القسم بأكمله | SAMA Rulebook

كافة المؤسسات المالية

مكافحة غسل الأموال وتمويل الإرهاب
يجب أن تقترن قراءة هذه القواعد مع نظام مكافحة غسل الأموال ولائحته التنفيذية ونظام مكافحة جرائم الإرهاب وتمويله ولائحته التنفيذية .

دليل مكافحة غسل الأموال وتمويل الإرهاب

1. مقدمة
تلتزم المملكة العربية السعودية بكشف ومنع غسل عائدات جريمتي غسل الأموال وتمويل الإرهاب ومعاقبة مرتكبيها من خلال نظامي مكافحة غسل الأموال ومكافحة جرائم الإرهاب وتمويله ولائحتهما التنفيذية. وسبق للمملكة إقرار وتوقيع اتفاقيات على المستوى الدولي حيث وقّعت المملكة اتفاقية الأمم المتحدة لمكافحة الإتجار غير المشروع بالمخدرات والمؤثرات العقلية في فيينا عام 1988م، واتفاقية الأمم المتحدة لمكافحة الفساد في شهر يناير 2004م وأقرّت الاتفاقية الدولية لقمع تمويل الإرهاب في نيويورك عام 1999م، وأقرّت اتفاقية الأمم المتحدة لمكافحة الجريمة المنظّمة في باليرمو عام 2000م، وانضمت المملكة إلى مجموعة العمل المالي (فاتف) في شهر يونيو عام 2019م حيث تعتبر أول دولة عربية والدولة السابعة والثلاثون على مستوى العالم تحصل على هذه العضوية، وعلى المستوى الإقليمي أقرّت المملكة الاتفاقية العربية لمكافحة الإرهاب برعاية جماعة الدول العربية على هامش مؤتمر عُقد في شهر أبريل 1998م، ووقّعت وأقرت اتفاقية منظمة المؤتمر الإسلامي لمكافحة الإرهاب الدولي في شهر يوليو 1999م، ووقّعت وأقرّت اتفاقية دول مجلس التعاون لدول الخليج العربية لمكافحة الإرهاب في شهر مايو 2004م، وتُعد المملكة عضواً مؤسساً لمجموعة العمل المالي لمنطقة الشرق الأوسط وشمال أفريقيا (مينافاتف) والتي أنشئت في شهر نوفمبر عام 2004م، وقد شهدت السنوات الأخيرة تطورات عديدة ومتقدمة على صعيد القطاع المالي الدولي، بما في ذلك الجهود المبذولة لمكافحة غسل الأموال وتمويل الإرهاب، حيث تبنّى البنك المركزي مجموعة متنوعة من المبادرات التي تشمل تدابير ومعايير أخرى استجابة للتطورات الدولية في هذا المجال، بما فيها إصدار دليل تنفيذ آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله لضمان التطبيق الأمثل للإجراءات والآليات المحدّثة لقرارات مجلس الأمن، وكذلك إصدار دليل تنفيذ آلية تطبيق قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله لضمان تطبيق المؤسسة المالية للإجراءات والآليات الخاصة بمنع انتشار أسلحة الدمار الشامل وتمويله بالشكل الأمثل، ولأهمية المؤسسة المالية بالكشف والمنع لعمليات غسل الأموال وتمويل الإرهاب، قام البنك المركزي بإعداد هذا الدليل؛ لدعم ومساعدة المؤسسة المالية على التقيد بالحد الأدنى من الالتزامات النظامية، ولحمايتها من أن تستغل كقنوات لتمرير العمليات غير المشروعة الناشئة عن أنشطة غسل الأموال وتمويل الإرهاب وأي أنشطة إجرامية أخرى؛ مما سيكون له أثره في تعزيز وحماية الثقة بنزاهة وسمعة النظام المالي في المملكة.

2. الغرض

•	مساعدة المؤسسة المالية العاملة في المملكة والمرخصة من قبل البنك المركزي على تطوير وتبنّي المنهج القائم على المخاطر في ممارسة أعمالها للوفاء بمتطلبات نظام مكافحة غسل الأموال الصادر بالمرسوم الملكي رقم (م/20) وتاريخ 1439/02/05هـ ولائحته التنفيذية الصادرة بموجب قرار رئاسة أمن الدولة رقم (14525) وتاريخ 1439/02/19هـ، ومتطلبات نظام مكافحة جرائم الإرهاب وتمويله الصادر بالمرسوم الملكي رقم (م/21) وتاريخ 1439/02/12هـ ولائحته التنفيذية الصادرة بموجب قرار مجلس الوزراء (228) وتاريخ 1440/05/02هـ.
•	تمثل المتطلبات الواردة في هذا الدليل انعكاساً للالتزامات المنصوص عليها في نظام مكافحة غسل الأموال ولائحته التنفيذية، ونظام مكافحة جرائم الإرهاب وتمويله ولائحته التنفيذية، ولا تشكل أي التزامات إضافية على المؤسسة المالية الخاضعة لإشراف البنك المركزي.
•	تُعد المبادئ الواردة في الدليل إلزامية على المؤسسة المالية، وتمثل الحد الأدنى الذي ينبغي على المؤسسة المالية الالتزام به، إذ ينبغي على المؤسسة المالية أن تضع تدابير إضافية ملاءمة بما يتناسب مع نتائج تقييم المخاطر المعتمد لديها.

3. الإطار القانوني

•	نصّت المادة (الرابعة والعشرون) من نظام مكافحة غسل الأموال على "تتخذ الجهات الرقابية في سبيل أدائها لمهماتها ما يأتي: (د) إصدار تعليمات أو قواعد أو إرشادات أو أي أدوات أخرى للمؤسسات المالية، والأعمال والمهن غير المالية المحددة، والمنظمات غير الهادفة إلى الربح؛ تنفيذاً لأحكام النظام".
•	نصّت المادة (الثانية والثمانون) من نظام مكافحة جرائم الإرهاب وتمويله على "تتخذ الجهات الرقابية في سبيل أدائها لمهماتها ما يأتي: (4) إصدار تعليمات أو قواعد أو إرشادات أو أي أدوات أخرى للمؤسسات المالية، والأعمال والمهن غير المالية المحددة، والمنظمات غير الهادفة إلى الربح؛ تنفيذاً لأحكام النظام".
•	نصت الفقرة (الرابعة) من المادة الأولى من اللائحة التنفيذية لنظام مكافحة غسل الأموال على "تعد من الجهات الرقابية الواردة في الفقرة (12) من هذه المادة الجهات الآتية: (أ) البنك المركزي".
•	نصت المادة (الرابعة) من اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله على "تعد الجهات أدناه – كل في مجال اختصاصه – من الجهات الرقابية المشار إليها في الفقرة (22) من المادة (الأولى) من النظام: (4) البنك المركزي".
•	الأمر السامي الكريم رقم (55871) وتاريخ 1436/11/09هـ المتضمن الموافقة على أن يكون مركز الملك سلمان للإغاثة والأعمال الإنسانية هو الجهة الوحيدة التي تتولى استلام أي تبرعات إغاثية أو خيرية أو إنسانية سواء كان مصدرها حكومياً أو أهلياً، لإيصالها إلى المحتاجين في الخارج.
•	قرار مجلس الوزراء رقم (226) وتاريخ 1440/05/02هـ المتضمن أن البنك المركزي هو الجهة المختصة نظاماً بتشغيل نظام المدفوعات والتسوية المالية وخدماتها في المملكة، ومراقبتها، والإشراف عليها، وله إصدار القواعد والتعليمات والتراخيص بحسب المعايير التي تطبقه البنك المركزي في هذا الشأن.

