Kebijakan dan Prosedur AML: Panduan Kepatuhan Lengkap

Kebijakan dan Prosedur AML: Panduan Kepatuhan Lengkap

Bank bukanlah satu-satunya pihak yang perlu khawatir tentang pencucian uang. Bursa kripto, pemroses pembayaran, pedagang daring — jika bisnis Anda memindahkan uang, regulator di suatu tempat pada akhirnya akan bertanya bagaimana Anda menghentikan dana ilegal agar tidak melewati bisnis Anda. Jawaban Anda harus tertulis. Itulah kebijakan AML Anda, dan jika kebijakan dan prosedur AML Anda salah, Anda akan menghadapi denda, pembekuan rekening, dan kerusakan reputasi yang akan bertahan lebih lama daripada pelanggaran yang menyebabkannya.

Jadi, apa sebenarnya isi dari dokumen-dokumen ini? Panduan ini akan membahas apa saja yang terkandung dalam kebijakan AML, mengapa regulator mewajibkannya, dan bagaimana menyusun kerangka kerja yang dapat lolos audit. Tidak masalah apakah Anda menjalankan bank, startup fintech, atau bisnis pembayaran kripto — logika di baliknya tetap sama.

Apa Itu Kebijakan dan Prosedur AML?

Kebijakan AML adalah buku aturan tertulis organisasi Anda untuk mendeteksi, menghentikan, dan melaporkan pencucian uang dan pendanaan terorisme. Anggap saja sebagai "apa" dan "mengapa" — selera risiko, jenis pelanggan mana yang langsung ditolak, siapa di antara staf yang bertanggung jawab atas apa. Seluruh disiplin ini dikenal dengan nama anti pencucian uang, atau AML, dan regulator menggunakan istilah itu sebagai singkatan untuk hampir semua kontrol yang bertujuan untuk mencegah uang kotor masuk ke sistem keuangan.

Prosedur mencakup "bagaimana" prosesnya. Suatu transaksi akan ditandai dengan cara tertentu. Seseorang akan meninjaunya. Laporan aktivitas mencurigakan akan diajukan, mengikuti proses tertentu. Kebijakan dan prosedur bersama-sama membentuk bagian dari apa yang biasanya disebut program kepatuhan AML, yang juga mencakup pelatihan, teknologi, dan audit independen.

Orang-orang seringkali mencampuradukkan istilah-istilah ini, tetapi regulator tidak. Kebijakan tanpa prosedur di baliknya pada dasarnya tidak dapat ditegakkan. Prosedur tanpa kebijakan yang mendukungnya tidak memiliki dasar hukum.

Inilah mengapa perbedaan ini benar-benar penting dalam praktik sehari-hari: seorang pemeriksa tidak hanya akan memeriksa apakah dokumen kebijakan ada di suatu tempat di dalam laci. Mereka akan mengambil transaksi nyata dan menelusurinya melalui prosedur Anda, memeriksa apakah dokumen tersebut sesuai dengan apa yang sebenarnya terjadi. Banyak kebijakan yang tampak bagus di atas kertas tetapi runtuh begitu seseorang mengujinya dengan file nyata — ini adalah salah satu celah paling umum yang ditemukan auditor di perusahaan kecil dan menengah.

Mengapa Setiap Bisnis Membutuhkan Kebijakan AML (Anti-Money Laundering)

Ini bukan kejahatan kecil yang kita bicarakan. PBB memperkirakan angka pencucian uang mencapai 2–5% dari PDB global setiap tahunnya, dan pada tahun 2023 saja tercatat lebih dari $3 triliun dana ilegal mengalir melalui perekonomian dunia. Setiap bisnis yang gagal mengendalikan aliran dana tersebut melalui pintu mereka sendiri, baik disadari maupun tidak, menjadi bagian dari jalur peredaran uang ilegal.

Pihak berwenang mengetahui hal ini, itulah sebabnya lembaga keuangan, bisnis jasa keuangan, dan sekarang perusahaan kripto semuanya menghadapi kewajiban kepatuhan AML (Anti-Money Laundering) yang wajib. Sanksi berkisar dari denda hingga pencabutan izin operasional sepenuhnya. Dan risiko hukum sebenarnya hanyalah sebagian kecil dari masalah — skandal pencucian uang akan membekas dalam ingatan pelanggan dan mitra selama bertahun-tahun.

Auditor dan regulator meminta kebijakan yang terdokumentasi terlebih dahulu, sebelum hal lainnya. Tanpa kebijakan berarti tidak ada cara untuk membuktikan itikad baik, meskipun apa yang Anda lakukan sehari-hari sebenarnya sangat wajar.

Coba lihat sejarah penegakan hukum. Regulator di seluruh dunia terus memberikan denda jutaan dolar untuk kegagalan program AML, dan seringkali pencucian uang itu sendiri bahkan tidak pernah terbukti — denda tersebut berasal dari celah dalam kebijakan, pelatihan, atau pemantauan yang membuat pencegahan tidak mungkin dibuktikan. Kebijakan yang dibangun dengan baik jauh lebih murah daripada risiko seperti itu.

Kebijakan dan Prosedur AML: Panduan Kepatuhan Lengkap

Undang-Undang dan Peraturan AML Penting yang Harus Anda Ketahui

Persyaratan AML (Anti-Money Laundering) berbeda-beda di setiap yurisdiksi, tetapi sejumlah kerangka kerja membentuk hampir setiap kebijakan yang dibuat saat ini. Memahami kerangka kerja tersebut adalah cara tercepat untuk mengetahui apa yang harus dicakup oleh dokumen Anda.

Peraturan Wilayah Persyaratan inti
Undang-Undang Kerahasiaan Bank (BSA) Amerika Serikat Membutuhkan pencatatan, pelaporan transaksi mencurigakan, dan program AML tertulis.
Undang-Undang Patriot AS, Bagian 352 Amerika Serikat Mandat ini mencakup empat pilar: petugas kepatuhan, pelatihan, pengujian, dan pengendalian internal.
Arahan Anti Pencucian Uang Uni Eropa (AMLD) Uni Eropa Menyelaraskan aturan uji tuntas pelanggan, kepemilikan manfaat, dan pelaporan di seluruh negara anggota.
Rekomendasi FATF Global Menetapkan standar internasional yang menjadi dasar pembuatan undang-undang anti pencucian uang nasional.

Tak satu pun dari kerangka kerja ini merupakan tambahan opsional. Semuanya adalah dasar, dan kebijakan yang mengabaikan kerangka kerja yang relevan dengan wilayah operasi Anda akan gagal dalam tinjauan regulasi pertama. Satuan Tugas Aksi Keuangan (FATF), khususnya, menetapkan tolok ukur yang menjadi model bagi sebagian besar undang-undang anti pencucian uang dan pendanaan terorisme nasional. Itulah mengapa bahasa FATF muncul dalam kebijakan yang ditulis di berbagai belahan dunia.

Komponen Inti yang Harus Ada dalam Setiap Kebijakan AML

Pasal 352 dari USA PATRIOT Act menetapkan empat pilar wajib untuk program kepatuhan AML tertulis, dan sebagian besar kerangka kerja global mencerminkannya dengan cermat. Kebijakan apa pun yang kehilangan salah satu dari pilar ini tidak lengkap menurut standar peraturan:

  • Seorang petugas kepatuhan yang ditunjuk bertanggung jawab atas pengawasan AML sehari-hari dan pelaporan peraturan.
  • Pelatihan karyawan berkelanjutan yang mencakup tanda-tanda peringatan, kewajiban pelaporan, dan pembaruan peraturan.
  • Pengujian atau audit independen untuk memastikan program berfungsi sebagaimana mestinya, bukan hanya sebagaimana yang dirancang.
  • Kebijakan, prosedur, dan pengendalian internal tertulis yang mencakup proses pendaftaran pelanggan hingga pemantauan transaksi.

Kebijakan AML modern biasanya menambahkan dua komponen lagi di atas empat pilar tersebut: penilaian risiko AML yang terdokumentasi dan proses penyaringan sanksi. Regulator semakin menganggap keduanya sebagai hal yang wajar, bahkan jika hukum tidak secara eksplisit menyebutkannya.

Kesalahan yang sering terjadi adalah memperlakukan komponen-komponen ini sebagai daftar periksa yang harus dipenuhi sekali saja, alih-alih sebagai sistem yang dinamis. Peran petugas kepatuhan, misalnya, membutuhkan wewenang dan anggaran yang nyata. Jabatan tanpa keduanya tidak akan berlaku jika regulator bertanya siapa sebenarnya yang memiliki wewenang untuk membekukan akun yang mencurigakan. Pelatihan yang hanya dilakukan sekali saat orientasi dan tidak pernah diulangi lagi akan cepat ketinggalan zaman dengan tipologi baru dan peraturan yang diperbarui.

