Cara Mengatasi Kekhawatiran Regulasi yang Meningkat untuk Manajemen Risiko Pihak Ketiga

Manajemen risiko pihak ketiga tetap menjadi fokus utama bagi regulator federal dan negara bagian di AS. Baru-baru ini, mereka telah menerapkan tindakan penegakan hukum terhadap lembaga keuangan, yang mengakibatkan denda miliaran dolar karena pelanggaran Undang-Undang Kerahasiaan Bank (BSA) dan kontrol risiko pihak ketiga yang kurang memadai.

Tindakan-tindakan terbaru menunjukkan bahwa regulator semakin ketat dalam menuntut pertanggungjawaban lembaga keuangan terkait hubungan mereka dengan pihak ketiga, termasuk entitas fintech. Badan pengatur mengharapkan lembaga-lembaga ini untuk menerapkan praktik berbasis risiko dalam melakukan uji tuntas yang menyeluruh terhadap pihak ketiga dan secara terus-menerus memantau, menilai, serta mengendalikan risiko yang terkait dengan hubungan tersebut.

Lembaga keuangan harus mematuhi standar manajemen risiko yang lebih tinggi

Dalam 18 bulan terakhir, regulator telah semakin menajamkan perhatian mereka pada manajemen risiko pihak ketiga, dengan mengeluarkan panduan rinci serta berbagai perintah persetujuan.

Pada Juni 2023, Kantor Pengawas Mata Uang (OCC), Dewan Cadangan Federal, dan Korporasi Asuransi Simpanan Federal (FDIC) menerbitkan panduan bersama mengenai manajemen risiko pihak ketiga untuk lembaga keuangan. Panduan ini berfungsi sebagai pedoman yang menetapkan dasar harapan regulasi dan bertujuan untuk secara efektif mengelola risiko yang terkait dengan hubungan pihak ketiga serta menerapkan praktik terbaik.

Kurang dari setahun kemudian, OCC mengeluarkan perintah persetujuan terhadap sebuah bank regional di wilayah Atlantik Selatan setelah mengidentifikasi kelemahan dalam program manajemen risiko pihak ketiganya.

FDIC menemukan bahwa sebuah fintech di wilayah timur laut terlibat dalam praktik perbankan yang tidak aman dan tidak sehat. FDIC mengeluarkan perintah persetujuan yang mencakup, antara lain, kegagalan bank tersebut dalam memiliki kontrol internal dan sistem informasi yang memadai sesuai dengan ukuran bank. Perintah ini juga mengaddress sifat, cakupan, kompleksitas, dan risiko dari hubungan pihak ketiga bank tersebut.

Selain itu, FDIC mengeluarkan perintah persetujuan yang meminta sebuah bank regional di Midwest untuk mengembangkan kebijakan dan prosedur yang tepat dalam manajemen risiko pihak ketiga. Perintah tersebut juga meminta peningkatan dalam due diligence dan pemantauan pihak ketiga yang bertanggung jawab atas anti pencucian uang (AML) dan penanggulangan pendanaan terorisme (CFT).

Manajemen risiko pihak ketiga memegang peranan penting dalam kepatuhan terhadap kejahatan finansial (FCC).

Institusi sering mengandalkan penyedia layanan pihak ketiga untuk menjalankan kontrol kepatuhan terhadap kejahatan finansial (FCC) mereka. Seiring waktu, layanan pihak ketiga ini berkembang dari sekadar identifikasi berita negatif, pemantauan sanksi, dan pemantauan transaksi menjadi mencakup verifikasi identitas pelanggan, pembuktian data elektronik, penggunaan kecerdasan buatan generatif dalam manajemen kasus uji tuntas yang ditingkatkan, investigasi peringatan, dan penilaian risiko.

Meskipun institusi mungkin memiliki pemantauan proses internal yang ketat, tanpa memperluas standar dan praktik tersebut ke pihak ketiga, mereka berisiko menerima pelanggan yang tidak sesuai, menutup peringatan yang salah, atau gagal melaporkan aktivitas mencurigakan. Institusi yang melakukan uji tuntas yang memadai atau penilaian risiko vendor secara berkala dapat menghindari risiko kepatuhan yang muncul akibat keterlibatan pihak ketiga.

Meski penggunaan pihak ketiga menawarkan berbagai manfaat, penting bagi institusi keuangan untuk secara proaktif mengelola dan mengatasi risiko FCC yang ditimbulkan oleh pihak ketiga. Untuk itu, mereka perlu menerapkan program manajemen risiko pihak ketiga yang efektif, yang memungkinkan mereka untuk mengelola risiko dan memantau aktivitas pihak ketiga guna memastikan kepatuhan terhadap kewajiban regulasi mereka.

Praktik Terbaik dalam Program Manajemen Risiko Pihak Ketiga

Siklus hidup untuk memastikan pengawasan dan manajemen yang efektif terhadap pihak ketiga melibatkan tiga komponen utama dalam manajemen risiko: tinjauan due diligence, pemantauan berkelanjutan, dan penilaian risiko.

Tinjauan Due Diligence (sebelum penerimaan pihak ketiga):

Banyak institusi keuangan dapat memperkuat tinjauan kepatuhan mereka sebagai bagian dari proses due diligence saat menjalin hubungan dengan pihak ketiga baru. Seperti yang diuraikan dalam panduan antarlembaga terbaru, hal ini meliputi evaluasi efektivitas manajemen risiko secara menyeluruh dari pihak ketiga, termasuk kebijakan, proses, dan kontrol internal mereka. Penting juga untuk mmeriksa keselarasan mereka dengan kebijakan dan ekspektasi terkait aktivitas tersebut.

