitalisasi ZISWAF nyatanya meningkatkan pengumpulan zakat?
→ Apakah ROI (Return on Investment) dari proyek TI terealisasi?

Tujuan 2 — Risk Management (Manajemen Risiko)

TI yang tidak dikelola risikonya dapat menjadi sumber malapetaka — bukan solusi.

PERTANYAAN IT GOVERNANCE TENTANG RISK MANAGEMENT:
→ Seberapa besar risiko jika CBS down selama 4 jam?
→ Apakah risiko kebocoran data nasabah sudah dimitigasi memadai?
→ Apakah bank siap menghadapi serangan ransomware?
→ Apakah backup data dilakukan dengan benar dan dapat dipulihkan?

Tujuan 3 — Resource Management (Pengelolaan Sumber Daya)

Sumber daya TI — uang, manusia, infrastruktur, data — harus dikelola secara optimal dan bertanggung jawab.

PERTANYAAN IT GOVERNANCE TENTANG RESOURCE MANAGEMENT:
→ Apakah anggaran TI dialokasikan untuk proyek yang paling berdampak?
→ Apakah bank memiliki SDM TI yang cukup kompeten?
→ Apakah data nasabah disimpan dan dikelola sesuai UU PDP?
→ Apakah vendor pihak ketiga memenuhi standar keamanan yang diperlukan?

A.3 Mengapa Bank Syariah Membutuhkan IT Governance yang Kuat?

Bank syariah memiliki kebutuhan khusus yang membuat IT Governance bukan hanya kewajiban regulasi, tetapi juga kewajiban moral:

Alasan	Konteks Konvensional	Konteks Tambahan Bank Syariah
Perlindungan nasabah	Melindungi aset finansial nasabah	+ Melindungi amanah yang dititipkan nasabah Muslim yang memilih bank syariah karena keyakinan agama
Kepatuhan regulasi	Memenuhi POJK dan BI	+ Memenuhi fatwa DSN-MUI dan pengawasan DPS
Kepercayaan publik	Menjaga reputasi institusi	+ Menjaga kepercayaan umat yang memandang bank syariah sebagai representasi ekonomi Islam
Integritas data	Data keuangan harus akurat	+ Data yang menjadi dasar perhitungan bagi hasil, zakat, dan akad syariah harus terpercaya
Keberlanjutan bisnis	Menjaga operasional bank	+ Memastikan bahwa misi sosial-keagamaan bank terus berjalan

A.4 Konsekuensi IT Governance yang Lemah: Pelajaran dari Kasus Nyata

IT Governance yang lemah tidak hanya menghasilkan masalah teknis — ia menghasilkan krisis kepercayaan yang dapat mengguncang institusi:

Skenario 1 — Tidak Ada Kebijakan Akses Data yang Jelas: Seorang karyawan bank syariah divisi pemasaran mendapat akses ke database nasabah premium yang sebenarnya bukan kewenangannya. Ia menjual data tersebut kepada pihak ketiga untuk telemarketing. Akibat: sanksi OJK, gugatan nasabah, dan reputasi rusak — karena tidak ada kontrol akses berbasis peran yang jelas.

Skenario 2 — Tidak Ada BCP/DRC yang Teruji: Banjir merendam data center utama bank syariah regional. Backup ada, tetapi tidak pernah diuji untuk pemulihan — ternyata backup corrupt dan tidak bisa digunakan. Bank tidak bisa beroperasi selama tiga hari. Akibat: kerugian operasional miliaran rupiah, nasabah pindah ke bank lain, dan sanksi OJK karena tidak memiliki BCP yang memadai.

Skenario 3 — Proyek TI Gagal karena Tidak Ada Oversight: Bank syariah menginvestasikan Rp80 miliar untuk pengembangan CBS baru. Setelah 2 tahun, proyek gagal karena tidak ada komite pengarah TI yang aktif mengawasi progres, anggaran, dan kualitas. Tidak ada yang "memiliki" proyek ini di level direksi. Akibat: kerugian besar, penundaan transformasi digital, dan pertanggungjawaban yang tidak jelas.

B. COBIT 2019: KERANGKA INTERNASIONAL IT GOVERNANCE

B.1 Apa itu COBIT?

COBIT (Control Objectives for Information and Related Technologies) adalah kerangka kerja IT Governance dan IT Management yang dikembangkan oleh ISACA (Information Systems Audit and Control Association) — organisasi internasional yang diakui sebagai otoritas global dalam tata kelola TI, audit TI, dan keamanan informasi.

COBIT bukan satu-satunya kerangka IT Governance, tetapi ia adalah yang paling banyak digunakan di industri keuangan dan perbankan di seluruh dunia — termasuk Indonesia. OJK dan BI merujuk pada prinsip-prinsip COBIT dalam penyusunan POJK terkait TI perbankan.

Versi terkini: COBIT 2019 (menggantikan COBIT 5 yang lebih lama)

B.2 Lima Domain COBIT 2019

COBIT 2019 mengorganisasikan semua aktivitas tata kelola dan manajemen TI ke dalam lima domain yang saling terhubung:

Domain 1 — EDM (Evaluate, Direct, and Monitor) "Periksa, Arahkan, dan Pantau"

Domain ini adalah tugas Direksi dan Dewan Komisaris — level tertinggi tata kelola. Mereka tidak mengelola TI secara teknis, tetapi mereka harus:

Evaluate (Periksa): Menilai apakah TI sudah selaras dengan strategi bank dan nilai syariah
Direct (Arahkan): Menetapkan arah dan kebijakan TI untuk seluruh organisasi
Monitor (Pantau): Mengawasi apakah manajemen menjalankan arahan dengan benar

Contoh di bank syariah:

Komite Audit menetapkan kebijakan: "Semua data nasabah wajib terenkripsi AES-256"
Direksi mengarahkan: "Transformasi digital harus selesai dalam 3 tahun"
Dewan Komisaris memantau KPI TI dalam laporan triwulanan

Domain 2 — APO (Align, Plan, and Organize) "Selaraskan, Rencanakan, dan Atur"

Domain ini adalah jembatan antara strategi bisnis dan operasional TI. Manajemen senior TI bertugas memastikan:

Strategi TI selaras dengan strategi bisnis bank
Sumber daya TI direncanakan dan diorganisasikan dengan baik
Risiko TI diidentifikasi dan dikomunikasikan ke level yang tepat

Contoh di bank syariah:

Menyusun IT Strategic Plan 5 tahun yang selaras dengan Roadmap OJK
Menetapkan kebijakan SMKI (Sistem Manajemen Keamanan Informasi) berbasis ISO 27001
Mengelola vendor dan kontrak pihak ketiga (termasuk vendor CBS)

Domain 3 — BAI (Build, Acquire, and Implement) "Bangun, Dapatkan, dan Implementasikan"

Domain ini mengatur bagaimana solusi TI baru dikembangkan, dibeli, dan diterapkan secara terkontrol:

Pengembangan software internal harus melalui SDLC (Software Development Life Cycle) yang terstruktur
Pengadaan vendor harus melalui proses seleksi yang transparan dan kompetitif
Setiap perubahan sistem harus melalui Change Management Process