4. التعريفات

•	نظام مكافحة غسل الأموال: نظام مكافحة غسل الأموال الصادر بالمرسوم الملكي رقم (م/20) وتاريخ 1439/02/05هـ.
•	نظام مكافحة جرائم الإرهاب وتمويله: نظام مكافحة جرائم الإرهاب وتمويله الصادر بالمرسوم الملكي رقم (م/21) وتاريخ 1439/02/12هـ.
•	اللائحة التنفيذية لنظام مكافحة غسل الأموال: اللائحة التنفيذية لنظام مكافحة غسل الأموال الصادرة بموجب قرار رئاسة أمن الدولة رقم (14525) وتاريخ 1439/02/19هـ.
•	اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله: اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله الصادرة بموجب قرار مجلس الوزراء رقم (228) وتاريخ 1440/05/02هـ.
•	البنك المركزي: البنك المركزي السعودي*.
•	الإدارة العامة للتحريات المالية: مركز وطني يتلقى البلاغات والمعلومات والتقارير المرتبطة بغسل الأموال وجريمة تمويل الإرهاب أو الجرائم الأصلية أو متحصّلات الجريمة وفقاً لما في نظام مكافحة غسل الأموال ولائحته التنفيذية ونظام مكافحة جرائم الإرهاب وتمويله ولائحته التنفيذية، وتحليل ودراسة هذه البلاغات والتقارير والمعلومات، وإحالة نتائج تحليلها إلى السلطات المختصة، بشكل تلقائي أو عند الطلب، وترتبط الإدارة العامة للتحريات المالية برئيس أمن الدولة، وتتمتع باستقلالية عملية كافية، ويحدد رئيس أمن الدولة الهيكل التنظيمي للإدارة العامة للتحريات المالية.
•	مجموعة العمل المالي (فاتف): منظمة حكومية دولية (أُنشئت في عام 1989م في باريس من قبل دول مجموعة السبع)، تتمثل مهام مجموعة العمل المالي في وضع المعايير وتعزيز التنفيذ الفعال للتدابير القانونية والتنظيمية والتشغيلية لمكافحة غسل الأموال وتمويل الإرهاب وتمويل انتشار التسلح والتهديدات الأخرى ذات الصلة بنزاهة النظام المالي الدولي.
•	الأعمال والمهن غير المالية المحددة:
كل من يزاول أي من الأعمال التجارية أو المهنية الآتية:
(أ)	أعمال السمسرة العقارية وذلك عند الدخول في علاقات بيع وشراء عقارات بشتى أنواعها.
(ب)	أعمال التجارة في الذهب أو الأحجار الكريمة أو المعادن الثمينة لدى دخولها في معاملات نقدية مع عميل بقيمة 50 ألف ريال سعودي أو أكثر، سواءً أكانت العملية تمّت على صورة معاملة واحدة أم على عدة معاملات تبدو متصلة، سواءً كانت من خلال مؤسسات فردية أو شركات تجارية.
(ج)	المحامون وأي شخص يقدم خدمات قانونية أو خدمات محاسبية خلال ممارسته لمهنته، وذلك لدى قيامهم بإعداد المعاملات أو تنفيذها أو القيام بأي من الأنشطة الآتية:
	1.	شراء أو بيع العقارات؛
	2.	إدارة أموال العميل بما فيها حساباته المصرفية أو أصوله الأخرى؛
	3.	تأسيس أو تشغيل أو إدارة أشخاص اعتباريين أو ترتيب قانوني، أو تنظيم الاكتتابات المتعلقة بها؛
	4.	بيع أو شراء الشركات التجارية.
•	المجموعة المالية: هي مجموعة محلية تتألف من شركة أو أي نوع آخر من الأشخاص الاعتباريين أو الطبيعيين الذين يمارسون سيطرة على باقي المجموعة، ويقومون بتنسيق الوظائف مع باقي المجموعة لتطبيق أو تنفيذ الرقابة على المجموعة، جنباً إلى جنب مع الفروع أو الشركات التابعة الخاضعة لسياسات وإجراءات مكافحة غسل الأموال وتمويل الإرهاب على مستوى المجموعة.
	(أ)	المؤسسة المالية: كل من يزاول لمصلحة العميل أو نيابة عنه واحداً (أو أكثر) من الأنشطة أو العمليات المالية التالية: قبول الودائع وغيرها من الأموال القابلة للدفع من العموم، بما في ذلك خدمات المصارف الخاصة¹؛
	(ب)	الإقراض أو الإيجار التمويلي أو أي أنشطة تمويل أخرى؛
	(ج)	خدمات تحويل النقد أو القيمة؛
	(د)	إصدار وإدارة أدوات الدفع (مثل بطاقات الإئتمان وبطاقات الحسم والبطاقات مسبقة الدفع والشيكات، والشيكات السياحية وأوامر الدفع والحوالات المصرفية والعملة الإلكترونية)؛
	(هـ)	إصدار خطابات الضمان أو غيرها من الضمانات المالية؛
	(و)	أنشطة التداول في الأوراق المالية التالية:
	1.	الشيكات والكمبيالات وغيرها من الأدوات؛
	2.	العملات؛
	3.	أدوات صرف العملة، وأسعار الفائدة والمؤشرات المالية؛
	4.	الأوراق المالية القابلة للتداول والمشتقات المالية؛
	5.	العقود المستقبلية للسلع الأساسية.
	(ز)	نشاط تبديل العملات الأجنبية؛
	(ح)	المشاركة في إصدار الأوراق المالية وتقديم الخدمات المالية؛
	(ط)	حفظ وإدارة النقد أو الأوراق المالية نيابة عن أشخاص آخرين؛
	(ي)	إبرام عقود حماية و/أو إدخار وغيرها من أنواع التأمين المتعلقة بالاستثمار بصفة مؤمّن أو وسيط أو وكيل لعقد التأمين أو أي منتجات تأمين أخرى منصوص عليها في نظام مراقبة شركات التأمين التعاوني ولائحته التنفيذية؛
	(ك)	استثمار الأموال أو إدارتها أو تشغيلها نيابةً عن شخص آخر.
•	بنك صوري: بنك أو مؤسسة مالية مسجلة أو مرخص له في دولة وليس له وجود مادي فيها، ولا ينتسب إلى مجموعة مالية خاضعة للتنظيم والرقابة.
•	الإدارة العُليا: تشمل العضو المنتدب والرئيس التنفيذي والمدير العام أو نوابهم، والمدير المالي، ومديري الإدارات الرئيسية والمسؤولين عن وظائف إدارة المخاطر والمراجعة الداخلية والإلتزام ومكافحة غسل الأموال وتمويل الإرهاب في المؤسسة المالية، ومن في حكمهم، وأي مناصب أخرى يحددها البنك المركزي.
•	منصب مسؤول الإدارة العليا: تشمل العضو المنتدب أو الرئيس التنفيذي أو المدير العام أو نوابهم أو رئيس العمليات أو المدير المالي أو الإكتواري الرئيسي.
•	منسوبو المؤسسة المالية: أعضاء مجلس الإدارة واللجان المنبثقة منه، والمسؤولون التنفيذيون، والموظفون (رسميون ومتعاقدون) والاستشاريون، والموظفون الذي يعملون من خلال طرف ثالث.
•	العميل: من يقوم – أو يشرع في القيام – مع المؤسسة المالية بأي من الأعمال التالية:
	(أ)	ترتيب أو إجراء عملية أو علاقة عمل أو فتح حساب له؛
	(ب)	التوقيع على عملية أو علاقة عمل أو حساب؛
	(ج)	تخصيص حساب بموجب عملية ما؛
	(د)	تحويل حساب أو حقوق أو التزامات بموجب عملية ما؛
	(هـ)	الإذن له بإجراء عملية أو السيطرة على علاقة عمل أو على حساب.
•	عميل عارض (عابر): الذي لا تربطه علاقة عمل قائمة مع المؤسسة المالية ويرغب بإجراء عملية من خلالها.
•	علاقة العمل: العلاقة ذات الطابع المستمر أو المحدد التي تنشأ بين العميل والمؤسسة المالية، المتعلقة بالأنشطة والخدمات التي تقدّمها له.
•	المستفيد: الشخص ذو الصفة الطبيعية أو ذو الصفة الاعتبارية المنتفع من علاقة العمل مع المؤسسة المالية.
•	المستفيد الحقيقي: الشخص ذو الصفة الطبيعية الذي يمتلك أو يمارس سيطرة فعلية نهائية مباشرة أو غير مباشرة على العميل أو الشخص الطبيعي الذي تُجرى المعاملة نيابة عنه، أو على المؤسسة المالية أو أي شخص اعتباري آخر.
•	الشخص الذي يتصرّف نيابة عن العميل: الشخص المخوّل بصفة نظامية للقيام أو الشروع بأي من الأعمال التي يجوز للعميل ممارستها، كالشخص المفوّض أو الوكيل الشرعي.
•	الشخص السياسي المعرّض للمخاطر: الشخص المكلّف بمهمات عامة عُليا في المملكة أو دولة أجنبية أو مناصب إدارية عُليا أو وظيفة في إحدى المنظمات الدولية، ويشمل ذلك المناصب أو الوظائف التالية:
	(أ)	رؤساء الدول أو الحكومات، وكبار السياسيين أو المسؤولين الحكوميين أو القضائيين أو العسكريين، وكبار المسؤولين التنفيذيين في الشركات التي تملكها الدول، والمسؤولون البارزون في الأحزاب السياسية؛
	(ب)	رؤساء ومديرو المنظمات الدولية ونوابهم وأعضاء مجلس الإدارة، أو أي وظيفة مماثلة.
•	أفراد عائلة الشخص السياسي المعرّض للمخاطر: أي شخص طبيعي مرتبط بالشخص السياسي المعرّض للمخاطر برابط الدم أو الزواج وصولاً إلى الدرجة الثانية من القرابة.
•	الشخص المقرّب من الشخص السياسي المعرّض للمخاطر: أي شخص طبيعي يشترك بالإستفادة مع شخص سياسي معرّض للمخاطر من خلال شراكة حقيقية في كيان اعتباري أو ترتيب قانوني أو تربطه به علاقة عمل وثيقة، أو هو مستفيد حقيقي من كيان اعتباري قانوني أو ترتيب قانوني يملكه أو يسيطر عليه فعلياً شخص سياسي معرّض للمخاطر.
•	التدابير الوقائية: كافة التدابير والإجراءات والضوابط التي تتخذها المؤسسة المالية للتخفيف من مخاطر غسل الأموال وتمويل الإرهاب وانتشار التسلّح.
•	تدابير العناية الواجبة: عملية التعرّف أو التحقق من معلومات العميل أو المستفيد الحقيقي، التي تمكّن المؤسسة المالية من تقويم مدى تعرضها للمخاطر.
•	التدابير المبسّطة: تطبيق التدابير الوقائية على نحو مخفف ومبسّط يتوافق مع مخاطر غسل الأموال وتمويل الإرهاب التي يشكلها العميل أو المستفيد الحقيقي أو علاقة العمل، وتشمل اتخاذ تدابير العناية الواجبة المبسّطة للتعرف والتحقق من العميل، وتطبيق أسلوب مبسّط للرقابة، واتخاذ أي تدابير أو إجراءات أخرى مبسّطة تحددها المؤسسة المالية في سياستها وإجراءاتها.
•	التدابير المعززة: اتخاذ المؤسسة المالية لتدابير إضافية عند ارتفاع مخاطر غسل الأموال وتمويل الإرهاب، وتشمل اتخاذ تدابير العناية الواجبة المعززة للتعرف والتحقق من العميل أو المستفيد الحقيقي، واتخاذ إجراءات رقابية إضافية، واتخاذ أي تدابير أو إجراءات أخرى تحددها المؤسسة المالية في سياستها وإجراءاتها.
•	العملية: تتضمن كل تصرف في الأموال أو الممتلكات أو المتحصلات النقدية أو العينية. ويشمل على سبيل المثال لا الحصر: الإيداع، السحب، التحويل، البيع، الشراء، الإقراض، المبادلة أو قرضاً أو تمديداً لقرض أو رهناً عقارياً أو هبة أو تمويلاً أو تحويلاً للأموال بأي عملة، نقداً أو بشيكات، أو أوامر دفع أو أسهماً أو سندات أو أي أدوات مالية أخرى، أو استخدام للخزائن وغيرها من أشكال الإيداع الآمن، أو كل تصرّف آخر في الأموال.
•	الأموال: الأصول أو الموارد الاقتصادية أو الممتلكات أياً كانت قيمتها أو نوعها أو طريقة امتلاكها – سواء أكانت مادية أو غير مادية منقولة أو غير منقولة ملموسة أو غير ملموسة – والوثائق والصكوك والمستندات والحوالات وخطابات الاعتماد أياً كان شكلها؛ سواء أكانت داخل المملكة أو خارجها. ويشمل ذلك النظم الإلكترونية أو الرقمية، والإئتمانات المصرفية التي تدل على ملكية أو مصلحة فيها، وكذلك جميع أنواع الأوراق التجارية والمالية، أو أية فوائد أو أرباح أو مداخيل أخرى تنتج عن هذه الأموال.
•	عملية المراقبة: متابعة جميع العمليات التي يجريها عملاء المؤسسة المالية أو المستفيد العرضي – العميل العارض (العابر) – أو موظفو المؤسسة المالية، وذلك بهدف رصد وكشف أي عمليات غير طبيعية.
•	العملية المشتبه بها: العملية التي يتوافر لدى المؤسسة المالية أسباب معقولة للاشتباه بارتباطها بجريمة غسل أموال أو تمويل إرهاب أو جريمة أصلية أو متحصلات جريمة بما في ذلك محاولة إجراء العملية.
•	السجلات: المستندات والوثائق والتقارير الورقية والإلكترونية والمتعلقة بالعمليات وعلاقة العمل والتعاملات والصفقات التجارية والنقدية سواء أكانت محلية أو خارجية بما فيها المستندات والوثائق التي يتم الحصول عليها بموجب تدابير العناية الواجبة /المعززة/ المخففة وأي مستندات تساهم في تفسير العمليات المالية والتجارية والنقدية.
•	العنوان الوطني: محل الإقامة العام للشخص ذو الصفة الطبيعية، أو الصفة الاعتبارية، ما لم يختر الشخص عنواناً خاصاً لتلقّي الإشعارات والتبليغات ونحوها، ويعدّ عنوان محل الإقامة العام أو الخاص – بحسب الأحوال – الذي أعدته مؤسسة البريد السعودي، عنواناً معتمداً تترتب عليه جميع الآثار النظامية.
•	المصدر الموثوق: هو المصدر المُنشئ للمعلومات أو البيانات التي تعتمد عليه المؤسسة المالية للتعرف على العميل.
•	الطرف الثالث: الجهة التي تستعين بها المؤسسة المالية لتنفيذ تدابير العناية الواجبة على أن تكون مؤسسة مالية أُخرى أو أي من أصحاب الأعمال والمهن غير المالية المحددة.
•	العلاقة المراسلة: هي العلاقة بين مؤسسة مالية مراسلة ومؤسسة متلقّية من خلال حساب أو أي خدمات أخرى مرتبطة به مثل إدارة النقد والتحويل المالي الدولي ومقاصّة الشيكات وخدمات الصرف الأجنبي والتمويل التجاري وإدارة السيولة والإقراض على المدى القصير. ويشمل ذلك العلاقة المراسلة الناشئة لأجل معاملات الأوراق المالية أو تحويل الأموال.
•	حسابات الدفع المراسلة: هي حسابات الإيداع تحت الطلب التي تفتحها مؤسسة مالية أجنبية لدى مؤسسة مالية محلية لتوجيه الودائع والشيكات الخاصة بعملائها نحو ذلك الحساب. ويتمتع العملاء الأجانب بسُلطة التوقيع على الحساب مما يخولهم القيام بأنشطة أعمال عادية على المستوى الدولي، يحظر على المؤسسات المالية قبول هذا النوع من الحسابات.
•	التحويل البرقي: معاملة مالية تجريها مؤسسة مالية نيابة عن آمر التحويل يجري من خلالها إيصال مبلغ مالي إلى مستفيد في مؤسسة مالية أُخرى بصرف النظر عما إذا كان آمر التحويل والمستفيد هما الشخص نفسه.