Due diligence seharusnya juga mencakup penilaian terhadap teknologi yang digunakan oleh pihak ketiga untuk memastikan bahwa mereka tidak memperkenalkan risiko baru atau tambahan. Unit kepatuhan institusi keuangan dapat melakukan uji coba awal untuk menilai kualitas layanan yang diberikan. Langkah ini bertujuan memastikan bahwa pihak ketiga dapat beroperasi sesuai dengan batas toleransi risiko yang ditetapkan oleh institusi.

Pemantauan Berkelanjutan:

Pedoman antar-lembaga menetapkan standar untuk keamanan informasi, keselamatan, dan kesehatan dalam praktik terbaik pemantauan berkelanjutan. Regulator mengharapkan institusi keuangan untuk secara rutin memantau kinerja pihak ketiga selama masa hubungan. Tujuannya adalah untuk memastikan bahwa pihak ketiga memenuhi ekspektasi, mengidentifikasi jika ada perubahan yang diperlukan dalam hubungan tersebut, serta menyesuaikan kontrol risiko sesuai dengan perubahan yang terjadi. Aktivitas utama dalam fase pemantauan berkelanjutan meliputi:

– Memantau indikator risiko utama (KRI) dan indikator kinerja utama (KPI) untuk memastikan kualitas layanan pihak ketiga yang terus-menerus.

– Melaporkan metrik kepada komite tata kelola yang relevan atau petugas BSA secara berkala.

– Melakukan pengujian yang diperlukan.

– Menyelidiki dan menentukan penyebab masalah jika KRI atau KPI dilanggar, serta memantau perbaikan yang dilakukan.

– Memantau risiko, masalah, dan kekhawatiran yang mungkin timbul dari pihak ketiga, serta memastikan kepatuhan terhadap perjanjian tingkat layanan (SLA).

Penilaian Risiko:

Sebuah lembaga keuangan dapat lebih baik menentukan profil risikonya untuk mengidentifikasi risiko kepatuhan terhadap kejahatan keuangan dengan meningkatkan penilaian risiko AML dan BSA tahunan yang ada. Mereka dapat mengidentifikasi risiko yang ditimbulkan oleh pihak ketiga dan memperkenalkan kontrol untuk mengurangi risiko tersebut. Selain itu, mereka juga dapat memetakan hubungan dengan persyaratan regulasi dan mendokumentasikan data kunci terkait pihak ketiga.

Tidak semua pihak ketiga memerlukan tingkat ketelitian dan pemantauan yang sama, namun penilaian risiko keseluruhan terhadap pihak ketiga dapat membantu lembaga dalam menentukan pendekatan berbasis risiko yang sesuai.

Tingkatkan pengelolaan risiko pihak ketiga Anda dengan IBM® Promontory

Tim ahli kami berfokus pada perbaikan dan penguatan program pengelolaan risiko pihak ketiga. Layanan konsultasi kami dapat membantu organisasi Anda dalam menilai kebijakan dan prosedur pengelolaan risiko pihak ketiga. Kami juga dapat menilai sejauh mana program AML Anda mencakup pengelolaan risiko pihak ketiga untuk memastikan bahwa kebijakan tersebut sesuai dengan toleransi risiko organisasi Anda.

IBM Promontory dapat membantu Anda mengembangkan program due diligence dan pemantauan berkelanjutan AML untuk memastikan kepatuhan terhadap undang-undang AML oleh pihak ketiga yang bertindak atas nama organisasi Anda. Kami juga dapat menilai template kontrak yang Anda gunakan dengan pihak ketiga untuk memastikan bahwa mereka mencakup kontrol AML. Selain itu, kami dapat merancang prosedur tata kelola, pelaporan, dan mitigasi risiko untuk pihak ketiga yang terlibat dalam pelaksanaan kontrol AML.

Bersama dengan IBM, IBM Promontory memiliki kemampuan unik untuk menawarkan analisis data otomatis, ringkasan berbasis AI, serta pelaporan yang didorong oleh AI. IBM WatsonX™ Discovery dapat menganalisis data dalam jumlah besar terkait pihak ketiga, termasuk informasi due diligence, catatan transaksi, dan dokumen organisasi. Alat ini mampu mengidentifikasi pola, anomali, dan hubungan yang mungkin tidak terlihat oleh analis manusia, serta menyediakan visualisasi dan ringkasan. Fungsinya memungkinkan penemuan faktor-faktor kunci dalam due diligence dan penilaian risiko.

IBM Cloud Pak for Data® dapat membantu dalam merangkum dan mengelompokkan pihak ketiga berdasarkan data, penilaian risiko, dan faktor relevan lainnya. Alat ini juga dapat memberikan rekomendasi untuk mengatasi masalah mendasar, seperti peningkatan pemantauan atau pemutusan hubungan. IBM Cognos® Analytics dapat menghasilkan laporan mendetail mengenai tren dan pola pihak ketiga, yang dapat digunakan untuk memberi informasi kepada manajemen senior, regulator, dan pemangku kepentingan lainnya.

Regulator telah menegaskan bahwa mereka fokus pada bagaimana institusi mengelola risiko keuangan dari pihak ketiga. Oleh karena itu, institusi keuangan perlu memiliki program yang efisien dan efektif untuk melakukan due diligence terhadap pihak ketiga serta terus memantau, menilai, dan mengendalikan risiko yang timbul dari hubungan tersebut.

Ingin tahu lebih banyak mengenai ibm, silahkan hubungi [email protected]