Contoh di bank syariah:

Pengembangan fitur baru BSI Mobile harus melalui testing UAT (User Acceptance Testing) sebelum diluncurkan
Pemilihan vendor CBS baru melalui proses tender dengan kriteria yang mencakup kemampuan fitur syariah
Setiap patch keamanan diterapkan melalui prosedur change management yang terdokumentasi

Domain 4 — DSS (Deliver, Service, and Support) "Serahkan, Layani, dan Dukung"

Domain ini mengatur bagaimana layanan TI dioperasikan sehari-hari untuk memastikan ketersediaan, keandalan, dan keamanan:

Operasional data center dan jaringan 24/7
Manajemen insiden TI (ketika sesuatu rusak)
Manajemen masalah (mencegah insiden berulang)
Manajemen keamanan operasional

Contoh di bank syariah:

Tim NOC (Network Operations Center) memantau ketersediaan mobile banking 24/7
Prosedur eskalasi jika mobile banking down: dalam 15 menit → lapor ke manajer, dalam 1 jam → lapor ke direksi
Penanganan keluhan nasabah tentang masalah teknis dalam batas waktu SLA

Domain 5 — MEA (Monitor, Evaluate, and Assess) "Pantau, Evaluasi, dan Nilai"

Domain ini adalah kontrol akhir — memastikan bahwa semua yang sudah direncanakan dan diimplementasikan benar-benar berjalan sesuai harapan:

Pemantauan kinerja TI terhadap target yang ditetapkan
Evaluasi kecukupan kontrol keamanan dan kepatuhan
Audit internal TI secara berkala
Penilaian kematangan IT Governance secara periodik

Contoh di bank syariah:

Laporan bulanan KPI TI kepada Direksi: uptime sistem, jumlah insiden, waktu penyelesaian
Audit internal TI tahunan yang mencakup semua sistem kritis
Self-assessment kepatuhan terhadap POJK 38/2016 setiap kuartal

B.3 Tingkat Kematangan IT Governance (Maturity Level)

COBIT menggunakan skala kematangan 0–5 untuk menilai seberapa dewasa IT Governance suatu organisasi:

Level	Nama	Deskripsi	Ciri-ciri
0	Incomplete	Tidak ada proses atau prosesnya tidak mencapai tujuan	Tidak ada kebijakan TI, tidak ada dokumentasi, keputusan TI ad hoc
1	Initial	Proses ada tetapi tidak terkelola, bergantung pada individu	Ada kebijakan TI tertulis tetapi jarang diikuti, "tergantung orangnya"
2	Managed	Proses direncanakan, dipantau, dan disesuaikan	Ada prosedur yang diikuti, tetapi belum konsisten di seluruh organisasi
3	Defined	Proses sudah terstandardisasi dan terdokumentasi di seluruh organisasi	Prosedur yang sama diterapkan di semua cabang dan unit
4	Quantitatively Managed	Proses dipantau dan dikontrol menggunakan data dan metrik kuantitatif	KPI TI diukur, target ditetapkan, dan penyimpangan ditangani berbasis data
5	Optimizing	Proses terus-menerus diperbaiki berdasarkan pembelajaran	Continuous improvement, benchmarking dengan industri, inovasi tata kelola

Di mana posisi mayoritas bank syariah Indonesia?

BUS besar (BSI, Muamalat): umumnya di level 3–4 pada proses-proses kritis
BUS menengah (BCA Syariah, CIMB Niaga Syariah): mayoritas di level 2–3
BPRS: banyak yang masih di level 1–2, bahkan beberapa masih di level 0 untuk proses tertentu

Target OJK melalui POJK 38/2016: semua bank umum (termasuk BUS) harus minimal di level 3 untuk proses-proses kritis.

C. REGULASI TI PERBANKAN SYARIAH DI INDONESIA

C.1 POJK No. 38/POJK.03/2016 — Analisis Mendalam

Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum

Ini adalah regulasi TI perbankan paling komprehensif yang diterbitkan OJK, berlaku untuk semua bank umum termasuk BUS (Bank Umum Syariah). Memahaminya secara mendalam adalah kompetensi wajib calon profesional perbankan syariah.

Cakupan POJK 38/2016:

POJK 38/2016 MENGATUR ENAM ASPEK UTAMA:

1. TATA KELOLA TI (IT Governance)
   → Kewajiban Direksi dan Komisaris mengawasi risiko TI
   → Pembentukan Komite IT atau fungsi yang setara
   → Kebijakan TI yang komprehensif dan ter-update

2. MANAJEMEN RISIKO TI
   → Identifikasi, penilaian, mitigasi, dan pemantauan risiko TI
   → Empat jenis risiko yang harus dikelola:
     a. Risiko operasional TI (sistem gagal)
     b. Risiko keamanan TI (serangan siber)
     c. Risiko kepatuhan TI (melanggar regulasi)
     d. Risiko reputasi TI (insiden yang merusak kepercayaan)

3. INFRASTRUKTUR TI
   → Standar minimum infrastruktur yang harus dimiliki
   → Kewajiban memiliki Disaster Recovery Center (DRC)
   → Data center harus memenuhi standar ketersediaan tertentu

4. KEAMANAN INFORMASI
   → Kewajiban menerapkan SMKI (Sistem Manajemen Keamanan Informasi)
   → Enkripsi data sensitif
   → Manajemen identitas dan akses

5. PENGEMBANGAN DAN PENGADAAN SISTEM
   → Prosedur SDLC yang terstruktur
   → Testing sebelum go-live
   → Pengelolaan perubahan sistem yang terkontrol

6. KESIAPSIAGAAN DAN PEMULIHAN BENCANA
   → BCP (Business Continuity Plan) yang teruji
   → RTO (Recovery Time Objective) dan RPO (Recovery Point Objective)
   → Uji coba pemulihan minimal setahun sekali

Enam Kewajiban Utama Bank Berdasarkan POJK 38/2016:

No	Kewajiban	Detail	Konsekuensi Jika Dilanggar
1	Memiliki Kebijakan TI Tertulis	Kebijakan TI yang komprehensif, disetujui Direksi, diperbarui minimal setiap 2 tahun	Temuan audit OJK, teguran tertulis
2	Memiliki Disaster Recovery Center	DRC di lokasi terpisah yang memenuhi standar: dapat mengambil alih operasional dalam RTO yang ditetapkan	Sanksi pembatasan kegiatan jika terjadi bencana dan tidak ada DRC
3	Menerapkan SMKI	Sistem Manajemen Keamanan Informasi berbasis standar internasional (ISO 27001 atau setara)	Temuan audit, kewajiban perbaikan dalam batas waktu tertentu
4	Melakukan Audit TI Berkala	Internal audit TI minimal setahun sekali; external audit sesuai siklus yang ditentukan OJK	Pelanggaran good governance, dapat berdampak pada penilaian GCG bank
5	Pelaporan Insiden TI kepada OJK	Insiden signifikan wajib dilaporkan ke OJK dalam waktu yang ditetapkan	Sanksi administratif jika terlambat melapor
6	Uji Coba BCP secara Berkala	BCP harus diuji minimal 1 kali setahun; hasil uji coba didokumentasikan	BCP yang tidak teruji sama dengan tidak punya BCP

