Otoritas Pengatur Aset Virtual Dubai (VARA) pada 12 Juni menerbitkan “Panduan Praktik Baik Penilaian Risiko Bisnis untuk AML/CFT bagi VASP”, yang secara tegas mengharuskan semua penyedia layanan aset virtual berlisensi (VASP) menyelesaikan peninjauan Penilaian Risiko Bisnis (BRA) AML/CFT setiap tiga bulan sekali, serta harus memperoleh persetujuan resmi dari dewan (atau badan tata kelola setara)—persetujuan hanya oleh manajemen tingkat atas tidak memenuhi persyaratan.
Kewajiban Hukum BRA yang Ditegaskan dalam Pasal III.D VARA
Berdasarkan ketentuan hukum yang ditegaskan dalam Pasal III.D pada “Buku Panduan Aturan Kepatuhan dan Manajemen Risiko VARA”:
Batas Maksimum Jeda Peninjauan: tidak lebih dari tiga bulan (Rule III.D.3)
Pemutakhiran Pemicu Perubahan Signifikan: setiap perubahan signifikan di bidang apa pun yang tercantum dalam Rule III.D.2 harus diperbarui segera
Kewajiban Verifikasi Keberhasilan: VASP harus membuktikan kepada VARA bahwa hasil BRA secara langsung mengarahkan perumusan dan pembaruan kebijakan, prosedur, sistem, dan kontrol AML/CFT (Rule III.D.4)
Cakupan: BRA harus mencerminkan aktivitas bisnis spesifik VASP, basis klien, kumpulan produk, distribusi geografis, serta lingkungan ancaman yang tercermin dalam penilaian risiko nasional Uni Emirat Arab (NRA)
VARA menegaskan: persetujuan hanya oleh manajemen tingkat atas tidak memberikan tantangan independen atau akuntabilitas tata kelola yang setara; BRA harus disetujui secara resmi oleh dewan, dengan mencatat tanggal persetujuan yang spesifik serta substansi diskusi atau tantangan yang dilakukan dewan.
Model Three Lines of Defense dan Persyaratan Kepemilikan MLRO
Persyaratan struktur tata kelola yang ditegaskan dalam panduan VARA:
Garis Pertama Pertahanan: fungsi kepatuhan dan MLRO bertanggung jawab atas persiapan dan kepemilikan konten BRA
Garis Kedua Pertahanan: fungsi risiko atau dewan memberikan tantangan independen
Garis Ketiga Pertahanan: audit internal memverifikasi secara independen metodologi BRA dan efektivitas kontrol; jika kemampuan audit internal terbatas, dapat didelegasikan kepada pihak independen eksternal untuk menjalankan fungsi ini berdasarkan siklus risiko
Panduan juga menegaskan: peninjauan tema BRA VARA 2026 menggunakan pendekatan ganda—kuesioner terstruktur (mencakup delapan topik seperti akuntabilitas tata kelola dan manajemen tingkat atas, ruang lingkup dan metodologi, sumber data dan dasar bukti, dan lain-lain) serta analisis regulatori rinci terhadap dokumen BRA yang diajukan oleh VASP.
Konfirmasi Persyaratan Metodologi Penilaian Kuantitatif dan Integrasi Data
Persyaratan praktik baik metodologi yang ditegaskan dalam panduan VARA:
Kerangka Skoring Kuantitatif: menggunakan matriks skoring berbasis angka (biasanya skala kemungkinan dan konsekuensi lima poin); efektivitas kontrol memakai penilaian bertingkat yang telah ditetapkan; penilaian untuk kategori risiko individual dikonsolidasikan menjadi peringkat risiko BRA keseluruhan melalui peta panas yang dicatat
Persyaratan Integrasi Data: harus mencakup distribusi penilaian risiko klien, data peringatan dari pemantauan transaksi, tren dan nilai kuantum STR/SAR, hasil penyaringan sanksi, volume transaksi produk dan distribusi geografis, serta tingkat eksposur terhadap yurisdiksi berisiko tinggi
Sumber Referensi Eksternal: daftar yurisdiksi berisiko tinggi FATF, laporan tipologi FATF, panduan MENAFATF, serta dokumen analisis strategis UAE FIU juga harus secara eksplisit dikutip dalam BRA, bersama UAE NRA
Pertanyaan yang Sering Diajukan
Seberapa lama paling lambat pembaruan BRA triwulanan yang diwajibkan VARA perlu diselesaikan?
Berdasarkan Pasal III.D.3 dari “Buku Panduan Aturan Kepatuhan dan Manajemen Risiko VARA”, jarak peninjauan BRA tidak boleh lebih dari tiga bulan (yaitu minimal sekali per kuartal). Selain itu, jika terjadi perubahan signifikan di bidang yang tercantum dalam Rule III.D.2, maka tanpa memandang sudah berapa lama sejak peninjauan terakhir, pembaruan harus dilakukan segera.
Mengapa persetujuan BRA hanya oleh manajemen tingkat atas tidak memenuhi persyaratan VARA?
Berdasarkan panduan VARA, peran inti dewan adalah menyediakan tantangan independen atas kesimpulan MLRO (khususnya peringkat risiko sisa, kecukupan asumsi efektivitas kontrol, dan kecukupan kerangka risk appetite). Persetujuan hanya oleh manajemen tingkat atas tidak dapat memberikan kualitas tantangan independen atau akuntabilitas tata kelola yang sama, sehingga tidak memenuhi persyaratan.
Apakah peninjauan tema BRA VARA mencakup semua VASP berlisensi?
Berdasarkan penjelasan dalam panduan, VARA secara berkala melakukan peninjauan tema BRA dalam cakupan industri terhadap seluruh VASP berlisensi, menggunakan pendekatan ganda: kuesioner terstruktur (mencakup delapan wilayah topik) dan analisis regulatori rinci terhadap dokumen BRA yang diajukan oleh VASP. Panduan ini diterbitkan berdasarkan pengamatan regulatori pada peninjauan tema BRA tahun 2026.
