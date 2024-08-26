Manajemen risiko pihak ketiga tetap menjadi prioritas utama bagi regulator federal dan negara bagian AS, yang baru-baru ini memberlakukan tindakan penegakan terhadap lembaga keuangan. Hal ini mengakibatkan jutaan denda perdata untuk pelanggaran Undang-Undang Kerahasiaan Bank (BSA) dan untuk kontrol manajemen risiko pihak ketiga yang lemah.
Tindakan terbaru menggambarkan bahwa regulator makin meminta pertanggungjawaban lembaga keuangan atas hubungan pihak ketiga mereka, termasuk entitas fintech. Badan pengatur mengharapkan bahwa lembaga menetapkan praktik berbasis risiko untuk melakukan uji tuntas yang memadai terhadap pihak ketiga ini dan terus memantau, menilai, dan mengendalikan risiko hubungan ini.
Selama 18 bulan terakhir, regulator telah meningkatkan fokus mereka, mengeluarkan panduan terperinci dan beberapa perintah persetujuan dan manajemen risiko pihak ketiga.
Pada bulan Juni 2023, Kantor Pengawas Mata Uang (OCC), Dewan Federal Reserve, dan Perusahaan Penjamin Simpanan Federal (FDIC) merilis panduan antarlembaga tentang manajemen risiko pihak ketiga untuk lembaga keuangan. Panduan ini akan digunakan sebagai peta jalan yang meletakkan dasar dari ekspektasi peraturan. Tujuannya adalah untuk secara efektif mengelola risiko yang terkait dengan hubungan pihak ketiga dan praktik terbaik mereka.
Kurang dari setahun kemudian, OCC mengeluarkan perintah persetujuan terhadap sebuah bank regional Atlantik Selatan setelah mengidentifikasi kelemahan dalam program manajemen risiko pihak ketiganya.
FDIC menentukan fintech di kawasan timur laut yang terlibat dalam praktik perbankan yang tidak aman dan tidak sehat. FDIC mengeluarkan perintah persetujuan yang berkaitan dengan, antara lain, kegagalan bank untuk memiliki kontrol internal dan sistem informasi yang sesuai dengan ukurannya. Perintah tersebut juga membahas sifat, cakupan, kompleksitas, dan risiko hubungan dengan pihak ketiga.
FDIC juga mengeluarkan perintah persetujuan yang menginstruksikan bank regional midwestern untuk mengembangkan kebijakan dan prosedur yang tepat untuk manajemen risiko pihak ketiga. Solusi ini juga menyerukan peningkatan uji tuntas dan pemantauan pihak ketiga yang menyelesaikan tanggung jawab anti-pencucian uang (AML) dan melawan pendanaan terorisme (CFT).
Institusi sering mengandalkan penyedia layanan pihak ketiga untuk menjalankan kontrol FCC mereka. Secara historis, layanan pihak ketiga terbatas untuk mengidentifikasi berita negatif, penyaringan sanksi, dan pemantauan transaksi. Baru-baru ini, layanan ini telah diperluas untuk mencakup proses seperti verifikasi identitas pelanggan, pemeriksaan data elektronik, kecerdasan buatan generatif dalam manajemen kasus uji tuntas yang ditingkatkan, investigasi peringatan, dan penilaian risiko.
Institusi mungkin memiliki pemantauan proses internal yang ketat dan berkelanjutan. Namun, tanpa memperluas standar dan praktik tersebut ke pihak ketiga, perusahaan berisiko melakukan orientasi pelanggan yang salah, menutup peringatan yang salah, atau gagal mengajukan peringatan aktivitas yang mencurigakan. Lembaga yang melakukan uji tuntas yang memadai atau penilaian risiko vendor berkala dapat menghindari risiko kepatuhan yang diperkenalkan oleh pihak ketiga.
Terlepas dari manfaat yang diperoleh dari penggunaan pihak ketiga, lembaga keuangan harus menyadari, mempertahankan, dan mengelola risiko FCC yang ditimbulkan oleh pihak ketiga tersebut. Untuk melakukan hal tersebut, mereka harus menerapkan program manajemen risiko pihak ketiga yang memungkinkan pengelolaan risiko dan pemantauan aktivitas pihak ketiga guna membantu memastikan kepatuhan terhadap kewajiban regulasi mereka.
Siklus hidup untuk membantu memastikan pengawasan dan manajemen yang memadai terhadap pihak ketiga menggabungkan tiga komponen manajemen risiko utama: tinjauan uji tuntas, pemantauan berkelanjutan, dan penilaian risiko.
Banyak lembaga keuangan dapat meningkatkan ulasan kepatuhan standar mereka sebagai bagian dari uji tuntas selama fase kontrak dengan hubungan pihak ketiga yang baru. Sebagaimana dijelaskan dalam panduan antar lembaga baru-baru ini, hal ini termasuk mengevaluasi efektivitas manajemen risiko pihak ketiga secara keseluruhan, termasuk kebijakan, proses, dan kontrol internal. Ini juga melibatkan memeriksa keselarasan mereka dengan kebijakan dan harapan seputar kegiatan.