C.2 POJK No. 13/POJK.03/2020 — Pembaruan dan Penguatan

POJK 2020 ini memperkuat POJK 38/2016 dengan beberapa tambahan penting:

Tambahan penting POJK 13/2020:

PENGUATAN TATA KELOLA TI:
→ Kewajiban pembentukan Komite IT yang terpisah dari komite lain
→ Direksi yang bertanggung jawab atas TI harus memenuhi standar
  kompetensi digital yang lebih tinggi

PENGUATAN KEAMANAN INFORMASI:
→ Kewajiban penetration testing (uji penetrasi siber) secara berkala
  oleh pihak independen
→ Kewajiban program pelatihan kesadaran keamanan siber untuk
  seluruh karyawan, minimal setahun sekali

PENGUATAN MANAJEMEN VENDOR:
→ Bank tidak bisa sepenuhnya menyerahkan risiko TI kepada vendor
→ Bank tetap bertanggung jawab atas semua risiko TI meskipun
  dikelola oleh pihak ketiga
→ Kontrak vendor harus mencakup klausul keamanan dan kepatuhan

PENGUATAN MANAJEMEN PERUBAHAN:
→ Setiap perubahan sistem yang signifikan harus melalui proses
  Change Advisory Board (CAB) formal
→ Rollback plan wajib disiapkan sebelum setiap perubahan

C.3 Matriks Regulasi TI Perbankan Syariah yang Komprehensif

Berikut adalah peta lengkap regulasi yang membentuk kerangka tata kelola TI bank syariah di Indonesia:

Regulasi	Penerbit	Area Utama	Relevansi bagi Bank Syariah
POJK No. 38/POJK.03/2016	OJK	Manajemen risiko TI secara menyeluruh	Dasar tata kelola TI — wajib dipahami semua profesional bank
POJK No. 13/POJK.03/2020	OJK	Penguatan: penetration testing, vendor management	Update kritis — memperkuat POJK 38
POJK No. 12/POJK.03/2018	OJK	Layanan perbankan digital (e-KYC, dll.)	Mengatur layanan digital bank — relevan saat mengevaluasi SIM (Pertemuan 12)
POJK No. 6/POJK.07/2022	OJK	Perlindungan konsumen digital	Kewajiban bank kepada nasabah — termasuk di layanan digital
UU No. 27/2022 tentang PDP	Pemerintah RI	Perlindungan data pribadi	Fundamental — berlaku untuk semua pengelola data di Indonesia
PBI No. 18/40/PBI/2016	BI	Pemrosesan transaksi pembayaran	Keamanan dan integritas transaksi real-time
SNI ISO/IEC 27001:2022	BSN	Standar SMKI internasional	Sertifikasi yang mendorong tata kelola keamanan berstandar global
COBIT 2019	ISACA	Kerangka IT Governance internasional	Framework yang menjadi rujukan audit dan best practice
Fatwa DSN-MUI (relevan)	DSN-MUI	Keabsahan produk dan layanan digital	Lapisan syariah yang tidak ada di bank konvensional

C.4 Sanksi dan Konsekuensi Ketidakpatuhan

Bank syariah yang tidak memenuhi ketentuan POJK terkait TI menghadapi spektrum sanksi yang semakin berat:

TINGKATAN SANKSI OJK (dari ringan ke berat):

LEVEL 1 — SANKSI ADMINISTRATIF RINGAN:
  → Surat teguran tertulis dari OJK
  → Kewajiban perbaikan dalam batas waktu tertentu
  → Biasanya untuk pelanggaran prosedural atau kelengkapan dokumen

LEVEL 2 — SANKSI ADMINISTRATIF SEDANG:
  → Denda finansial (besaran sesuai ketentuan)
  → Larangan melakukan kegiatan tertentu sementara
  → Contoh: larangan membuka layanan digital baru sebelum perbaikan
    SMKI selesai

LEVEL 3 — SANKSI ADMINISTRATIF BERAT:
  → Pemberhentian pengurus bank yang bertanggung jawab
  → Larangan menjadi pengurus bank dalam jangka waktu tertentu
  → Penurunan peringkat komposit bank (berdampak ke semua aspek bisnis)

LEVEL 4 — SANKSI EKSTREM:
  → Pembatasan kegiatan usaha secara signifikan
  → Dalam kasus ekstrem: pencabutan izin usaha
  → Hanya jika pelanggaran bersifat sistemik dan berulang

D. COMPLIANCE DAN AUDIT TI DI BANK SYARIAH

D.1 Compliance TI — Kepatuhan Regulasi Sebagai Proses Berkelanjutan

Compliance TI bukan hanya tentang "lulus audit" sekali — ini adalah proses berkelanjutan untuk memastikan bahwa seluruh sistem, proses, dan perilaku terkait TI selalu sejalan dengan regulasi yang berlaku dan terus berubah.

Siapa yang bertanggung jawab atas Compliance TI di bank syariah?

STRUKTUR TANGGUNG JAWAB COMPLIANCE TI:

Dewan Komisaris / Komite Audit
  → Menetapkan appetite risiko kepatuhan
  → Mengawasi efektivitas compliance secara keseluruhan

Direktur Kepatuhan (Chief Compliance Officer)
  → Memastikan kebijakan kepatuhan TI ada dan diikuti
  → Melaporkan status kepatuhan kepada Direksi dan Komisaris

Divisi Kepatuhan (Compliance Division)
  → Memantau perubahan regulasi yang berdampak pada TI
  → Memastikan setiap produk/layanan digital baru sudah
    dikaji kepatuhannya sebelum diluncurkan

Divisi TI / IT Division
  → Mengimplementasikan kontrol teknis yang dipersyaratkan regulasi
  → Mendokumentasikan semua kebijakan, prosedur, dan kontrol TI

DPS (Dewan Pengawas Syariah) — unik bagi bank syariah
  → Memastikan kepatuhan syariah pada produk dan layanan digital
  → Mengevaluasi kesesuaian akad elektronik dengan fatwa yang berlaku

D.2 Tiga Jenis Audit TI di Bank Syariah

Jenis 1 — Audit TI Internal:

Dilakukan oleh Divisi Audit Internal bank sendiri — tetapi harus independen dari divisi TI. Audit ini bersifat proaktif: mencari masalah sebelum regulator menemukannya.

Aspek	Detail
Frekuensi	Minimal setahun sekali; sistem kritis bisa lebih sering
Ruang lingkup	Semua sistem kritis: CBS, mobile banking, keamanan, akses data
Output	Laporan audit dengan temuan dan rekomendasi
Tindak lanjut	Manajemen wajib merespons setiap temuan dalam batas waktu

Jenis 2 — Audit TI Eksternal (Independent):

Dilakukan oleh auditor eksternal yang independen — biasanya KAP (Kantor Akuntan Publik) dengan kompetensi audit TI atau firma konsultansi spesialis.

Aspek	Detail
Kapan	Sesuai siklus audit eksternal, biasanya 2–3 tahun sekali untuk TI
Tujuan	Memberikan opini independen tentang kecukupan kontrol TI
Standar	Seringkali mengacu COBIT, ISO 27001, atau standar internasional lainnya
Output	Laporan audit independen yang dilaporkan kepada Komisaris dan OJK

Jenis 3 — Pemeriksaan/Inspeksi OJK:

Dilakukan oleh tim pemeriksa OJK secara langsung ke bank. Ini bukan "audit" dalam arti teknis — ini adalah inspeksi regulator yang memiliki kewenangan memaksa.

Aspek	Detail
Frekuensi	Periodik (sesuai jadwal pengawasan OJK) atau berdasarkan pemicu (insiden signifikan, laporan whistleblower)
Kewenangan	Pemeriksa OJK dapat meminta semua dokumen dan akses sistem
Output	Temuan pemeriksaan OJK — wajib ditindaklanjuti oleh bank
Sanksi	Jika temuan serius → sanksi administratif sesuai levelnya

D.3 Siklus Audit TI: Dari Perencanaan hingga Tindak Lanjut

SIKLUS LENGKAP AUDIT TI PERBANKAN

TAHAP 1 — PERENCANAAN (1–2 minggu):
  → Menetapkan ruang lingkup: sistem apa yang akan diaudit?
  → Menentukan metodologi dan standar yang digunakan
  → Menyusun audit program (checklist pertanyaan dan pengujian)
  → Mengkomunikasikan jadwal kepada divisi yang akan diaudit

TAHAP 2 — PENGUMPULAN BUKTI (2–4 minggu):
  → Review dokumentasi: kebijakan, prosedur, log sistem
  → Wawancara dengan staf terkait (IT, operations, keamanan)
  → Pengujian teknis: cek konfigurasi, uji kontrol akses, review log
  → Sampling transaksi untuk memeriksa integritas data

TAHAP 3 — ANALISIS DAN TEMUAN (1–2 minggu):
  → Menganalisis semua bukti yang dikumpulkan
  → Mengidentifikasi temuan: kontrol yang tidak berjalan, kesenjangan kebijakan, risiko yang tidak termitigasi
  → Mengklasifikasikan temuan: Kritis / Tinggi / Sedang / Rendah

TAHAP 4 — PELAPORAN (1 minggu):
  → Menyusun laporan audit yang komprehensif
  → Mendiskusikan temuan dengan manajemen (exit meeting)
  → Menerima tanggapan manajemen atas setiap temuan
  → Finalisasi laporan dengan rencana perbaikan

TAHAP 5 — TINDAK LANJUT (ongoing):
  → Memantau implementasi perbaikan oleh manajemen
  → Verifikasi bahwa temuan kritis sudah ditangani
  → Melaporkan status tindak lanjut kepada Komisaris
  → Menutup temuan yang sudah selesai diperbaiki

D.4 Pelaporan Insiden TI kepada OJK

Berdasarkan POJK 38/2016 (diperbarui POJK 13/2020), bank wajib melaporkan insiden TI signifikan kepada OJK. Ini adalah kewajiban yang tidak bisa diabaikan:

Insiden TI yang wajib dilaporkan:

Jenis Insiden	Batas Waktu Laporan Awal	Laporan Lanjutan
Kebocoran data nasabah yang signifikan	1 × 24 jam sejak terdeteksi	Laporan lengkap dalam 14 hari kalender
Gangguan sistem yang berdampak luas (>4 jam untuk layanan kritis)	1 × 24 jam	Laporan root cause dalam 30 hari
Serangan siber yang berhasil menembus sistem	1 × 24 jam	Laporan forensik dalam 30 hari
Fraud sistemik berbasis TI	1 × 24 jam	Sesuai arahan OJK

Isi laporan awal kepada OJK (minimal):

Deskripsi singkat insiden: apa yang terjadi, kapan, dampak awal
Langkah-langkah mitigasi yang sudah dan sedang diambil
Estimasi dampak: berapa nasabah/sistem terdampak

E. LAPISAN KHUSUS BANK SYARIAH: DPS DAN AUDIT SYARIAH DIGITAL

E.1 Peran DPS dalam Tata Kelola TI Syariah

Bank syariah memiliki satu lapisan tata kelola yang tidak ada di bank konvensional: Dewan Pengawas Syariah (DPS). DPS memiliki mandat untuk memastikan bahwa seluruh kegiatan bank — termasuk penggunaan teknologi — sesuai dengan prinsip syariah.

Apa yang perlu diawasi DPS dalam konteks TI?

DOMAIN PENGAWASAN DPS TERKAIT TI:

1. AKAD ELEKTRONIK DAN PRODUK DIGITAL
   → Apakah formulasi akad dalam aplikasi mobile banking sudah benar?
   → Apakah syarat dan rukun akad terpenuhi dalam proses e-KYC?
   → Apakah bahasa akad dapat dipahami oleh nasabah awam?

2. INVESTASI DANA FLOAT E-WALLET DAN PRODUK DIGITAL
   → Ke mana dana nasabah dari e-wallet syariah diinvestasikan?
   → Apakah seluruh instrumen investasi sudah sesuai fatwa?
   → Bagaimana sistem memastikan pemisahan dana halal dan non-halal?

3. PERHITUNGAN DAN DISTRIBUSI BAGI HASIL
   → Apakah sistem CBS menghitung bagi hasil dengan formula yang benar?
   → Apakah ada audit trail yang membuktikan perhitungan bagi hasil akurat?
   → Apakah distribusi bagi hasil dilakukan tepat waktu sesuai akad?

4. FITUR ZISWAF DAN SOSIAL
   → Apakah dana zakat/infaq/sedekah yang dikumpulkan melalui aplikasi
     disalurkan kepada penerima yang tepat?
   → Apakah lembaga amil yang bermitra sudah memenuhi standar syariah?
   → Apakah ada laporan transparansi penggunaan dana yang memadai?

5. KEAMANAN DATA DALAM PERSPEKTIF SYARIAH
   → Apakah perlindungan data nasabah memenuhi prinsip amanah?
   → Apakah ada mekanisme pembuktian bahwa bank tidak menyalahgunakan data?

E.2 Kerangka Sharia IT Governance yang Berkembang

Konsep Sharia IT Governance adalah bidang yang masih berkembang — integrasi antara IT Governance konvensional dengan nilai-nilai dan prinsip syariah. Beberapa elemen yang sudah mulai diterapkan:

Elemen	Deskripsi
Sharia Technology Policy	Kebijakan TI yang secara eksplisit mencantumkan kewajiban syariah — bukan hanya regulasi OJK
DPS Technology Review	Proses formal di mana DPS mereview fitur/produk digital baru sebelum diluncurkan
Halal Data Management	Kebijakan pengelolaan data yang memastikan data nasabah tidak digunakan untuk tujuan yang bertentangan syariah
Sharia Audit Trail	Log yang secara khusus mencatat semua aktivitas terkait akad syariah untuk keperluan audit DPS
Islamic BCP/DRC Consideration	BCP yang mempertimbangkan kewajiban syariah bank bahkan dalam kondisi darurat — misalnya: pembayaran bagi hasil tidak boleh tertunda meskipun sedang dalam pemulihan bencana