¹ خدمات المصارف الخاصة المقدمة إلى العملاء الذين يتمتعون بثروات عالية. وتُعيّن المؤسسة المالية لهؤلاء العملاء موظفاً خاصاً أو مديراً للعلاقة ليؤمّن الصلة بين العميل والمؤسسة المالية ويسهّل استخدام العميل لمجموعة واسعة من الخدمات والمنتجات المالية التي عادة ما تتضمن عمليات معقدة ومبالغ كبيرة، ويطلب مثل هؤلاء العملاء مستوىً عالياً من السريّة وبالتالي تكون الخدمات الخاصة أكثر عرضة من غيرها لأنشطة غسل الأموال أو تمويل إرهاب وانتشار التسلح.

* حل اسم "البنك المركزي السعودي" محل اسم "مؤسسة النقد العربي السعودي" بموجب نظام البنك المركزي السعودي رقم(م/36) بتاريخ 1442/4/11هـ.

5. مفهوم جريمة غسل الأموال

تُعدّ جريمة غسل الأموال جريمة مُستقلة عن الجريمة الأصلية، ولا يلزم لإدانة الشخص في جريمة غسل الأموال، أو لغرض اعتبار الأموال متحصّلات جريمة، إدانته بارتكاب الجريمة الأصلية، سواءً ارتُكبت الجريمة الأصلية داخل المملكة أو خارجها، ويُتحقق من القصد أو العلم أو الغرض في ارتكاب جريمة غسل الأموال من خلال الظروف والملابسات الموضوعية والواقعية للقضية. ويُعد مرتكباً جريمة غسل الأموال كل من قام بأي من الأفعال الآتية:
	1.	تحويل الأموال أو نقلها أو إجراء أي عملية بها، مع العلم بأنها من متحصّلات جريمة؛ لأجل إخفاء المصدر غير المشروع لتلك الأموال أو تمويهه، أو لأجل مساعدة أي شخص متورط في ارتكاب الجريمة الأصلية التي تحصّلت منها تلك الأموال للإفلات من عواقب ارتكابها؛
	2.	اكتساب الأموال أو حيازتها أو استخدامها، مع العلم بأنها من متحصلات جريمة أو مصدرها غير مشروع؛
	3.	إخفاء أو تمويه طبيعة الأموال، أو مصدرها او حركتها أو ملكيتها أو مكانها أو طريقة التصرف بها أو الحقوق المرتبطة بها، مع العلم بأنها من متحصلات جريمة؛
	4.	الشروع في ارتكاب أي من الأفعال المنصوص عليها في الفقرات (1) و(2) و(3) أعلاه، أو الإشتراك في ارتكابها بطريق الاتفاق أو تأمين المساعدة أو التحريض أو تقديم المشورة أو التوجيه أو النصح أو التسهيل أو التواطؤ أو التستر أو التآمر.
ويُعد الشخص الإعتباري مرتكباً جريمة غسل الأموال إذا ارتُكب بإسمه أو لحسابه أي من الأفعال الواردة أعلاه، وذلك مع عدم الإخلال بالمسؤولية الجنائية لرؤساء وأعضاء مجالس إداراته أو مالكيه أو العاملين فيه أو ممثليه المفوضين أو مدققي حساباته، أو أي شخص طبيعي آخر يتصرّف بإسمه أو لحسابه.
عادةً ما تمرّ عمليات غسل الأموال بثلاث مراحل وهي كالتالي:
	1.	الإيداع أو الإحلال: هي مرحلة يتم فيها توظيف أو إدخال الأموال الناتجة عن مصدر غير مشروع إلى النظام المالي، الهدف منها إيداع النقد الناتج عن الأنشطة غير المشروعة في النظام المالي بطريقة لا تثير الانتباه، ويتم ذلك عادة عن طريق المؤسسة المالية من خلال مزاولة العميل أو الشخص الذي يتصرّف نيابة عن العميل أي من الأنشطة والعمليات المالية بما فيها قبول الإيداعات النقدية، وصرف العملات، وشراء أسهم، وإبرام عقود تمويل أو عقود الحماية و/أو الإدخار؛ دون أن تقوم المؤسسة المالية باتخاذ تدابير وقائية كافية تحميها من مخاطر غسل الأموال.
	2.	التغطية: هي مرحلة يتم فيها تحويل ونقل الأموال بغرض إخفاء أصلها، الهدف منها التمويه عن الأصل غير الشرعي للأموال التي تم إدخالها في النظام المالي، ويشمل ذلك إرسال حوالات برقية إلى مؤسسة مالية أخرى، وشراء وبيع الاستثمارات، والأدوات المالية، إلغاء عقد التمويل أو إلغاء وثيقة الحماية و/أو الإدخار خلال فترة السماح²، أو الاستثمارات الوهمية أو الخطط التجارية.
	3.	الدمج: وهي مرحلة يتم فيها إعادة إدخال الأموال مرة أخرى في الاقتصاد، بحيث يصبح من الصعوبة التمييز بينها وبين الأموال ذات المصدر المشروع، وذلك بهدف إضفاء الشرعية على الأموال غير المشروعة ودمجها بصورة مشروعة في الاقتصاد المحلّي أو العالمي، وذلك من خلال شراء الأموال بما فيها شراء الأصول المالية أو الأسهم أو السلع الثمينة أو الإستثمار في العقارات.

