Memahami Proses Perizinan dan Standar Manajemen Risiko Inovasi Teknologi Sektor Keuangan (ITSK)

Perkembangan Inovasi Teknologi Sektor Keuangan (ITSK) di Indonesia melaju dengan sangat pesat dalam beberapa tahun terakhir. Hal tersebut mencakup layanan pembayaran fleksibel, pembiayaan dan investasi digital, hingga pemeringkatan kredit alternatif berbasis data. Berdasarkan Undang-Undang Nomor 4 Tahun 2023 dan Peraturan Otoritas Jasa Keuangan Nomor 3 Tahun 2024, setiap penyelenggara ITSK wajib melalui proses pengujian, pendaftaran, dan pengawasan secara terstruktur guna menjaga stabilitas sistem keuangan serta melindungi konsumen.

Meskipun demikian, di balik pertumbuhan bisnis dan teknologi yang pesat seringkali mendahului kesiapan struktur kepatuhan dan manajemen risiko internal penyelenggara ITSK itu sendiri. Adapun salah satunya terkait pengelolaan dana dan data publik yang bersifat sensitif, sehingga mampu menempatkan penyelenggara ITSK dalam posisi yang rentan terhadap berbagai risiko. Oleh karena itu, proses kepatuhan hukum tidak berhenti pada tahap perolehan izin operasional, melainkan harus dijaga secara berkelanjutan melalui pemenuhan standar tata kelola dan manajemen risiko untuk menghindari sanksi administratif, pembatasan kegiatan usaha, hingga pencabutan izin usaha.

Mekanisme Perizinan dan Ruang Uji Coba (Regulatory Sandbox) ITSK

Inovasi Teknologi Sektor Keuangan (ITSK) merupakan kegiatan usaha di sektor jasa keuangan yang memanfaatkan teknologi digital untuk menghadirkan atau mengembangkan layanan keuangan melalui sistem elektronik di bawah pengawasan Otoritas Jasa Keuangan (OJK). Izin operasional kegiatan usaha ITSK dapat diperoleh melalui 2 (dua) mekanisme, yakni melalui fase Ruang Uji Coba (regulatory sandbox) dan jalur pendaftaran langsung (tanpa sandbox). 

Berdasarkan Peraturan Otoritas Jasa Keuangan Nomor 3 Tahun 2024 tentang Penyelenggaraan Inovasi Teknologi Sektor Keuangan (“POJK 3/2024”), kewajiban memasuki regulatory sandbox berlaku bagi penyelenggara yang menghadirkan model bisnis baru dan belum diatur secara spesifik dalam kerangka regulasi OJK. Sebaliknya, penyelenggara tidak diwajibkan melewati fase regulatory sandbox apabila model bisnisnya telah dinyatakan lulus uji coba sebelumnya, atau telah diatur secara spesifik oleh OJK misalnya, entitas Pemeringkat Kredit Alternatif dan Penyelenggara Agregasi Jasa Keuangan.

Bagi penyelenggara ITSK yang wajib menempuh jalur regulatory sandbox, langkah yang harus dilakukan adalah mengajukan permohonan pengujian kepada OJK. Permohonan ini wajib melampirkan dokumen rencana pengujian, mencakup skenario pengujian, batasan jumlah pengguna, batasan nilai transaksi, parameter keberhasilan uji coba, mitigasi risiko, hingga exit policy (rencana penyelesaian atau ganti rugi apabila inovasi tersebut dilarang beroperasi di kemudian hari). Selama berada di dalam regulatory sandbox, penyelenggara hanya diizinkan menjalankan operasional secara terbatas di bawah pengawasan ketat untuk memastikan keamanan sistem dan pelindungan konsumen. Pasca-berakhirnya masa uji coba, OJK akan melakukan evaluasi dan menetapkan status “Lulus/Direkomendasikan” atau “Tidak Lulus/Tidak Direkomendasikan”. Sementara itu, bagi penyelenggara yang model bisnisnya tidak memerlukan fase regulatory sandbox, proses perizinan dapat langsung diajukan melalui aplikasi Sistem Perizinan dan Registrasi Terintegrasi (SPRINT) yang dikembangkan oleh OJK.

Standar Tata Kelola dan Manajemen Risiko Pasca-Perizinan

Memperoleh izin operasional bukanlah garis akhir, melainkan awal dari tanggung jawab pengawasan dan kepatuhan yang lebih ketat. Mengacu pada Peraturan Otoritas Jasa Keuangan Nomor 30 Tahun 2025 tentang Penerapan Tata Kelola dan Manajemen Risiko bagi Penyelenggara Inovasi Teknologi di Sektor Keuangan (“POJK 30/2025”), setiap penyelenggara ITSK diwajibkan untuk mengimplementasikan prinsip Tata Kelola Perusahaan yang Baik (good corporate governance). Dalam penerapannya, penyelenggara wajib memiliki fungsi manajemen risiko, kepatuhan (compliance), dan audit internal yang memadai.