F. NILAI ISLAM DALAM IT GOVERNANCE

F.1 Syura — Pengambilan Keputusan TI yang Partisipatif

"…dan bermusyawarahlah dengan mereka dalam urusan itu…" (Q.S. Ali Imran: 159)

Prinsip syura (musyawarah) dalam Islam mendorong pengambilan keputusan yang partisipatif — melibatkan semua pihak yang relevan dan terdampak. Dalam IT Governance, syura terwujud dalam:

Komite TI yang inklusif: Keputusan investasi TI besar tidak hanya melibatkan Divisi TI, tetapi juga Divisi Bisnis, Kepatuhan, DPS, dan representasi kepentingan nasabah
Change Advisory Board: Setiap perubahan sistem melibatkan semua stakeholder yang terdampak sebelum diimplementasikan
Konsultasi DPS sejak awal: DPS dilibatkan sejak tahap desain produk digital — bukan hanya diminta stempel persetujuan di akhir
Feedback loop dari nasabah: Data keluhan dan survei kepuasan nasabah menjadi input resmi dalam perencanaan TI

Keputusan IT Governance yang dibuat tanpa syura — misalnya Direksi TI yang memutuskan secara sepihak tanpa berkonsultasi dengan stakeholder lain — cenderung menghasilkan kebijakan yang tidak implementable, tidak dipercaya, dan pada akhirnya tidak efektif.

F.2 Mas'uliyyah — Akuntabilitas di Setiap Level Organisasi

"Setiap kamu adalah pemimpin, dan setiap pemimpin akan dimintai pertanggungjawaban atas yang dipimpinnya." (HR. Bukhari & Muslim)

Mas'uliyyah (pertanggungjawaban) dalam IT Governance berarti setiap pihak yang diberikan wewenang atas aspek TI harus siap mempertanggungjawabkan penggunaan wewenang tersebut.

Rantai mas'uliyyah dalam IT Governance bank syariah:

DIREKTUR UTAMA
  → Bertanggung jawab kepada Pemegang Saham, OJK, dan Allah
  → atas arah strategis dan efektivitas tata kelola TI secara keseluruhan

DIREKTUR TI / CTO
  → Bertanggung jawab kepada Direksi
  → atas manajemen risiko TI, ketersediaan sistem, dan keamanan informasi

MANAJER KEAMANAN INFORMASI / CISO
  → Bertanggung jawab kepada Direktur TI
  → atas perlindungan data nasabah dan pertahanan dari serangan siber

ADMIN DATABASE
  → Bertanggung jawab kepada Manajer Keamanan
  → atas integritas dan keamanan data nasabah yang dikelolanya

TELLER / KARYAWAN OPERASIONAL
  → Bertanggung jawab kepada Kepala Cabang
  → atas kepatuhan terhadap prosedur keamanan dalam pekerjaan sehari-hari

NASABAH
  → Bertanggung jawab atas kerahasiaan PIN, password, dan OTP mereka
  → kepada dirinya sendiri dan Allah atas kelalaian yang merugikan orang lain

F.3 'Adalah — Keadilan dalam Distribusi Manfaat Teknologi

'Adalah (keadilan) menuntut bahwa manfaat dari investasi TI tidak hanya dinikmati oleh nasabah premium atau karyawan di kantor pusat — tetapi terdistribusi secara adil:

Keadilan bagi nasabah: Fitur keamanan dan kemudahan yang sama harus tersedia untuk nasabah tabungan kecil, bukan hanya nasabah prioritas
Keadilan bagi karyawan: Pelatihan literasi digital tidak hanya untuk karyawan muda di kantor pusat, tetapi juga untuk karyawan senior di cabang daerah
Keadilan antar wilayah: Investasi TI tidak hanya fokus di kota besar — infrastruktur dan layanan digital harus menjangkau daerah terpencil
Keadilan bagi BPRS kecil: Regulasi TI harus proporsional — persyaratan yang sama dengan BUS besar bisa mengancam keberadaan BPRS kecil

F.4 Amanah — Teknologi sebagai Titipan yang Harus Dikelola dengan Baik

Seluruh TI bank syariah — server, data, sistem, jaringan — adalah instrumen yang dipercayakan untuk melayani nasabah dan mewujudkan misi bank. Prinsip amanah dalam IT Governance berarti:

Setiap aset TI diinventarisasi, dipantau, dan dijaga dengan standar terbaik
Dana yang dialokasikan untuk TI digunakan untuk tujuan yang ditetapkan — tidak disalahgunakan
Data nasabah diperlakukan sebagai titipan berharga yang harus dilindungi sepenuh hati
Laporan tentang kinerja TI kepada Direksi, Komisaris, OJK, dan nasabah harus jujur dan akurat — tidak diperindah atau disembunyikan

F.5 Tabel Integrasi: Nilai Islam dan Praktik IT Governance

Nilai Islam	Kewajiban dalam IT Governance	Konsekuensi Pelanggaran
Syura (musyawarah)	Komite TI inklusif; konsultasi DPS sejak awal desain produk	Keputusan TI yang tidak efektif karena tidak membumi
Mas'uliyyah (akuntabilitas)	Struktur RACI yang jelas; audit trail; pelaporan berkala	Ketika terjadi masalah, tidak ada yang bisa dimintai pertanggungjawaban
'Adalah (keadilan)	Layanan TI inklusif; regulasi yang proporsional	Teknologi hanya melayani yang kaya dan terliterasi — melanggar misi syariah
Amanah (kepercayaan)	Perlindungan data; transparansi laporan; integritas sistem	Pengkhianatan kepercayaan yang berdampak di dunia dan akhirat
Shidq (kejujuran)	Laporan insiden yang jujur kepada OJK dan nasabah	Pelanggaran hukum dan moral yang lebih serius dari insiden itu sendiri
Tawadhu (kerendahhatian)	Menerima temuan audit dengan lapang dada; tidak defensif	Perbaikan terhambat karena ego — risiko berulangnya masalah

💻 KEGIATAN LABORATORIUM

Judul Kegiatan: Telaah Regulasi POJK No. 38/POJK.03/2016 dan Penilaian Implementasi

Tujuan: Mahasiswa mampu mengakses, membaca, dan menganalisis regulasi TI perbankan secara mandiri; mengidentifikasi kewajiban-kewajiban utama bank berdasarkan POJK; menilai tingkat kesulitan implementasi dari perspektif bank kecil (BPRS); dan mengintegrasikan perspektif syariah dalam evaluasi regulasi tersebut.