² الفترة الزمنية التي يمكن للمستفيد خلالها مراجعة وثيقة التأمين وتقييم مدى ملاءمتها، بحيث يمكن للعميل خلال هذه الفترة إرجاع وثيقة التأمين (المادة رقم 26 من اللائحة التنظيمية لسلوكيات سوق التأمين).

6. مفهوم جريمة تمويل الإرهاب

يُقصد بالجريمة الإرهابية كل سلوك يقوم به الجاني تنفيذاً لمشروع إجرامي فردي أو جماعي بشكل مباشر أو غير مباشر، يُقصد به الإخلال بالنظام العام، أو زعزعة أمن المجتمع واستقرار الدولة أو تعريض وحدتها الوطنية للخطر، أو تعطيل النظام الأساسي للحكم أو بعض أحكامه، أو إلحاق الضرر بأحد مرافق الدولة أو مواردها الطبيعية أو الاقتصادية، أو محاولة إرغام إحدى سلطاتها على القيام بعمل ما أو الإمتناع عنه، أو إيذاء أي شخص أو التسبب في موته، عندما يكون الغرض – بطبيعته أو سياقه – هو ترويع الناس أو إرغام حكومة أو منظمة دولية على القيام بأي عمل أو الإمتناع عن القيام به، أو التهديد بتنفيذ أعمال تؤدي إلى المقاصد والأغراض المذكورة أو التحريض عليها. وكذلك أي سلوك يشكل جريمة بموجب التزامات المملكة في أي من الإتفاقيات أو البروتوكولات الدولية المرتبطة بالإرهاب أو تمويله – التي تكون المملكة طرفاً فيها – أو أي من الأفعال المدرجة في ملحق الإتفاقية الدولية لقمع تمويل الإرهاب. وتتحقق جريمة تمويل الإرهاب بتوفير أموال لارتكاب الجريمة الإرهابية أو لمصلحة كيان إرهابي أو شخص إرهابي، بما في ذلك تمويل سفر إرهابي وتدريبه.
إن ما يميّز العمليات ذات الصلة بتمويل الإرهاب عن العمليات ذات الصلة بغسل الأموال ما يلي:
	1.	أن العمليات الصغيرة بما في ذلك التحويلات المصرفية وصرف العملات يمكن أن تستخدم لتمويل الأنشطة الإرهابية؛
	2.	من الممكن تمويل الإرهابيين باستخدام أموال يتم الحصول عليها بشكل مشروع، وبالتالي يكون من الصعب على المؤسسة المالية تحديد المرحلة التي أصبحت فيها الأموال المشروعة أموالاً مستخدمة لتمويل عمليات إرهابية، حيث يستطيع الإرهابي الحصول على مصادر لتمويل العمليات الإرهابية من مصادر مشروعة و/أو غير مشروعة.
لذا ينبغي على المؤسسة المالية أن تضمن أن أنظمة الرقابة والمتابعة الداخلية لا تركز فقط على المعاملات ذات القيمة الكبيرة، وأن تُدرج في أنظمة الرقابة مؤشرات خاصة بتمويل الإرهاب والبحث عن العمليات التي ليس لها غرض اقتصادي واضح. إضافة إلى تطبيق الضوابط والإجراءات الفعالة لمعرفة العميل والتحقق منه ومراقبة العمليات بشكل مستمر والإبلاغ عن العمليات المشتبه بها؛ لضمان عدم إساءة استخدام النظام المالي في المملكة لتمويل الإرهابيين أو المنظمات الإرهابية أو الأعمال الإرهابية.

7. الحوكمة ومسؤوليات المؤسسة المالية
إن المؤسسة المالية مسؤولة عن التنفيذ لمتطلبات مكافحة غسل الأموال وتمويل الإرهاب وتبني المنهج القائم على المخاطر لتخفيف مخاطر غسل الأموال وتمويل الإرهاب التي تواجهها، وينبغي على المؤسسة المالية أن لا تنظر إلى مكافحة غسل الأموال وتمويل الإرهاب بمعزل عن الأنظمة والاحتياجات الأخرى في المؤسسة المالية، ولكن كجزء من استراتيجيات إدارة المخاطر الشاملة لها؛ وبالتالي فإن مجلس الإدارة والإدارة العُليا في المؤسسة المالية ينبغي أن يضمنان أن سياسات وإجراءات وضوابط مكافحة غسل الأموال وتمويل الإرهاب التي يتم وضعها مبنية على نتائج مخاطر غسل الأموال وتمويل الإرهاب ولضمان فاعلية استراتيجية مكافحة غسل الأموال وتمويل الإرهاب على مستوى المؤسسة المالية ينبغي مراجعة عملية إدارة المخاطر بشكل مستمر وتحديثها من وقت لآخر وإيجاد الآليات والسياسات والإجراءات المناسبة للتخفيف من المخاطر، والتأكد من أن موظفي المؤسسة المالية على عِلم ودراية كافية بكامل متطلبات السياسات والإجراءات والضوابط الداخلية، ويعملون على تطبيقها.

أولاً/ مجلس الإدارة

يتحمل مجلس الإدارة في المؤسسة المالية مسؤولية عامة عن ضمان الإلتزام بمتطلبات مكافحة غسل الأموال وتمويل الإرهاب. وفي هذا الصدد، ينبغي أن تتوافق الرقابة التي يمارسها المجلس فيما يتعلّق بمكافحة غسل الأموال وتمويل الإرهاب مع أفضل الممارسات الدولية، بما في ذلك المبادئ التوجيهية للحوكمة الصادرة عن البنك المركزي. كما ينبغي على المجلس التأكد من وجود أدلة موثّقة على وظيفته الرقابية، على سبيل المثال، في محاضر اجتماعات المجلس (أو لجان المجلس). وتشمل المسؤوليات الرئيسية للمجلس على سبيل المثال لا الحصر ما يلي:
	(أ)	ضمان أن يتم تقييم مخاطر غسل الأموال وتمويل الإرهاب في المؤسسة المالية بشكل دقيق وشامل لجميع المخاطر التي تواجه المؤسسة المالية لوضع السياسات المناسبة لإدارة المخاطر التي تتعرض لها؛
	(ب)	اعتماد السياسة الداخلية للتخفيف من مخاطر غسل الأموال وتمويل الإرهاب وضمان فاعلية تطبيقها؛
	(ج)	توفير الميزانية والموارد الكافية بما في ذلك توفير موظفين مناسبين ومؤهلين، وكذلك أنظمة وأدوات ملائمة؛ لضمان التطبيق الفعّال للسياسات والإجراءات والضوابط الداخلية بما يتناسب مع المخاطر المحددة لمكافحة غسل الأموال وتمويل الإرهاب؛
	(د)	متابعة تنفيذ برامج التدريب المستمر والسنوي في مجال مكافحة غسل الأموال وتمويل الإرهاب لجميع الموظفين، بما في ذلك تدريب أعضاء مجلس الإدارة والإدارة العُليا؛
	(هـ)	ضمان وضع آليات مناسبة للتدقيق المستقل بحيث يتمكّن مجلس الإدارة من مراقبة الفعالية المستمرة للضوابط الداخلية؛
	(و)	ضمان عدم السماح بأي انتهاكات عندما لا يتمكّن فرع أو شركة فرعية تابعة في بلد أو إقليم ما من تنفيذ متطلبات مكافحة غسل الأموال وتمويل الإرهاب حسب ما هو وارد في نظام مكافحة غسل الأموال ولائحته التنفيذية ونظام مكافحة جرائم الإرهاب وتمويله ولائحته التنفيذية كون القوانين واللوائح أو غيرها من التدابير المحلية في ذلك البلد ضعيفة أو لا تسمح بتطبيق الإجراءات المناسبة بمكافحة غسل الأموال. وينبغي على مجلس الإدارة اتخاذ الإجراءات المناسبة بشكل عاجل؛
	(ز)	ضمان استلام تقارير منتظمة وشاملة عن مخاطر غسل الأموال وتمويل الإرهاب التي تواجه المجموعة المالية أو المؤسسة المالية، بما في ذلك على سبيل المثال لا الحصر:
		•	خطط العمل التصحيحية، إن وُجدت؛ لمعالجة نتائج عمليات المراجعة المستقلة (سواء الداخلية أو الخارجية) أو ملاحظات إدارة الإلتزام ومكافحة غسل الأموال وتمويل الإرهاب، وتقارير الفحص الواردة من البنك المركزي بشأن تقييم مدى التزام المؤسسة المالية بمتطلبات مكافحة غسل الأموال وتمويل الإرهاب؛
		•	التطورات والتحديثات في أنظمة ولوائح مكافحة غسل الأموال وتمويل الإرهاب، وانعكاساتها، إن وُجدت، على المؤسسة المالية؛
		•	تفاصيل مخاطر غسل الأموال وتمويل الإرهاب العالية والتأثيرات المحتملة على المؤسسة المالية؛
		•	تفاصيل خاصة عن تطبيق وتنفيذ إجراءات العقوبات المالية المتعلقة بقرارات مجلس الأمن الخاصة بالمدرجين على قوائم الإرهاب، أو المتعلقة بمكافحة انتشار التسلح، أو القرارات المبلّغة عن طريق البنك المركزي.