Uji Tuntas Pelanggan dan Prosedur Berbasis Risiko

Uji tuntas pelanggan, atau CDD, artinya mencari tahu dengan siapa sebenarnya Anda berbisnis, baik saat pendaftaran maupun setelahnya. Itu berarti mengkonfirmasi identitas, memahami apa yang sebenarnya dilakukan pelanggan, dan mengawasi hal-hal yang mencurigakan. Penilaian risiko AML (Anti-Money Laundering) adalah yang memberi tahu Anda di mana harus mencurahkan upaya ekstra — akun mana yang hanya perlu diperiksa selama dua menit dan mana yang perlu diteliti lebih lanjut.

Risiko tidak terdistribusi secara merata di antara pelanggan, dan itulah inti dari pendekatan berbasis risiko. Orang yang memiliki pengaruh politik, pelanggan yang berbasis di yurisdiksi berisiko tinggi, rekening yang memindahkan uang dengan pola yang aneh — semua ini membutuhkan uji tuntas yang lebih ketat. Pemeriksaan latar belakang yang lebih mendalam. Pemantauan yang lebih sering. Persetujuan dari seseorang yang lebih senior sebelum rekening diproses lebih lanjut. Jika Anda melewatkan orang yang memiliki pengaruh politik, Anda akan segera menarik perhatian regulator, jadi jangan gabungkan penyaringan tersebut ke dalam proses pendaftaran umum — berikan langkah khusus tersendiri.

Kemudian ada penyaringan sanksi, memeriksa pelanggan baru (dan jujur saja, transaksi juga) terhadap daftar pemerintah seperti OFAC sebelum uang berpindah ke mana pun. Melewatkan langkah ini berarti Anda telah melakukan salah satu kesalahan paling mahal yang dapat terkandung dalam kebijakan AML.

Semua ini tidak berhenti setelah proses onboarding. Pelanggan yang tampak aman sepenuhnya pada hari pertama mungkin tidak akan tetap seperti itu — volume transaksi yang lebih besar, pihak lawan baru di tempat-tempat berisiko, aktivitas yang tidak lagi sesuai dengan apa yang mereka katakan tentang bisnis mereka. Kebijakan berbasis risiko yang baik meninjau kembali peringkat pelanggan secara berkala, alih-alih memperlakukan pemeriksaan pertama sebagai satu-satunya tahapan.

Langkah demi Langkah: Membangun Kerangka Kebijakan AML Anda

Menyusun kebijakan AML dari awal akan lebih mudah jika Anda mengikuti urutan yang tetap. Berikut adalah urutan yang menghasilkan dokumen yang dapat dipertanggungjawabkan dan siap diaudit:

  1. Lakukan penilaian risiko — petakan produk, pelanggan, dan wilayah geografis mana yang membuat Anda menghadapi risiko pencucian uang tertinggi.
  2. Tunjuklah seorang petugas kepatuhan atau MLRO — seseorang yang memiliki wewenang dan sumber daya untuk menjalankan program tersebut sehari-hari.
  3. Tetapkan cakupan kebijakan dan toleransi risiko — nyatakan dengan jelas jenis pelanggan dan aktivitas apa yang dapat diterima, dibatasi, atau dilarang.
  4. Tetapkan pemicu CDD dan uji tuntas yang ditingkatkan — tentukan secara tepat kapan pemeriksaan standar meningkat ke tinjauan yang lebih mendalam.
  5. Buat aturan pemantauan transaksi — tentukan ambang batas dan pola yang memicu peringatan internal.
  6. Tetapkan proses pelaporan aktivitas mencurigakan (SAR) — dokumentasikan siapa yang meninjau peringatan dan bagaimana pengajuan disampaikan kepada regulator.
  7. Latih semua staf yang relevan — bukan hanya tim kepatuhan, tetapi siapa pun yang berinteraksi langsung dengan pelanggan atau menangani transaksi.
  8. Jadwalkan audit independen — masukkan tinjauan berkala ke dalam kalender sebelum kebijakan diberlakukan, bukan setelah regulator memintanya.

Mengikuti urutan ini menghindari kesalahan umum: menulis prosedur terperinci sebelum penilaian risiko yang mendasarinya dilakukan. Melewatkan langkah itu biasanya akan membuat Anda harus menulis ulang setengah dokumen tersebut di kemudian hari.

Sebagian besar bisnis dapat menyelesaikan draf kerja kerangka kerja ini dalam empat hingga enam minggu, meskipun jangka waktunya sangat bergantung pada berapa banyak lini produk dan yurisdiksi yang perlu dicakup oleh kebijakan tersebut. Perusahaan yang mencoba memadatkan ini menjadi beberapa hari biasanya berakhir dengan bahasa umum yang dipinjam dari templat. Bahasa tersebut tampak lengkap, tetapi tidak mencerminkan profil risiko aktual mereka, dan itulah yang akan pertama kali diperhatikan oleh auditor.

Pemantauan, Audit, dan Pembaruan Prosedur AML

Kebijakan Anda hanya akan efektif jika didukung oleh sistem pemantauan transaksi yang andal. Baik sistem tersebut manual maupun otomatis, sistem tersebut perlu mendeteksi penataan transaksi yang tidak wajar, pergerakan dana yang luar biasa cepat, atau aktivitas yang tidak sesuai dengan profil nasabah pada umumnya.

Waktu sangat penting begitu sesuatu terlihat mencurigakan. Bisnis umumnya diberi waktu 30 hari berdasarkan Undang-Undang Kerahasiaan Bank untuk mengajukan laporan aktivitas mencurigakan sebelum denda keterlambatan diberlakukan. Dan jangan membuang dokumen-dokumen tersebut setelahnya — dokumen identitas, catatan transaksi, SAR, semuanya harus disimpan selama lima tahun berdasarkan Undang-Undang Kerahasiaan Bank dan EU AMLD4.

Kebijakan itu sendiri juga perlu ditinjau ulang, bukan hanya transaksi yang berjalan melaluinya. Regulasi berubah, model bisnis berubah, taktik pencucian uang baru muncul. Sebagian besar tim kepatuhan meninjau kebijakan AML mereka setidaknya sekali setahun, ditambah pembaruan tambahan setiap kali regulasi atau paparan risiko berubah cukup signifikan.

Pertimbangan Kepatuhan AML Internasional

Jika Anda tetap berada di satu negara, Anda hanya perlu memenuhi satu kerangka peraturan. Namun, jika Anda melintasi perbatasan, tiba-tiba kebijakan Anda harus sesuai dengan beberapa kerangka peraturan sekaligus, tanpa ada yang saling bertentangan.

Yang sebenarnya dilakukan sebagian besar tim kepatuhan: menulis satu kebijakan global inti, kemudian menambahkan lampiran lokal untuk setiap yurisdiksi. Inti kebijakan tersebut menangani hal-hal universal, pendekatan berbasis risiko, CDD (Customer Due Diligence), dan penyaringan sanksi. Lampiran tersebut membahas format pelaporan lokal, siapa yang harus dihubungi di regulator, dan ambang batas yang berbeda dari satu negara ke negara lain.

Bisnis fintech dan kripto paling merasakan tekanan ini, karena banyak dari mereka melayani pelanggan di puluhan yurisdiksi bahkan sebelum mereka mencapai ulang tahun pertama mereka. Pertahankan kebijakan sebagai satu dokumen global, ditinjau secara terpusat, dan diterapkan secara lokal. Itulah cara Anda menghindari celah yang muncul ketika kebijakan regional digabungkan setelah fakta, alih-alih dirancang seperti itu sejak awal.

Lebih dari sekadar urusan administrasi, hal ini juga perlu dipertimbangkan. Transaksi yang tidak menimbulkan kecurigaan di bawah ambang batas suatu negara mungkin memicu laporan wajib di negara lain. Jadi, siapa yang membuat keputusan ketika dua kerangka kerja berbeda? Biasanya, keputusan itu jatuh kepada satu orang, yaitu petugas kepatuhan atau MLRO, yang perlu memahami di mana ambang batas tersebut berbeda.

Kebijakan dan Prosedur AML: Panduan Kepatuhan Lengkap

Kepatuhan AML untuk Bisnis Kripto dan Pembayaran Digital

Kripto mendapat pengawasan AML (Anti-Money Laundering) yang lebih ketat daripada sebagian besar fintech tradisional, dan jujur saja, mudah untuk memahami alasannya. Dompet anonim, transfer lintas batas dalam hitungan detik, penyelesaian blockchain yang bergerak lebih cepat daripada transfer bank — semua itu meningkatkan risiko bagi regulator yang berupaya mencegah pencucian uang dan pendanaan terorisme melalui aset digital. Dan pengawasan itu sepenuhnya tertuju pada siapa pun yang memproses pembayaran kripto.

Kebijakan AML yang siap untuk kripto membutuhkan beberapa hal yang tidak tercakup dalam templat layanan keuangan standar:

  • Pemeriksaan alamat dompet terhadap basis data aktivitas ilegal dan sanksi yang dikenal sebelum menerima dana.
  • Pemantauan transaksi on-chain yang melacak aliran dana di berbagai tahapan, bukan hanya pengirim langsung.
  • Jalur eskalasi yang jelas untuk transaksi yang melibatkan mixer, bursa berisiko tinggi, atau alamat yang masuk daftar hitam.