Alat yang Dibutuhkan:

Komputer lab dengan koneksi internet
Browser (Chrome/Firefox)
Google Docs untuk lembar analisis

Alokasi Waktu: 45 menit

Langkah-Langkah Praktikum

Langkah 1 (5 menit) — Akses Regulasi

Buka browser → akses https://www.ojk.go.id (opens in a new tab)
Klik menu Regulasi → Peraturan OJK (POJK) → cari dengan kata kunci "38/POJK.03/2016"
Temukan dan buka POJK tersebut (atau ringkasannya)
Jika koneksi lambat, dosen dapat menyediakan ringkasan POJK dalam format PDF yang sudah disiapkan di folder bersama

Langkah 2 (30 menit) — Isi Lembar Analisis Regulasi

Buka Google Docs baru → judul: Lab13_[NIM]_[Nama]_TelaahPOJK38

LEMBAR ANALISIS REGULASI POJK No. 38/POJK.03/2016

Nama: __________ | NIM: __________ | Tanggal: __________

BAGIAN I — IDENTIFIKASI REGULASI

Aspek	Jawaban
Nama lengkap regulasi
Nomor dan tahun terbit
Penerbit (lembaga)
Siapa yang diwajibkan memenuhi regulasi ini?
Apakah ada pembaruan/revisi regulasi ini? (sebutkan jika ada)

BAGIAN II — PEMETAAN KEWAJIBAN UTAMA

Berdasarkan regulasi yang Anda baca, identifikasi dan jelaskan minimal lima kewajiban utama bank dalam tabel berikut:

No	Kewajiban	Penjelasan Singkat (dengan kata-kata sendiri)	Relevansi bagi Bank Syariah
1
2
3
4
5
6 (bonus)

BAGIAN III — ANALISIS IMPLEMENTASI

Jawab dua pertanyaan berikut dengan paragraf singkat (3–4 kalimat per pertanyaan):

Pertanyaan A: Bayangkan Anda adalah Direktur TI sebuah BPRS kecil di kota kecil dengan total aset Rp30 miliar dan hanya 15 karyawan. Dari semua kewajiban yang Anda identifikasi di Bagian II, kewajiban mana yang menurut Anda paling sulit dipenuhi? Mengapa?

Pertanyaan B: Menurut Anda, apakah OJK sebaiknya membuat regulasi TI yang berbeda untuk bank besar (BUS) versus bank kecil (BPRS), mengingat perbedaan kapasitas yang sangat besar? Apa argumen pro dan kontranya?

BAGIAN IV — HUBUNGAN DENGAN NILAI SYARIAH

Dari regulasi POJK 38/2016 yang Anda baca, identifikasi dua kewajiban yang paling mencerminkan nilai-nilai Islam. Untuk setiap kewajiban yang dipilih:

Sebutkan kewajiban tersebut
Nilai Islam apa yang terkait (pilih: amanah, mas'uliyyah, 'adalah, shidq, atau lainnya)
Jelaskan kaitannya dalam 2–3 kalimat

BAGIAN V — CHECKLIST DOMAIN COBIT

Setelah membaca POJK 38/2016, coba petakan kewajiban-kewajiban tersebut ke dalam lima domain COBIT:

Domain COBIT	Kewajiban POJK 38 yang Terkait
EDM (Evaluate, Direct, Monitor)
APO (Align, Plan, Organize)
BAI (Build, Acquire, Implement)
DSS (Deliver, Service, Support)
MEA (Monitor, Evaluate, Assess)

Langkah 3 (10 menit) — Sharing dan Diskusi Kilat

Dosen meminta 3–4 mahasiswa berbagi satu temuan yang paling menarik atau mengejutkan dari regulasi yang mereka baca. Fokus diskusi: apakah regulasi ini cukup? Apakah ada celah yang perlu diperbaiki?

Simpan dan share: Google Docs → Share → siapapun bisa lihat → salin link untuk dikumpulkan.

📋 PENUGASAN

TUGAS 13 — Laporan Telaah Regulasi TI Perbankan
Deadline: Dikumpulkan sebelum Pertemuan ke-14
Format: Laporan dikumpulkan dalam format PDF (2–3 halaman A4, spasi 1,5) Pengumpulan: Via Ngaji UIN Gusdur (opens in a new tab)

LEMBAR TUGAS 13

Nama: ________________________ | NIM: ________________________ | Tanggal: ________________________

Bagian A — Laporan Telaah Regulasi (60 poin)

Kembangkan hasil lab menjadi laporan yang lebih komprehensif dengan menjawab tiga pertanyaan analitis berikut:

A.1 — Analisis Kewajiban Kritis (20 poin)

Pilih dua kewajiban dari POJK 38/2016 yang menurut Anda paling kritis bagi keselamatan data dan uang nasabah bank syariah. Untuk setiap kewajiban:

Jelaskan isi kewajiban dengan bahasa yang dapat dipahami orang awam
Jelaskan mengapa kewajiban ini sangat penting — apa yang terjadi jika tidak dipenuhi? (gunakan skenario konkret)
Berikan contoh nyata implementasinya di bank syariah Indonesia

A.2 — Perspektif Direktur Kepatuhan BPRS (20 poin)

Anda adalah Direktur Kepatuhan sebuah BPRS Syariah di Kabupaten Pekalongan dengan total aset Rp50 miliar, 3 kantor (1 pusat + 2 cabang), dan 25 karyawan. Tulis memo internal singkat (dalam format memo: Kepada, Dari, Perihal, Isi) kepada Direktur Utama BPRS Anda yang menjelaskan:

Dua kewajiban POJK 38/2016 yang paling mendesak untuk dipenuhi oleh BPRS Anda
Estimasi biaya dan waktu yang dibutuhkan (boleh estimasi kasar berdasarkan logika)
Satu rekomendasi solusi yang realistis untuk memenuhi kewajiban tersebut dengan keterbatasan sumber daya yang ada

A.3 — Usulan Penguatan Regulasi (20 poin)

Setelah mempelajari POJK 38/2016, apakah ada aspek tata kelola TI yang menurut Anda belum diatur secara memadai — terutama dari perspektif keunikan bank syariah? Identifikasi satu gap regulasi dan buat usulan pasal tambahan yang menurut Anda perlu ditambahkan ke POJK ini. Jelaskan mengapa usulan ini penting bagi bank syariah khususnya.

Bagian B — Diagram Sederhana IT Governance (40 poin)

Buat diagram atau bagan sederhana (bisa berupa tabel bertingkat, flowchart sederhana, atau mind-map yang dibuat manual di Word/Google Docs) yang menggambarkan:

Pilih salah satu:

Opsi 1: Struktur IT Governance bank syariah — siapa saja aktor utamanya (Komisaris, Direksi, DPS, Divisi TI, Compliance, Audit Internal, OJK), apa peran masing-masing, dan bagaimana arus pelaporan dan pertanggungjawaban antar mereka.

Opsi 2: Siklus compliance TI — bagaimana sebuah kewajiban POJK diterjemahkan dari regulasi → kebijakan internal bank → prosedur operasional → implementasi teknis → monitoring → audit → pelaporan ke OJK.

Opsi 3: Pemetaan POJK 38/2016 ke lima domain COBIT — buat matriks visual yang menunjukkan kewajiban POJK mana yang masuk ke domain COBIT mana, dilengkapi penjelasan singkat.

Catatan: Diagram tidak harus artistik — yang penting akurat, informatif, dan menunjukkan pemahaman konseptual.