ثانياً/ الإدارة العُليا

الإدارة العُليا مسؤولة عن التنفيذ المستمر ومراقبة الإلتزام بمتطلبات مكافحة غسل الأموال وتمويل الإرهاب في المؤسسة المالية، وتشمل المسؤولية الرئيسية للإدارة العُليا على سبيل المثال لا الحصر ما يلي:
	(أ)	تحديد وتقييم وفهم مخاطر غسل الأموال وتمويل الإرهاب الناشئة عن المنتجات أو الخدمات الجديدة وقنوات التوزيع أو العملاء؛
	(ب)	وضع برنامج لمكافحة غسل الأموال وتمويل الإرهاب بما يشمل وضع سياسات وإجراءات وضوابط لمكافحة غسل الأموال وتمويل الإرهاب، وتطويرها بما يتلاءم مع ما يستجد من وسائل وصور وأساليب حديثة في غسل الأموال وتمويل الإرهاب؛
	(ج)	اعتماد الإجراءات والضوابط الداخلية للتخفيف من مخاطر غسل الأموال وتمويل الإرهاب؛
	(د)	مراجعة السياسات والإجراءات بشكل دوري (بحد أدنى بشكل سنوي) عن طريق إنشاء آلية مناسبة للمراجعة الدورية لسياسات وإجراءات مكافحة غسل الأموال وتمويل الإرهاب الرئيسية لضمان استمرار فاعليتها بما يتماشى مع التغييرات في منتجات وخدمات المؤسسة المالية ومعالجة المخاطر الجديدة والناشئة في أنشطة غسل الأموال وتمويل الإرهاب؛
	(هـ)	اتخاذ إجراءات بشأن جميع التوصيات الهامة الصادرة عن إدارة الإلتزام ومكافحة غسل الأموال وتمويل الإرهاب والمدقق المستقل والجهات الرقابية فيما يتعلق بمدى الإلتزام بمكافحة غسل الأموال وتمويل الإرهاب؛
	(و)	تزويد مجلس الإدارة بالمعلومات الكافية ذات الصلة، وفي الوقت المناسب للمسائل المتعلقة بمكافحة غسل الأموال وتمويل الإرهاب؛
	(ز)	توفير التدريب المناسب والمتخصص لمسؤولي إدارة الإلتزام بمكافحة غسل الأموال وتمويل الإرهاب والعاملين في هذا المجال على أساس سنوي لضمان أداء واجباته بفعالية؛
	(ح)	إيجاد برنامج تدريب مستمر للموظفين في المؤسسة المالية لتمكينهم من الحصول على المعرفة الكافية لفهم والاضطلاع بمسؤولياتهم المتعلقة بمكافحة غسل الأموال وتمويل الإرهاب؛
	(ط)	دعم وظائف الإلتزام بمكافحة غسل الأموال وتمويل الإرهاب والتدقيق المستقل بشكل مناسب من حيث الأشخاص والأنظمة التقنية والمعلومات والميزانية لتنفيذ وإدارة ومراقبة متطلبات برنامج مكافحة غسل الأموال وتمويل الإرهاب بشكل فعّال؛
	(ي)	متابعة تنفيذ التعليمات والتعاميم الصادرة عن البنك المركزي بشأن مكافحة غسل الأموال وتمويل الإرهاب.

ثالثاً/موظفو المؤسسة المالية

يتحمّل موظفو المؤسسة المالية مسؤولية الإلتزام بتطبيق سياسات وإجراءات وضوابط مكافحة غسل الأموال وتمويل الإرهاب، بما في ذلك:
	(أ)	اتباع وتنفيذ سياسات وإجراءات مكافحة غسل الأموال وتمويل الإرهاب، وأن يكونوا مدركين بضرورة التزامهم بالأنظمة واللوائح والأدلة والمبادئ التوجيهية المعمول بها في هذا المجال؛
	(ب)	ضمان عدم اتخاذ أي إجراءات نيابة عن العميل في الوقت الذي يجب على العميل القيام بها بنفسه وفق التعليمات الداخلية؛
	(ج)	الإلتزام بتنفيذ مهام العمل اليومية وفقاً لإجراءات العمل الداخلية للمؤسسة المالية وبما لا يخالف الأنظمة والتعليمات ذات العلاقة؛
	(د)	الإبلاغ الفوري لمسؤول الإلتزام بمكافحة غسل الأموال وتمويل الإرهاب عند وجود أسباب معقولة للاشتباه بعملية غسل أموال أو تمويل الإرهاب؛
	(هـ)	عدم الإفصاح أو التلميح بأي معلومات عن وجود اشتباه يتعلّق بالعميل أو أي عميل آخر، أو أن المعاملات قيد التحقيق إما داخلياً أو خارجياً؛
	(و)	اتخاذ الإجراءات المناسبة التي تضمن أنه في حال طلب الحصول على معلومات من العميل أن تكون بما يضمن عدم التلميح له؛
	(ز)	تقديم المساعدة الكاملة في التحقيقات المرتبطة بعملية غسل الأموال وتمويل الإرهاب.

8. الإطار العام

تم تطوير المبادئ الواردة في الدليل بما يتوافق مع المتطلبات النظامية الواردة في نظام مكافحة غسل الأموال ولائحته التنفيذية، ونظام مكافحة جرائم الإرهاب وتمويله ولائحته التنفيذية؛ التي تهدف لوضع متطلبات ومبادئ إرشادية وإجراءات فعالة لمنع استخدام النظام المالي في المملكة لأغراض غسل الأموال وتمويل الإرهاب، وتقع هذه المبادئ تحت العناوين التالية:
	•	تقييم مخاطر غسل الأموال وتمويل الإرهاب؛
	•	السياسات والإجراءات والضوابط الداخلية لتخفيف المخاطر؛
	•	تدابير العناية الواجبة؛
	•	تدابير العناية الواجبة المعززة؛
	•	تدابير العناية الواجبة المبسّطة؛
	•	حفظ السجلات؛
	•	مراقبة ومتابعة العمليات والأنشطة؛
	•	الإبلاغ عن العمليات المشتبه بها؛
	•	ترتيبات إدارة الإلتزام بمكافحة غسل الأموال وتمويل الإرهاب؛
	•	وظيفة التدقيق المستقل؛
	•	التدريب في مجال مكافحة غسل الأموال وتمويل الإرهاب؛
	•	معايير التوظيف والمتابعة؛
	•	علاقة المراسلة؛
	•	التحويل البرقي.
بناءً على المتطلبات أعلاه، تقوم المؤسسة المالية بإعداد وتبنّي المنهج القائم على المخاطر يتناسب مع طبيعة وحجم أعمالها ويكون إعدادها للمنهج عبر الخطوات والمراحل الآتية:
	•	الخطوة الأولى: التعرّف على المخاطر الكامنة للأعمال وعلاقات العمل، وأي مخاطر أخرى؛
	•	الخطوة الثانية: تحديد مدى قدرة المؤسسة المالية على تحمل المخاطر؛
	•	الخطوة الثالثة: وضع وتطوير تدابير وقائية للتخفيف من المخاطر بناءً على نتائج تقييم المخاطر؛
	•	الخطوة الرابعة: مراجعة المخاطر المتبقية بعد تطوير التدابير الوقائية؛
	•	الخطوة الخامسة: تنفيذ التدابير الوقائية للتخفيف من المخاطر؛
	•	الخطوة السادسة: مراجعة وتحديث النهج المبني على أساس المخاطر.
إن المخاطر التي تتعرض لها المؤسسة المالية مُتغيرة ومتجددة بمرور الوقت مع تطوير منتجات أو ممارسات عمل جديدة، أو وسائل جديدة لتقديم الخدمات أو المنتجات أو العمليات؛ وعليه ينبغي إعادة تقييم وتحديث المنهج القائم على المخاطر عند تغير عوامل الخطر المرتبطة بالمؤسسة المالية بشكل دوري ومتجدد. وعلى المؤسسة المالية تحديد فترة تحديث المنهج القائم على المخاطر بحد أدنى كل سنتين، أو عند تغير عوامل المخاطر.