Uji tuntas juga harus mencakup ulasan terhadap teknologi yang mereka gunakan untuk memverifikasi apakah pihak tersebut berpotensi menimbulkan risiko baru atau risiko lainnya. Unit kepatuhan lembaga keuangan dapat melakukan pengujian awal untuk memeriksa kualitas layanan yang diberikan. Hal ini juga dilakukan untuk membantu memastikan bahwa pihak ketiga diatur untuk beroperasi dalam ambang toleransi risiko lembaga.
Pedoman antarlembaga menetapkan standar untuk keamanan informasi, keselamatan, dan kesehatan untuk pemantauan berkelanjutan terhadap praktik terbaik. Regulator mengharapkan lembaga keuangan untuk memantau kinerja pihak ketiga sepanjang hubungan. Hal ini dilakukan untuk membantu memastikan mereka bekerja sesuai harapan, mengidentifikasi perubahan yang diperlukan dalam hubungan, dan memungkinkan perubahan yang dihasilkan terhadap risiko dan kontrol mereka. Kegiatan manajemen risiko utama dalam fase pemantauan berkelanjutan meliputi:
Lembaga keuangan dapat menentukan profil risikonya dengan lebih akurat untuk mengidentifikasi risiko kepatuhan kejahatan keuangan dengan meningkatkan penilaian risiko AML dan BSA tahunan yang ada. Mereka dapat mengidentifikasi risiko yang dikenakan oleh pihak ketiga dan memperkenalkan kontrol untuk mengurangi risiko. Mereka juga dapat memetakan hubungan dengan persyaratan peraturan dan mendokumentasikan titik data pihak ketiga utama.
Tidak semua pihak ketiga dapat menjamin uji tuntas dan pemantauan sebanyak itu, tetapi penilaian risiko pihak ketiga secara keseluruhan dapat membantu lembaga menentukan pendekatan berbasis risiko yang tepat.
Tim ahli kami yang terdiri dari para pakar di bidangnya meningkatkan dan menyempurnakan program manajemen risiko pihak ketiga. Layanan konsultasi kami dapat membantu organisasi Anda menilai kebijakan dan prosedur manajemen risiko pihak ketiga. Kami juga dapat menilai cakupan program AML Anda terhadap manajemen risiko pihak ketiga untuk membantu memastikan program tersebut seimbang dengan toleransi risiko organisasi Anda.
IBM® Promontory dapat membantu Anda mengembangkan uji tuntas AML dan program pemantauan berkelanjutan untuk menjaga kepatuhan terhadap undang-undang AML oleh pihak ketiga yang bertindak atas nama organisasi Anda. IBM® Promontory dapat menilai template kontrak Anda yang digunakan dengan pihak ketiga untuk membantu memastikan mereka alamat kontrol AML. Selain itu, IBM® Promontory dapat mengembangkan tata kelola, pelaporan, dan prosedur mitigasi risiko untuk pihak ketiga yang memiliki peran dalam menjalankan kontrol AML.
Bekerja sama dengan IBM, IBM Promontory memiliki peran unik untuk menyediakan analisis data otomatis, ringkasan dan klaster yang dihasilkan AI, dan pelaporan yang didukung AI. IBM watsonX Discovery dapat menganalisis sejumlah besar data yang terkait dengan pihak ketiga, termasuk informasi uji tuntas, catatan transaksi, dan dokumen organisasi. Alat ini dapat mengidentifikasi pola, anomali, dan hubungan yang mungkin tidak terlihat oleh analis manusia. Alat ini juga dapat memberikan visualisasi dan ringkasan. Fungsi ini memungkinkan penemuan faktor-faktor kunci yang terlibat dalam uji tuntas dan peringkat risiko.
IBM® Cloud Pak for Data dapat membantu meringkas dan mengklaster pihak ketiga berdasarkan data mereka, peringkat risiko, dan faktor relevan lainnya. Alat ini juga dapat memberikan rekomendasi untuk mengatasi masalah yang mendasarinya, seperti pemantauan yang ditingkatkan atau offboarding. IBM® Cognos Analytics dapat menghasilkan laporan terperinci tentang tren dan pola pihak ketiga, yang dapat menginformasikan manajemen senior, regulator, dan pemangku kepentingan lainnya.
Regulator telah menjelaskan bahwa mereka berfokus pada bagaimana lembaga mengelola risiko kejahatan keuangan pihak ketiga. Lembaga keuangan memerlukan program yang efisien dan efektif untuk melakukan uji tuntas terhadap pihak ketiga dan secara terus menerus memantau, menilai, dan mengendalikan risiko yang timbul dari hubungan tersebut.