Rubrik Penilaian Tugas 13

Aspek	Sangat Baik (81–100)	Baik (66–80)	Cukup (56–65)	Perlu Perbaikan (< 56)
Pemahaman POJK 38/2016	Kewajiban dipahami secara mendalam, dijelaskan dengan akurat dan kontekstual	Kewajiban dipahami dengan baik	Pemahaman ada tetapi ada kesalahan	Pemahaman minimal atau banyak kesalahan
Aplikasi ke konteks BPRS	Memo realistis, solusi konkret dan dapat diimplementasikan	Memo baik, solusi cukup realistis	Memo ada, solusi terlalu generik	Tidak kontekstual atau tidak menjawab soal
Usulan penguatan regulasi	Orisinal, logis, berfokus pada keunikan syariah	Usulan ada dan relevan	Usulan ada tapi terlalu umum	Tidak ada atau tidak relevan
Kualitas diagram	Diagram akurat, informatif, mudah dipahami, menunjukkan pemahaman sistem	Diagram baik dan cukup informatif	Diagram ada tapi kurang informatif	Diagram tidak ada atau tidak akurat

📣 PENGUMUMAN PROYEK AKHIR KELOMPOK

⚠️ PENTING — Dibaca dengan Seksama oleh Seluruh Mahasiswa

Mulai pertemuan ini, mahasiswa harus membentuk kelompok proyek akhir yang akan dikerjakan hingga Pertemuan 15. Proyek akhir kelompok merupakan komponen penilaian yang bobotnya signifikan (bagian dari komponen UAS 35%).

A. Ketentuan Kelompok

Ukuran kelompok: 3–4 mahasiswa
Pembentukan: Ditentukan paling lambat akhir pertemuan ini — daftarkan ke dosen
Satu kelompok, satu topik: Topik tidak boleh sama antar kelompok

B. Lima Pilihan Topik Proyek Akhir

Setiap kelompok memilih satu topik dari daftar berikut:

Topik 1 — Kepuasan Nasabah terhadap Layanan Mobile Banking Syariah Analisis kepuasan nasabah terhadap fitur, kemudahan, keamanan, dan kesesuaian syariah layanan mobile banking satu bank syariah pilihan kelompok. Menggunakan survei Google Form (min. 20 responden) + data sekunder dari website/laporan bank.

Topik 2 — Perbandingan Fitur Digital Dua Bank Syariah Perbandingan komprehensif fitur digital dua bank syariah menggunakan kerangka evaluasi yang dikembangkan sendiri. Mencakup dimensi: kelengkapan fitur, kemudahan penggunaan, kesesuaian syariah, dan inklusivitas. Bisa dikombinasikan dengan survei mini.

Topik 3 — Analisis Dashboard KPI dan Business Intelligence di Bank Syariah Analisis implementasi dashboard KPI di satu bank syariah pilihan kelompok. Mencakup: identifikasi KPI yang digunakan (NPF, FDR, BOPO, CAR, ROA), evaluasi penyajian data di laporan tahunan, dan rekomendasi dashboard BI sederhana. Tidak wajib survei, tetapi wajib data kuantitatif dari laporan tahunan bank.

Topik 4 — Studi Kasus Transformasi Digital Satu Bank Syariah Analisis mendalam perjalanan transformasi digital satu bank syariah (BSI, Muamalat, atau lainnya). Mencakup: capaian yang sudah dicapai, tantangan yang dihadapi, rencana ke depan, dan evaluasi kesesuaian dengan Roadmap OJK. Survei tambahan untuk validasi persepsi publik dianjurkan.

Topik 5 — Evaluasi Manajemen Risiko Pembiayaan di Bank Syariah Analisis sistem manajemen risiko pembiayaan di satu bank syariah — berdasarkan data kolektibilitas dari laporan tahunan, kebijakan pemantauan kredit yang dipublikasikan, dan benchmark terhadap POJK 13/2020. Dilengkapi rekomendasi early warning system dan integrasi nilai ihtiyath (kehati-hatian) dalam Islam.

C. Output Proyek Akhir (dikerjakan antara P13–P15)

Komponen	Detail	Bobot
Laporan tertulis	Google Docs / Word, 4–6 halaman A4, spasi 1,5 — mencakup BAB I: Pendahuluan, BAB II: Tinjauan Teori, BAB III: Hasil dan Analisis, BAB IV: Kesimpulan dan Rekomendasi	40% dari nilai proyek
Survei Google Form	Minimal 20 responden (kecuali Topik 3 yang berbasis data OJK); form yang dirancang dengan baik; rekap hasil di Google Sheets	30% dari nilai proyek
Visualisasi data	Minimal 2 grafik yang bermakna dari data yang dikumpulkan (Google Sheets / Excel)	15% dari nilai proyek
Presentasi	PPT / Google Slides 10–12 slide; dipresentasikan di Pertemuan 15 (7 menit presentasi + 3 menit tanya jawab)	15% dari nilai proyek

D. Jadwal Pelaksanaan

Pertemuan	Aktivitas Proyek Akhir
P13 (Hari ini)	Bentuk kelompok + pilih topik + mulai diskusi awal
P14	Buat dan uji Google Form di lab; mulai sebarkan survei; konsultasi progres dengan dosen
Antara P14–P15	Kumpulkan min. 20 responden; analisis data; tulis laporan
P15	Presentasi proyek akhir + pengumpulan laporan lengkap

💬 BAHAN DISKUSI KELAS

Diskusi 1:

"Perhatikan dua pernyataan berikut: (A) 'IT Governance adalah urusan Divisi TI — bukan urusan saya sebagai calon bankir syariah yang akan bekerja di divisi pemasaran atau pembiayaan.' (B) 'IT Governance adalah tanggung jawab semua orang di bank, bukan hanya Divisi TI.' Mana yang benar? Mengapa? Dan implikasi konkret apa yang punya pernyataan B bagi pekerjaan sehari-hari seorang account officer pembiayaan?"

Diskusi 2:

"Bank A memiliki IT Governance yang sangat ketat: semua perubahan sistem harus melalui 15 tahap approval, waktu deployment fitur baru rata-rata 8 bulan. Bank B memiliki IT Governance yang longgar: fitur bisa diluncurkan dalam 2 minggu tetapi sering ada bug dan beberapa insiden keamanan. Dalam konteks kompetisi digital yang semakin cepat, mana yang lebih baik? Dan bagaimana seharusnya bank syariah menyeimbangkan kecepatan inovasi dengan ketelitian tata kelola?"

Diskusi 3:

"Jika Anda menjadi Direktur Kepatuhan sebuah bank syariah dan menemukan bahwa bank Anda belum memiliki DRC (Disaster Recovery Center) yang memadai — padahal ini kewajiban POJK — tetapi Direksi tidak menyetujui anggaran karena alasan efisiensi biaya, apa yang akan Anda lakukan? Gunakan prinsip mas'uliyyah dan shidq untuk memandu jawaban Anda."

📝 RINGKASAN MATERI

1. IT Governance adalah "Kemudi", Bukan "Mesin" IT Management menjalankan TI; IT Governance mengarahkan TI ke tempat yang benar. Tanpa IT Governance yang kuat, bank bisa memiliki teknologi canggih yang digunakan untuk tujuan yang salah, dengan risiko yang tidak terkendali, dan tanpa akuntabilitas yang jelas.