9.دليل مكافحة غسل الأموال وتمويل الإرهاب

أولاً: تقييم مخاطر غسل الأموال وتمويل الإرهاب

إن الخطوة الرئيسية للمؤسسة المالية في تبنّي المنهج القائم على المخاطر هو قيامها بتقييم وفهم وتوثيق مخاطر غسل الأموال وتمويل الإرهاب لديها، وتحديد مواطن الضعف التي من الممكن أن تستغل لتمرير عمليات غسل الأموال وتمويل الإرهاب. وينبغي أن يكون تقييم المخاطر شاملاً وأن يتضمن تحليل للمخاطر الناشئة عن: العملاء والمستفيد الحقيقي؛ طبيعة المنتجات والخدمات والعمليات المقدّمة؛ الدول أو المناطق الجغرافية داخل المملكة؛ قنوات تقديم الخدمات والمنتجات؛ عوامل الخطر الأخرى. إن مبادئ الدليل لا تهدف إلى تشجيع المؤسسة المالية على القيام بتقليص المخاطر عن طريق إقصاء خدمات معينة أو فئة معينة من العملاء لارتفاع المخاطر المرتبطة بهم، حيث لا يُحظر على المؤسسة المالية التعامل مع العملاء وعلاقات العمل عالية الخطورة؛ وإنما ينبغي أن تقوم المؤسسة المالية بتطوير وتنفيذ تدابير وقائية للتخفيف من المخاطر تتناسب مع نتائج تقييم المخاطر التي قامت باعتماده. وقد تضمّنت المادة (الخامسة) من نظام مكافحة غسل الأموال، والمادة (الثالثة والستون) من نظام مكافحة جرائم الإرهاب وتمويله والمادة (السادسة عشرة) من لائحته التنفيذية الإلتزامات التي تقع على عاتق المؤسسة المالية لتقييم مخاطر غسل الأموال وتمويل الإرهاب.
1-1	على المؤسسة المالية اتخاذ الخطوات المناسبة والملائمة لتحديد وتقييم وفهم مخاطر غسل الأموال وتمويل الإرهاب لديها وتوثيقها كتابةً، على أن تتناسب طبيعة عملية تقييم المخاطر ونطاقها مع طبيعة أعمال وحجم المؤسسة المالية وأن تقوم بتحديثها بشكل مستمر (بحد أدنى كل سنتين)، وأن تكون موثقة ومعتمدة من قبل الإدارة العُليا، ويمكن للمؤسسة المالية عند قيامها بعملية تقييم المخاطر التركيز على العوامل التالية:
	(أ)	عوامل الخطر المرتبطة بأعمال المؤسسة المالية، مع التركيز على العناصر التالية:
		-	المنتجات والخدمات:
		-	العمليات؛
		-	قنوات تقديم الخدمات والمنتجات؛
		-	الدول أو المناطق الجغرافية داخل المملكة التي تمارس فيه المؤسسة المالية أعمالها أو الشركات التابعة التي تمتلك فيها المؤسسة المالية حصة أغلبية.
	(ب)	عوامل الخطر المرتبطة بالعميل أو المستفيد الحقيقي أو المستفيد من المؤسسة المالية، مع التركيز على العناصر التالية:
		-	المنتجات أو الخدمات التي يستخدمها العميل أو المستفيد الحقيقي أو المستفيد؛
		-	نوع العمليات التي يقوم بتنفيذها العميل؛
		-	حجم الإيداعات والعمليات التي يقوم بها العميل؛
		-	الدول أو المناطق الجغرافية التي يزاول فيها العملاء أو المستفيد الحقيقي أو المستفيد أعمالهم، أو مصدر العملية أو مقصدها؛
		-	خصائص وصفات العميل أو المستفيد الحقيقي أو المستفيد (مثل: المهنة/ العمر/ أو نوع الكيان القانوني).
	(ج)	عوامل الخطر الأخرى، ومنها:
		-	مخاطر غسل الأموال وتمويل الإرهاب الصادرة عن اللجنة الدائمة لمكافحة غسل الأموال واللجنة الدائمة لمكافحة الإرهاب وتمويله؛
		-	النتائج المتعلقة بتقييم المخاطر الصادر عن المؤسسة أو السلطات المختصة والجهات الرقابية الأخرى حال توفرها:
		-	الغرض من الحساب أو علاقة العمل؛
		-	وتيرة العمليات أو مدة علاقة العمل؛
		-	جاذبية المنتجات والخدمات المقدمة لغاسلي الأموال على سبيل المثال لا الحصر، الخدمات المصرفية الخاصة والمنتجات الخاصة بأصحاب الثروات، التحويلات السريعة للمناطق الجغرافية ذات المخاطر العالية؛
		-	المخاطر التنظيمية المرتبطة بالأنظمة والقرارات الصادرة من الجهات الحكومية؛
		-	مخاطر الأعمال المرتبطة بالهيكل التنظيمي والتشغيلي للمؤسسة المالية؛
		-	مخاطر غسل الأموال وتمويل الإرهاب التي قد تنشأ عن تطوير منتجات أو ممارسات عمل جديدة، أو الوسائل الجديدة لتقديم الخدمات أو المنتجات أو العمليات، أو تلك التي تنشأ عن استخدام تقنيات جديدة أو قيد التطوير على المنتجات الجديدة أو القائمة حالياً؛
		-	أية مخاطر إضافية ناتجة عن الدول الأخرى التي يتصل بها العملاء (بما في ذلك الوسطاء ومقدمي الخدمات)؛
		-	أي متغيرات أخرى قد ترفع من خطر غسل الأموال وتمويل الإرهاب أو تخفض منه في وضع معيّن؛
		-	نتائج تقييم مخاطر غسل الأموال وتمويل الإرهاب الصادرة عن الجهات والمنظمات الدولية مثل مجموعة العمل المالي (فاتف) ولجنة بازل والبنك الدولي، وصندوق النقد الدولي والأمم المتحدة ومنظمة الشفافية.
2-1	ينبغي على المؤسسة المالية قبل تطوير وتنفيذ ضوابط وسياسات وإجراءات لتخفيف مخاطر غسل الأموال وتمويل الإرهاب، أن تقوم بتحديد مدى قدرتها على تحمل المخاطر الناتجة عن تقييم مخاطر غسل الأموال وتمويل الإرهاب، على أن تأخذ في الاعتبار المخاطر التنظيمية، ومخاطر السُمعة، والمخاطر القانونية، والمخاطر المالية، والمخاطر التشغيلية.
3-1	على المؤسسة المالية أن تقوم بتطوير وتنفيذ ضوابط وسياسات وإجراءات للتخفيف من مخاطر غسل الأموال وتمويل الإرهاب بناءً على نتائج تقييم المخاطر الواردة في الفقرة (1-1) على أن تراعي المؤسسة المالية أن تكون هذه التدابير فعالة وملائمة وكافية للتخفيف من المخاطر المرتبطة بنتائج تقييم مخاطر غسل الأموال وتمويل الإرهاب. وعلى المؤسسة المالية أن تأخذ بعين الاعتبار أن نشاط المؤسسة المالية سيكون عرضة للمخاطر بغض النظر عن مدى ملائمة وكفاية التدابير المتخذة؛ لذا على المؤسسة المالية تعزيز وتحديث التدابير المتخذة كلما دعت الحاجة.
4-1	ينبغي أن تقوم المؤسسة المالية بتصنيف جميع عملائها وفقاً لنتائج تقييم المخاطر واتخاذ التدابير الوقائية المتخذة للتخفيف من مخاطر غسل الأموال وتمويل الإرهاب، ويمكن للمؤسسة المالية أن تقوم بتحديد مستوى ودرجة المخاطر (فئات مخاطر عالية، أو متوسطة، أو منخفضة، أو فئات أخرى تقررها المؤسسة المالية) بناءً على نتائج تقييم المخاطر على أن يتوافق التصنيف مع حجم وطبيعة أعمال المؤسسة المالية.
5-1	ينبغي على المؤسسة المالية مراجعة وتحديث ملف تعريف مخاطر العميل بشكل منتظم وعلى أساس مستوى مخاطر غسل الأموال وتمويل الإرهاب.
6-1	ينبغي أن يكون تقييم المخاطر واسع النطاق وعلى مستوى من التطور يتناسب مع تعقيد الأعمال للمؤسسة المالية ذات الهيكل التنظيمي المعقّد، وبالنسبة للمؤسسة المالية ذات الهيكل التنظيمي الأقل تعقيداً، قد يكون من المناسب اتباع منهج أبسط لإجراء تقييم المخاطر.
7-1	على المؤسسة المالية أن تقوم بتقييم المخاطر قبل إطلاق المنتج أو الخدمة أو ممارسات العمل الجديدة أو قبل استخدام التقنيات الجديدة أو قيد التطوير، وعليها اتخاذ التدابير المناسبة لإدارة المخاطر المحددة والحد منها كما هو وارد في الفقرة (3-1) في قسم تقييم مخاطر غسل الأموال وتمويل الإرهاب.
8-1	على المؤسسة المالية وضع آلية مناسبة لتوفير وتقديم المعلومات والتقارير التي بُني عليها تقييم مخاطر غسل الأموال وتمويل الإرهاب إلى البنك المركزي وذلك عند الطلب.
9-1	على المؤسسة المالية في حال تصنيف عميل على أنه عالي المخاطر أخذ موافقة الإدارة العُليا على التصنيف على أن تكون المعلومات التي بُني عليها التصنيف مقبولة ومسببة.
10-1	ينبغي أن يتم تقديم تقارير دورية لمجلس الإدارة فيما يتعلّق بتقييم المخاطر على مستوى المؤسسة المالية، بحيث تشمل التقارير ما يلي:
	(أ)	نتائج أنشطة رصد ومراقبة عمليات غسل الأموال وتمويل الإرهاب التي تقوم بها المؤسسة المالية؛
	(ب)	مستوى التعرّض لمخاطر عمليات غسل الأموال وتمويل الإرهاب استناداً إلى الأنشطة الرئيسة أو شرائح العملاء؛
	(ج)	مؤشرات وأنماط عامة عن المعاملات المشبوهة، واتجاهات ومؤشرات عامة للطلبات الواردة من الإدارة العامة للتحريات المالية والسلطات المختصة؛
	(د)	تفاصيل الأحداث الهامة، التي تحدث إما داخلياً أو خارجياً، وطريقة التعامل معها وتأثيرها أو الأثر المحتمل على المؤسسة المالية؛
	(هـ)	التطورات المحلية والدولية في أنظمة ولوائح وتعليمات والمتطلبات الخاصة بمكافحة غسل الأموال وتمويل الإرهاب، وانعكاساتها على المؤسسة المالية؛
	(و)	تحديد مستوى فاعلية التدابير الوقائية من المخاطر والتخفيف من آثارها.