Sebagai bagian dari kerangka tata kelola tersebut, penyelenggara ITSK wajib melakukan fungsi manajemen risiko dengan memitigasi berbagai profil risiko utama yang meliputi:

1. Risiko Strategis: Risiko kerugian yang timbul akibat ketidaktepatan dalam merumuskan keputusan bisnis atau kegagalan dalam merespons perubahan tren pasar dan teknologi.
2. Risiko Operasional: Risiko yang disebabkan oleh ketidakcukupan atau kegagalan pada proses internal, kesalahan tata kelola Sumber Daya Manusia (SDM), maupun gangguan pada sistem infrastruktur harian.
3. Risiko Siber: Ancaman keamanan teknologi informasi yang dapat melumpuhkan sistem operasional, termasuk potensi peretasan (hacking) hingga kebocoran data pribadi konsumen.
4. Risiko Hukum: Potensi kerugian akibat kelemahan aspek legal, seperti cacat dalam penyusunan kontrak, ketiadaan landasan hukum yang mendukung, hingga munculnya gugatan dari pihak ketiga.
5. Risiko Kepatuhan: Risiko yang berpotensi memicu sanksi akibat kegagalan penyelenggara dalam mematuhi peraturan perundang-undangan dan standar kehati-hatian dari regulator.
6. Risiko Reputasi: Ancaman terhadap penurunan tingkat kepercayaan publik dan investor yang bersumber dari publisitas buruk atau persepsi negatif terhadap kualitas layanan serta integritas penyelenggara ITSK.

Baca juga: Apa Saja Hal-Hal Krusial yang Wajib Diperhatikan Sebelum Memutuskan untuk Melakukan Investasi di Bidang Teknologi?

Konsekuensi Hukum atas Pelanggaran Standar Kepatuhan

Kegagalan penyelenggara ITSK dalam mematuhi kerangka perizinan dan standar tata kelola akan memicu serangkaian konsekuensi hukum. Otoritas berwenang dapat menjatuhkan sanksi yang tidak hanya menyasar entitas korporasi, tetapi juga dapat berimbas pada pertanggungjawaban jajaran pengurus perusahaan (Direksi dan Dewan Komisaris).

Terhadap entitas perusahaan, pelanggaran kepatuhan dapat berujung pada penjatuhan sanksi administratif secara berjenjang oleh OJK sebagaimana tertera dalam Pasal 73 ayat (1) POJK 30/2025, meliputi:

1. Peringatan tertulis;
2. Penghentian sementara, sebagian, atau seluruh kegiatan termasuk pelaksanaan kerja sama;
3. Denda administratif;
4. pencantuman pihak utama dalam daftar orang tercela di sektor keuangan; dan/atau
5. Pencabutan izin usaha.

Mengingat ekosistem regulasi keuangan digital di Indonesia bergerak dengan sangat dinamis, sehingga pemahaman yang komprehensif terhadap setiap perubahan aturan menjadi syarat mutlak agar bisnis dapat terus berinovasi secara aman dan legal. Oleh karena itu, penyelenggara ITSK wajib menyusun dan mengimplementasikan kerangka manajemen risiko secara menyeluruh sejak tahap perencanaan bisnis. Mulai dari sistem keamanan siber yang berlapis, prosedur kepatuhan yang ketat, hingga perlindungan data konsumen sebagai syarat utama dalam menjaga kelangsungan bisnis dan kepercayaan publik di ekosistem keuangan digital.***

Baca juga: Peran Teknologi Energi Terbarukan sebagai Strategi Ketahanan Energi Nasional

Daftar Hukum:

• Undang-Undang Nomor 4 Tahun 2023 tentang Pengembangan dan Penguatan Sektor Keuangan (“UU P2SK”)
• Peraturan Otoritas Jasa Keuangan Nomor 3 Tahun 2024 tentang Penyelenggaraan Inovasi Teknologi Sektor Keuangan (“POJK 3/2024”)
• Peraturan Otoritas Jasa Keuangan Nomor 30 Tahun 2025 tentang Penerapan Tata Kelola dan Manajemen Risiko bagi Penyelenggara Inovasi Teknologi di Sektor Keuangan (“POJK 30/2025”)
• Surat Edaran Otoritas Jasa Keuangan Nomor 6/SEOJK.07/2024 tentang Pendaftaran Penyelenggara Inovasi Teknologi Sektor Keuangan (“SEOJK 6/2024”)

Author / Contributor: