المبدأ
| |
يجب أن تكون المؤسسات المالية قد حددت معايير كشف الاحتيال ووافقت عليها ونفذتها وحافظت عليها، ويجب أن تتماشى المعايير مع مخاطر الاحتيال التي تؤثر على المؤسسة وعملائها.
| |
متطلبات الرقابة
| |
| أ. | يجب على المؤسسات المالية تحديد معايير كشف الاحتيال والموافقة عليها وتنفيذها والحفاظ عليها، حيث تعالج المعايير مخاطر الاحتيال الداخلي ومخاطر الاحتيال الخارجي التي تؤثر على المؤسسة.
| |
| ب. | يجب على المؤسسات المالية مراجعة وتحديث معايير كشف الاحتيال على أساس دوري واستجابة للتغيرات الجوهرية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
| |
| ج. | يجب مراقبة الامتثال لمعايير الكشف عن الاحتيال.
| |
| د. | يجب قياس فعالية معايير كشف الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
| |
| هـ. | يجب استخدام مخرجات تقييم مخاطر الاحتيال لتحديد موضع تركيز نشاط الكشف، ويجب أن تكون الضوابط متناسبة مع مدى قددرة المؤسسة على تحمل المخاطر.
| |
| و. | عند تقييم المخاطر المتأصلة للاحتيال على أنها مرتفعة يجب أن تتطلب معايير الكشف عن الاحتيال ضوابط كشف إضافية (على سبيل المثال، المراقبة في الوقت الفعلي، أو مصادر بيانات إضافية أو نماذج التعلم الآلي) أو معايير حد كشف أكثر صرامة (على سبيل المثال، حدود نقدية أقل قبل التنبيه).
| |
| ز. | يجب أن تتضمن معايير كشف الاحتيال كحد أدنى على ما يلي:
| |
| | 1. | مصادر البيانات المستخدمة لكشف الأنشطة المشبوهة والاحتيال (على سبيل المثال، سجلات العملاء الأساسية، وأنظمة المعاملات/الدفع، وإدارة الهوية والوصول، وقواعد البيانات الخارجية).
|
| | 2. | الضوابط المُطبقة للكشف عن الأنشطة الاحتيالية المشتبه بها (على سبيل المثال، تصعيد الأحداث والمعاملات عالية المخاطر، والفحص الثانوي، والتسويات، والإبلاغ عن الاستثناءات، والتدريب الداخلي).
|
| | 3. | الضوابط المُطبقة لكشف أي نشاط احتيالي مشتبه به يتعلق بأمن نقطة نهاية الدفع بالجملة (على سبيل المثال، مراقبة سلوك المدفوعات والتقارير خارج النطاق، وإعداد قائمة مسموح بها للأطراف المقابلة، وتتبع الدفعات الغريبة، وحظر المدفوعات في الوقت الفعلي) .
|
| | 4. | الأنظمة والتقنية المُطبقة لكشف الاحتيال المحتمل (على سبيل المثال، برمجيات كشف الاحتيال، والتنبيهات بشأن الأحداث أو المعاملات ذات القيمة العالية، ومراقبة الوصول، وتحليل الروابط).
|
| | 5. | الأدوار والمسؤوليات المتعلقة بكشف الاحتيال (على سبيل المثال، معايرة النظام، ومراجعة إحالات الاحتيال اليدوية، وفرز التنبيهات وإدارتها، ونقطة التصعيد للحوادث المحتملة المهمة، والإشراف والرقابة).
|
| | 6. | الأساس المنطقي الذي يوضح سبب ملاءمة أنظمة الكشف والضوابط للمخاطر التي تواجهها المؤسسة.
|
| ح. | يجب على المؤسسات المالية أن تراعي مجالات النشاط التالية عند توثيق متطلبات الأشخاص والعمليات والتقنية لكشف الاحتيال:
| |
| | 1. | بيانات نشاط الموظف (مثل الوصول إلى النظام والفواتير والمدفوعات والموافقات).
|
| | 2. | نشاط حساب العميل (مثل المعاملات والمدفوعات والتسويات).
|
| | 3. | الوصول إلى حساب العميل وإدارته (على سبيل المثال، تحديد الموقع الجغرافي لتسجيل الدخول، واستخدام الجهاز، والتغييرات في البيانات الثابتة).
|
| | 4. | بيانات نشاط الطرف الخارجي (على سبيل المثال، الوصول إلى أنظمة أو بيانات المؤسسة المالية واستخدامها، والتعليمات نيابة عن العملاء، والإحالات من الوكلاء).
|
| ط. | عندما تقرر مؤسسة مالية أن هناك حاجة إلى مراقبة يدوية (على سبيل المثال، بسبب حجم المؤسسة المالية، أو نقص الأنظمة أو التحليلات، أو تغطية المنتجات والقنوات)، فيجب مراجعة طبيعة مخاطر الاحتيال لتقييم عدد الموظفين والمهارات المطلوبة لتوفير التغطية اليدوية الكافية.
| |
| ي. | يجب أن يكون لدى المؤسسات المالية موارد كافية لإدارة مخرجات الكشف اليدوي والآلي عن الاحتيال (على سبيل المثال، عدد كافٍ من الموظفين لعمل التنبيهات، والمهارات المناسبة والتدريب للموظفين لاستكمال التحقيقات، ونظام سير العمل لتخصيص التنبيهات).
| |