ثانياً: السياسات والإجراءات والضوابط الداخلية لتخفيف المخاطر

إن تطوير وتنفيذ برنامج لمكافحة غسل الأموال وتمويل الإرهاب يُمثل أداة فعّالة وأساسية لتطبيق المنهج القائم على المخاطر، على أن يشتمل البرنامج على الضوابط والسياسات والإجراءات المعتمدة من المؤسسة المالية للتخفيف من مخاطر غسل الأموال وتمويل الإرهاب، وتتمتع المؤسسة المالية بسُلطة تقديرية لتحديد المستوى المناسب من السياسات والإجراءات والضوابط لمكافحة غسل الأموال وتمويل الإرهاب بشرط أن يتم وضعها على مستوى وأساس نتائج تقييم المخاطر المُشار لها في القسم الأول في هذا الدليل.
وقد تضمنت المادة (الرابعة عشرة) من نظام مكافحة غسل الأموال ولائحته التنفيذية، والمادة (الثامنة عشرة) من اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله الأحكام والالتزامات التي يجب على المؤسسة المالية أن تضمنها في سياساتها وإجراءات الداخلية.
1-2	ينبغي على المؤسسة المالية أن تضع برنامج لمكافحة غسل الأموال وتمويل الإرهاب يشمل السياسات والإجراءات والضوابط الداخلية للتخفيف من مخاطر غسل الأموال وتمويل الإرهاب التي تتناسب مع نتائج تقييم المخاطر المعتمدة من قبلها الواردة في الفقرة (1-1)، وأن تقوم بتوثيق واعتماد البرنامج على مستوى مجلس الإدارة وأن تراجعه وتعززه بشكل مستمر. وأن يتناسب البرنامج مع طبيعة وحجم أعمال المؤسسة المالية.
2-2	ينبغي أن يتضمن برنامج مكافحة غسل الأموال وتمويل الإرهاب العناصر التفصيلية والخطط الاستراتيجية للمؤسسة المالية لضمان الالتزام بتطبيق متطلبات مكافحة غسل الأموال وتمويل الإرهاب، بما في ذلك إعداد وتحديث سياسة مكافحة غسل الأموال وتمويل الإرهاب بناءً على نتائج تقييم المخاطر الوارد في الفقرة (1-1) في قسم تقييم مخاطر غسل الأموال وتمويل الإرهاب، وتطوير وتنفيذ وإجراءات العمل الداخلية ذات العلاقة بما في ذلك إجراءات العمل المرتبطة بالعمليات فيما يتعلق بتطبيق تدابير العناية الواجبة/ المعززة تجاه العميل.
3-2	على المؤسسة المالية أن تتضمّن في سياساتها وإجراءاتها الداخلية لمكافحة غسل الأموال وتمويل الإرهاب العناصر التالية بحد أدنى:
	(أ)	تدابير العناية الواجبة بما يشمل تدابير العناية المعززة وتدابير العناية المبسّطة؛
	(ب)	حفظ السجلات؛
	(ج)	مراقبة ومتابعة العمليات والأنشطة؛
	(د)	الإبلاغ عن العمليات المشتبه بها؛
	(هـ)	ترتيبات إدارة الالتزام بمكافحة غسل الأموال وتمويل الإرهاب؛
	(و)	وظيفة التدقيق المستقل؛
	(ز)	التدريب في مجال مكافحة غسل الأموال وتمويل الإرهاب؛
	(ح)	معايير التوظيف والمتابعة.
4-2	ينبغي أن تكون سياسات وإجراءات وضوابط مكافحة غسل الأموال وتمويل الإرهاب في المؤسسة المالية موثقة بشكل واضح ويتم إبلاغها لجميع الموظفين المعنيين في إدارات المؤسسة المالية، وأن يكون جميع الموظفين مدربين تدريباً كافياً لتنفيذ سياسات وإجراءات مكافحة غسل الأموال وتمويل الإرهاب.
5-2	على المجموعة المالية تطبيق برنامج مكافحة غسل الأموال وتمويل الإرهاب على كافة فروعها والشركات التابعة لها التي تمتلك فيها حصة أغلبية، وأن تضمّن في سياساتها وإجراءاتها مشاركة المعلومات بين أعضاء المجموعة وتوفير معلومات العملاء والعميلات وذلك لغرض القيام بمهام الالتزام بمكافحة غسل الأموال وتمويل الإرهاب أو التدقيق المستقل على أن يتم المحافظة على سرية المعلومات.
6-2	إذا كانت الدولة الاجنبية المستضيفة للشركة التي تملك فيها المجموعة المالية أو المؤسسة المالية حصة أغلبية لا تسمح بتنفيذ برنامج مكافحة غسل الأموال وتمويل الإرهاب بطريقة تتفق مع متطلبات مكافحة غسل الأموال وتمويل الإرهاب في المملكة، فعلى المجموعة المالية أو المؤسسة المالية اتخاذ التدابير الوقائية التالية:
	(أ)	تطبيق تدابير إضافية مناسبة لإدارة مخاطر غسل الأموال وتمويل الإرهاب:
	(ب)	تقديم تقارير إلى البنك المركزي – إدارة مكافحة غسل الأموال وتمويل الإرهاب - بشأن الثغرات في تنفيذ مكافحة غسل الأموال وتمويل الإرهاب، والتدابير الإضافية المتخذة التي تم تنفيذها لإدارة مخاطر غسل الأموال وتمويل الإرهاب الناشئة عنها؛
	(ج)	النظر في وقف عمليات الشركات التابعة لها؛ إذا لم تتمكن المجموعة المالية أو المؤسسة المالية من وضع تدابير مناسبة وإجراءات لتخفيف مخاطر غسل الأموال وتمويل الإرهاب؛
	(د)	الالتزام بأي تعليمات تتلقاها المجموعة المالية أو المؤسسة المالية من البنك المركزي في هذا الشأن.