2. COBIT 2019 Memberikan Kerangka Terstruktur Lima domain COBIT — EDM, APO, BAI, DSS, MEA — mencakup seluruh siklus tata kelola TI dari arah strategis hingga pemantauan operasional. Memahami COBIT membantu profesional perbankan memahami "peta" IT Governance secara keseluruhan.

3. POJK 38/2016 adalah Tulang Punggung Regulasi TI Perbankan Enam kewajiban utama — kebijakan TI, DRC, SMKI, audit TI, pelaporan insiden, dan uji BCP — membentuk standar minimum yang harus dipenuhi semua bank umum. Ketidakpatuhan bukan sekadar risiko sanksi, tetapi risiko bagi keselamatan nasabah dan misi bank syariah.

4. Bank Syariah Memiliki Lapisan Tambahan: DPS dan Audit Syariah Digital Di atas semua regulasi OJK/BI yang berlaku untuk semua bank, bank syariah memiliki kewajiban tambahan: memastikan seluruh TI — akad elektronik, perhitungan bagi hasil, ZISWAF digital — sesuai dengan prinsip syariah di bawah pengawasan DPS.

5. Empat Nilai Islam Menguatkan IT Governance yang Baik Syura mendorong inklusivitas dalam pengambilan keputusan TI. Mas'uliyyah memastikan akuntabilitas di setiap level. 'Adalah menjamin keadilan distribusi manfaat teknologi. Dan amanah melandasi seluruh pengelolaan TI sebagai ibadah kepada Allah melalui pelayanan terbaik kepada umat.

📖 REFERENSI PERTEMUAN 13

Referensi Regulasi

No	Sumber
1	OJK. (2016). POJK No. 38/POJK.03/2016 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum. Jakarta: OJK. https://www.ojk.go.id (opens in a new tab)
2	OJK. (2020). POJK No. 13/POJK.03/2020 tentang Perubahan atas POJK No. 38/POJK.03/2016. Jakarta: OJK.
3	Pemerintah RI. (2022). UU No. 27 Tahun 2022 tentang Perlindungan Data Pribadi (PDP). Jakarta.
4	OJK. (2018). POJK No. 12/POJK.03/2018 tentang Penyelenggaraan Layanan Perbankan Digital. Jakarta: OJK.

Referensi Akademis dan Framework

No	Sumber
5	Laudon, K.C., & Laudon, J.P. (2022). Management Information Systems (17th Ed., Chapter 8: "Securing Information Systems" dan Chapter 14: "Building Information Systems"). Pearson.
6	ISACA. (2019). COBIT 2019 Framework: Introduction and Methodology. Rolling Meadows: ISACA. https://www.isaca.org/resources/cobit (opens in a new tab)
7	IT Governance Institute (ITGI). Board Briefing on IT Governance (2nd Ed.). Rolling Meadows: ITGI.
8	Weill, P., & Ross, J.W. (2004). IT Governance: How Top Performers Manage IT Decision Rights for Superior Results. Harvard Business School Press.

Referensi Perbankan Syariah

No	Sumber
9	OJK. (2023). Roadmap Pengembangan Perbankan Syariah Indonesia 2023–2027 (Bab tentang Tata Kelola dan Infrastruktur Digital). Jakarta: OJK.
10	Antonio, M.S. (2001). Bank Syariah: Dari Teori ke Praktik. Gema Insani Press.

Referensi Nilai Islam

No	Sumber
11	Q.S. Ali Imran: 159 — Kewajiban syura (musyawarah) dalam pengambilan keputusan
12	HR. Bukhari & Muslim — Tentang mas'uliyyah: setiap pemimpin akan dimintai pertanggungjawaban
13	Q.S. An-Nisa': 58 — Kewajiban amanah: menyampaikan amanah kepada yang berhak
14	Q.S. Al-Maidah: 8 — Kewajiban 'adalah (berlaku adil) bahkan kepada pihak yang tidak disukai

Refleksi Mahasiswa (10 Menit Terakhir)

Luangkan 10 menit terakhir untuk menjawab di buku catatan (tidak dikumpulkan):

Refleksi konsep: Sebelum kuliah hari ini, apa yang Anda bayangkan ketika mendengar "tata kelola TI"? Setelah kuliah ini, bagaimana pemahaman Anda berubah? Apa satu hal yang paling mengejutkan atau membuka wawasan baru?
Refleksi peran profesional: Dalam pekerjaan Anda kelak di bank syariah — apapun posisinya — bagaimana Anda dapat berkontribusi pada IT Governance yang baik, bahkan jika Anda tidak bekerja di Divisi TI? Berikan satu contoh konkret tindakan sehari-hari yang mencerminkan mas'uliyyah dalam konteks digital.
Refleksi proyek akhir: Topik proyek akhir mana yang paling menarik minat Anda secara pribadi? Mengapa? Dan apa yang paling Anda harapkan untuk pelajari dari mengerjakan proyek akhir kelompok?

🔗 KONEKSI KE PERTEMUAN BERIKUTNYA

Pertemuan 14 akan membahas:

Survei Digital dengan Google Forms sebagai Metode Pengumpulan Data SIM — pertemuan yang sangat praktis dan langsung berguna untuk proyek akhir kelompok
Cara merancang pertanyaan survei yang valid, reliabel, dan etis
Tutorial praktis membuat Google Form dari nol hingga siap disebar
Cara membaca dan merekap hasil survei dari Google Sheets
Etika pengumpulan data: informed consent, privasi responden, dan kejujuran dalam melaporkan data — semuanya dari perspektif Islam dan regulasi UU PDP

Persiapan untuk Pertemuan 14:

Kumpulkan Tugas 13 sebelum pertemuan dimulai

Finalisasi kelompok dan topik proyek akhir jika belum — tidak ada toleransi untuk keterlambatan pembentukan kelompok

Diskusi awal kelompok: Tentukan gambaran besar survei yang akan dibuat — siapa responden target? Apa yang ingin diketahui? Pertanyaan apa yang perlu dijawab?

Bawa akun Google yang aktif ke lab — semua pekerjaan di Pertemuan 14 membutuhkan akun Google

Coba buka forms.google.com dari HP Anda sekarang — pastikan akun Google Anda bisa login

Pertanyaan Pemicu untuk Pertemuan 14:
"Ketika OJK melakukan Survei Nasional Literasi dan Inklusi Keuangan (SNLIK), mereka mengumpulkan data dari ratusan ribu responden untuk membuat keputusan kebijakan yang berdampak pada jutaan orang. Dengan skala yang lebih kecil, survei yang Anda buat untuk proyek akhir juga bisa menghasilkan wawasan nyata — jika dirancang dengan baik. Apa yang membuat sebuah pertanyaan survei 'baik' vs 'buruk'?"

Modul ini disusun berdasarkan Rencana Pembelajaran Semester (RPS) Mata Kuliah Sistem Informasi Manajemen, Program Studi Perbankan Syariah, UIN K.H. Abdurrahman Wahid Pekalongan, mengacu pada Standar Nasional Pendidikan Tinggi (SN-Dikti) Permendikbudristek No. 53 Tahun 2023.

Pertemuan 12: Evaluasi & Perencanaan Sistem Informasi Pertemuan 14: Pengumpulan Data Primer — Survei Digital