Jika Anda menjalankan e-commerce dan menerima kripto, membangun seluruh infrastruktur itu sendiri adalah tindakan yang berlebihan. Cara yang lebih mudah: bekerja sama dengan penyedia layanan pembayaran yang sudah memiliki kontrol AML dan KYC yang terintegrasi. Plisio menangani penyaringan dompet dan transaksi sebagai bagian dari infrastrukturnya, sehingga pedagang dapat menerima kripto tanpa harus menanggung seluruh beban kepatuhan sendirian.

Kesenjangan itu lebih besar dari yang terlihat pada awalnya. Pedagang yang membangun sistem pembayaran kripto di atas prosesor tanpa kontrol AML (Anti-Money Laundering) akan mewarisi risiko itu secara diam-diam — tidak ada yang menyadarinya sampai regulator atau mitra perbankan mulai mengajukan pertanyaan sulit tentang paparan dana ilegal. Pilih infrastruktur yang sudah menangani penyaringan, dan Anda akan memiliki jawaban yang siap bahkan sebelum ada yang bertanya.

Kesimpulan Akhir

Kebijakan AML yang kuat bukanlah dokumen yang Anda tulis sekali dan kemudian disimpan. Ini adalah kerangka kerja yang dinamis yang perlu dipantau, diaudit, dan diperbarui secara berkala seiring dengan perkembangan regulasi dan risiko. Dengan memahami dasar-dasarnya dengan benar, yaitu penilaian risiko yang jelas, prosedur uji tuntas yang terdefinisi, dan petugas kepatuhan yang ditunjuk, maka bisnis apa pun, dari bank tradisional hingga platform pembayaran kripto, akan unggul dalam sebagian besar tinjauan regulasi.

Bisnis yang kesulitan dengan kepatuhan AML jarang sekali menghadapi risiko yang benar-benar baru — mereka adalah bisnis yang memperlakukan kebijakan mereka sebagai latihan administrasi sekali waktu, bukan sebagai sistem operasional. Membangun kebijakan dan prosedur AML yang solid sejak awal, dengan kepemilikan nyata dan tinjauan berkala yang terintegrasi, jauh lebih murah daripada membangunnya kembali setelah pelanggaran memaksa masalah tersebut muncul.

Ada pertanyaan?

Empat pilar tertulis langsung dalam USA PATRIOT Act — petugas kepatuhan, pelatihan, pengujian independen, dan pengendalian internal. Tidak ada yang menulis pilar kelima ke dalam undang-undang, tetapi penilaian risiko yang terdokumentasi telah menjadi cukup umum sehingga orang tetap menambahkannya.

Selera risiko. Aturan CDD (Customer Due Diligence). Penyaringan sanksi. Ambang batas pemantauan. Proses pengajuan laporan aktivitas mencurigakan. Persyaratan pelatihan. Jadwal audit. Dan nama seseorang yang tercantum sebagai pemilik semuanya.

Jawaban singkat: jika Anda adalah bank, koperasi kredit, bisnis jasa keuangan, bursa kripto, atau kasino, ya. Jawaban lebih panjang — regulator terus memperluas daftar "berisiko tinggi", jadi periksa yurisdiksi spesifik Anda daripada berasumsi Anda dikecualikan.

Minimal setahun sekali. Lebih sering jika peraturan berubah, Anda memasuki pasar baru, atau audit menemukan sesuatu. Kebijakan yang tidak disentuh selama dua tahun pada dasarnya adalah undangan bagi auditor untuk menemukan masalah.

Sehari-hari, merekalah yang meninjau peringatan dan memutuskan apa yang perlu ditindaklanjuti. Ketika berkas regulator masuk, berkas tersebut melalui mereka. Ketika audit terjadi, merekalah yang menjadi titik kontak. Hampir setiap kerangka kerja AML utama menjadikan posisi ini sebagai persyaratan wajib.

Tingkat keparahannya bervariasi. Terkadang berupa denda dan tenggat waktu perbaikan. Terkadang bank diam-diam menutup rekening Anda. Dalam kasus terburuk, lisensi dicabut dan petugas individual menghadapi tanggung jawab pribadi atas kelalaian yang disengaja.

Ready to Get Started?

Create an account and start accepting payments – no contracts or KYC required. Or, contact us to design a custom package for your business.

Make first step

Always know what you pay

Integrated per-transaction pricing with no hidden fees

Start your integration

Set up Plisio swiftly in just 10 minutes.