ثالثاً: تدابير العناية الواجبة

أ. تدابير العناية الواجبة

لتحقيق أساس متين لتطبيق المنهج القائم على المخاطر؛ ينبغي على المؤسسة المالية معرفة عملائها والمستفيدين الحقيقيين بشكل كاف لتصنيف مخاطر العملاء وعلاقات العمل من منظور مكافحة غسل الأموال وتمويل الإرهاب لتتمكن من تركيز وتوجيه مواردها اللازمة للعملاء وعلاقات العمل عالية الخطورة للتخفيف من مخاطر غسل الأموال وتمويل الإرهاب؛ ولتحقيق هذا الهدف ينبغي أن تقوم المؤسسة المالية بتصنيف العملاء على أساس المخاطر المرتبطة بهم كما هو وارد في قسم تقييم مخاطر غسل الأموال وتمويل الإرهاب في هذا الدليل؛ وتشكل المعلومات التي يتم الحصول عليها من العميل أداة أساسية ورئيسية في تصنيف مخاطر العميل؛ لذا على المؤسسة المالية الحصول على معلومات موثوقة للعملاء وأن تتحقق منها وأن تكون هذه المعلومات محدّثة وملائمة.
إن حجم الأعمال التي ترغب المؤسسة المالية في قبولها لابد أن يقابله تدابير وقائية تخفف من المخاطر المرتبطة بها، ويتوقع من المؤسسة المالية أن تضع سياسة واضحة بشأن قبول العملاء والأعمال، وتتحقق من أن لديها مستوى كاف من الضوابط الداخلية لإدارة مخاطر غسل الأموال وتمويل الإرهاب وتخفيفها، ومن هذه التدابير الوقائية تطبيق تدابير العناية الواجبة للتعرف والتحقق من هوية العميل أو الشخص الذي يتصرف نيابة عن العميل أو المستفيد الحقيقي.
وقد تضمنت المادة (السابعة) من نظام مكافحة غسل الأموال ولائحته التنفيذية والمادة (السابعة عشرة) من اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله الالتزامات التي يجب على المؤسسة المالية الوفاء بها عند تطبيق تدابير العناية الواجبة.
1-3	ينبغي على المؤسسة المالية وضع سياسة لقبول العملاء والأعمال الجديدة تشمل تدابير العناية الواجبة التي ستقوم بتنفيذها للتعرف والتحقق من هوية العميل أو الشخص الذي يتصرف نيابة عن العميل أو المستفيد الحقيقي، على أن تتوافق السياسة مع نتائج تقييم المخاطر وأن تقوم بتوثيقها واعتمادها على مستوى مجلس الإدارة.
2-3	على المؤسسة المالية تطبيق تدابير العناية الواجبة وفقاً لنوع ومستوى المخاطر التي يشكلها العميل أو المستفيد الحقيقي أو علاقة عمل محددة، على أن تنفذ تدابير العناية الواجبة في الحالات التالية:
	(أ)	قبل البدء في إقامة علاقة عمل جديدة؛
	(ب)	قبل إجراء تعامل لصالح شخص طبيعي أو اعتباري ليس بينهما علاقة عمل، سواء تم هذا التعامل لمرة واحدة أو لمرات متعددة بحيث تبدو تلك التعاملات متصلة ببعضها؛
	(ج)	عند الاشتباه بعمليات غسل أموال أو تمويل إرهاب؛
	(د)	عند الشك في مدى صحة أو كفاية البيانات الخاصة بالعميل التي سبق الحصول عليها؛
	هـ)	قيام العميل بتنفيذ عملية لا تتماشى مع سلوك العميل أو بياناته.
3-3	ينبغي أن تتضمن تدابير العناية الواجبة بحد أدنى ما يلي:
	(أ)	التعرف على هوية العميل، والتحقق منها باستخدام وثائق أو بيانات أو معلومات من مصدر موثوق ومستقل، وينبغي أن يكون المصدر معروفاً وذا سمعة حسنة وتثق به المؤسسة المالية للتحقق من معلومات العميل، وفي جميع الاحوال لا يمكن أن يكون مصدر المعلومات أو البيانات المؤسسة المالية ذاتها أو العميل نفسه بل ينبغي أن يكون المصدر مستقلاً، وعلى سبيل المثال، تعد المعلومات والمستندات التي تتصدرها الجهات الحكومية من المصادر الموثوقة والمستقلة. على أن يتم التعرف على العميل وفقاً لما يلي³؛
		-	الشخص الطبيعي: الحصول على الاسم الكامل للشخص المدون في الإثباتات الرسمية المعتمدة، بالإضافة إلى عنوان محل الإقامة أو العنوان الوطني، وتاريخ ومكان الولادة والجنسية ومصدر الدخل والتحقق من تلك المعلومات.
		-	الشخص الاعتباري: الحصول على اسم الشخص وشكله القانوني، وإثبات التأسيس، التي تنظّم وتحكم عمل الشخص الاعتباري أو الترتيب القانوني، وأسماء كافة المديرين وكبار الإداريين لديه، والعنوان الرسمي المسجل، ومكان العمل إذا كان مختلفاً، ومصادر إيرادات الشخص الاعتباري والتحقق من هذه المعلومات.
	(ب)	التعرف على هوية الشخص الذي يتصرف نيابة عن العميل والتحقق منها ومن مصدر موثوق ومستقل، حتى يتحقق لدى المؤسسة المالية المعرفة بأن هذا الشخص مصرح له فعلاً بالتصرف بهذه الصفة. وينبغي على المؤسسة المالية اتخاذ التدابير الكافية لتحديد الشخص الذي يتصرف نيابة عن العميل، بما يشمل تحديد طبيعة العلاقة بين الشخص الذي يتصرف نيابة عن العميل والعميل، وتطبيق التدابير الواردة في البند (أ)؛
	(ج)	التعرف على هوية المستفيد الحقيقي، واتخاذ إجراءات كافية للتحقق منها باستخدام وثائق أو بيانات أو معلومات من مصدر موثوق ومستقل كما هو وارد في قسم المستفيد الحقيقي؛
	(د)	فهم الغرض من علاقة العمل وطبيعتها والحصول على معلومات إضافية بشأنها عند الحاجة إلى ذلك؛
	(هـ)	فهم هيكل الملكية والسيطرة على العميل الاعتباري.
4-3	ينبغي على المؤسسة المالية أن تضع الإجراءات اللازمة لجمع المعلومات الكافية عن العملاء وعن استخدامهم المتوقع للمنتجات والخدمات، على أن يتم تحديد تفاصيل المعلومات وطبيعتها حسب درجة ومستويات المخاطر، حيث تتطلب علاقات العمل والعملاء عالية الخطورة تدقيقاً أكبر من المخاطر التي يشكلها العميل وعلاقة العمل.
5-3	يجوز للمؤسسة المالية عدم تطبيق تدابير العناية الواجبة عند كل عملية يتم تنفيذها لمصلحة العميل، حيث يمكن للمؤسسة المالية الاعتماد على البيانات والمعلومات التي سبق الحصول عليها في هذا الشأن على أن تكون محدثّة وملائمة وغير مشكوك فيها.
6-3	على المؤسسة المالية عدم قبول عملاء أو علاقات عمل أو تنفيذ عمليات دون معرفة اسم العميل والمستفيد الحقيقي والتحقق من بياناتهم، كما يُحظر على المؤسسة المالية قبول عملاء أو إنشاء علاقات عمل أو تنفيذ عمليات بأسماء مرقمة أو مرمَزة أو باستخدام أسماء مجهولة أو وهمية.
7-3	ينبغي على المؤسسة المالية تطبيق تدابير العناية الواجبة باستمرار على العملاء وعلاقات العمل والمستفيد الحقيقي بحسب نوع ومستوى المخاطر، والتحقق من العمليات التي تتم طوال فترة العلاقة بهدف:
	(أ)	التأكد من مواءمة بيانات العميل والمستفيد الحقيقي ونشاطه مع المخاطر التي يمثلها؛
	(ب)	التأكد أن الوثائق والبيانات والمعلومات التي تم جمعها بموجب تدابير العناية الواجبة محدّثة وملائمة، وتتواءم مع نشاط العميل وعملياته؛
	(ج)	النظر في تقديم بلاغ اشتباه للإدارة العامة للتحريات المالية عند توافر الأسباب الكافية للاشتباه؛
	(د)	إعادة تقييم مخاطر العملاء بناءً على معاملاتهم وأنشطتهم؛
	(هـ)	التحقق من المستفيد الحقيقي بشكل مستمر من علاقة العمل والعمليات؛
	(و)	التحقق ما إذا كان العميل شخصاً سياسياً معرضاً للمخاطر.
8-3	ينبغي على المؤسسة المالية تحديد مرات مراجعة وتحديث معلومات العملاء بناءً على مستوى ودرجة مخاطر العميل، على أن يتم تطبيق تدابير العناية الواجبة بشكل مستمر أكثر تكراراً للعملاء ذوي المخاطر العالية واتخاذ التدابير المعززة المناسبة لذلك.
9-3	لا ينبغي حضور العميل للمؤسسة المالية عند تحديث ومراجعة بيانات ومعلومات العميل للتحقق من معلومات الهوية في حال التحقق من معلومات الهوية باستخدام الخدمات الالكترونية للتوثيق المعتمدة من مركز المعلومات الوطني، على أن تقوم المؤسسة المالية بتحديد مدى الحاجة لمزيد من التوثيق أو لحضور العميل حسب مستوى ودرجة مخاطر العميل.
10-3	على المؤسسة المالية عند الاعتماد على الخدمات الالكترونية الموثوقة والمستقلة للتعرف والتحقق من العميل أن تقوم بتحديد مدى الحاجة لمزيد من التوثيق من عدمه بحسب مستوى ودرجة مخاطر العميل، وأن تقوم بتنفيذ التدابير الوقائية اللازمة للتخفيف من مخاطر علاقة العمل، وأن تضع المؤسسة المالية الإجراءات والتدابير اللازمة للتحقق من صحة ومراجعة المعلومات التي تم الحصول عليها عن العميل بالاعتماد على الخدمات الالكترونية الموثوقة والمستقلة، على أن يشمل ذلك أيضاً المعلومات المقدمة من قبل العميل.
11-3	على المؤسسة المالية اتخاذ كافة التدابير الازمة لتحديث ومراجعة معلومات العملاء والمستفيد الحقيقي، وينبغي على المؤسسة المالية عند اتخاذها لتدابير وقائية غير ناجحة أن تحتفظ بمستند يوضح ذلك كما هو وارد في الفقرة (6-6) في قسم حفظ السجلات، وفي حال لم تكن المؤسسة المالية قادرة على الالتزام بمتطلبات تدابير العناية الواجبة فيجب عليها عدم إنشاء علاقة العمل أو تنفيذ معاملة مع العميل، وعندما يتعلق الأمر بعملائها أو علاقات العمل الحالية، فعلى المؤسسة المالية إنهاء علاقة العمل التي تربطها بهم، والنظر في رفع بلاغ اشتباه إلى الإدارة العامة للتحريات المالية.
12-3	على المؤسسة المالية وضع إجراءات فعالة للتحقق من جميع أسماء العملاء والمستفيدين الحقيقيين بما فيهم كافة المديرين وكبار الإداريين والملاك والشخص الذي يتصرف نيابة عن العميل مقابل الأسماء التي صنّفت من قبل السلطات المحلية والأمم المتحدة كأشخاص مدرجين في قوائم العقوبات قبل إنشاء العلاقة أو أثناء العلاقة أو إجراء العملية، والالتزام بما تضمنته الفقرة (8-15) في قسم الإبلاغ عن العمليات المشتبه بها.
13-3	ينبغي على المؤسسة المالية مراقبة ومتابعة قوائم العقوبات الصادرة والمتوفرة عن الدول الأخرى⁴ والتحقق من جميع العمليات والتحويلات ومقارنتها مع هذه القائم لتفادي أية إشكاليات قانونية محتملة قد تواجه المؤسسة المالية أو أي جهات اخرى محلية أو دولية، وكذلك لتجنب تجميد عمليات أو تحويلات العملاء.
14-3	على المؤسسة المالية في حال الاشتباه بوجود عملية غسل أموال أو تمويل إرهاب ولديها مبررات قوية وأسباب معقولة بأن العميل قد ينتبه لوجود حالة اشتباه في حال قيامها بتطبيق تدابير العناية الواجبة؛ أن تقرر وفقاً لسلطتها التقديرية عدم تطبيق تدابير العناية الواجبة على أن تلتزم بما تضمنته الفقرة (8-8) في قسم الإبلاغ عن العمليات المشتبه بها.
15-3	ينبغي على المؤسسة المالية إيجاد أفضل الوسائل التقنية لتحديد وتسجيل البيانات وفقاً لمتطلبات تدابير العناية الواجبة، بحيث يمكن متابعة وتحديد التغيرات التي تتم على هذه البيانات وتحديد تاريخ التغيير وأن تكون البيانات المسجلة والمدخلة صحيحة ووفقاً لما تم تقديمه من قبل العميل وبعد التحقق منها، على أن تشمل:
	(أ)	بيانات العملاء؛
	(ب)	بيانات المستفيد الحقيقي؛
	(ج)	بيانات الملاك وكافة المديرين وكبار الإداريين لدى العميل؛
	(د)	الشخص الذي يتصرف نيابة عن العميل.
16-3	يمكن للمؤسسة المالية قبول تنفيذ عملية لعميل عارض (عابر) لا يرتبط مع المؤسسة المالية بعلاقة تعاقدية وذلك للأفراد (المواطن والمقيم) والزوّار بموجب تأشيرة. أو إقامة مؤقتة. آخذاً بالاعتبار ما تضمنته الفقرة (4-4) في قسم تدابير العناية المعززة.

³على المؤسسات المالية تطبيق تدابير العناية الواجبة حسب الفقرة رقم (3-3) إضافة إلى ما تتضمنه اللائحة التنفيذية لنظام مراقبة شركات التأمين التعاوني، واللائحة التنظيمية لسلوكيات سوق التأمين، وضوابط إصدار وتشغيل بطاقات الائتمان وبطاقات الحسم الشهري، وقواعد خدمات الدفع المسبق، والقواعد المنظمة لمزاولة أعمال الصرافة.

⁴ مثل عقوبات الاتحاد الأوروبي، أو عقوبات مكتب مراقبة الأصول الأجنبية في وزارة الخزانة الأمريكية أو عقوبة وزارة الخارجية الأمريكية أو الانتربول أو غيرها.

ب. المستفيد الحقيقي

لتطبيق المنهج القائم على المخاطر ينبغي أن تكون المؤسسة المالية متيقنة من هوية المستفيد الحقيقي أو أي شخص يسيطر على علاقة العمل، ولا يمكن للمستفيد الحقيقي أن يكون شخصا اعتبارياً، بل يجب أن يكون شخصاً طبيعياً يملك أو يسيطر على الشخص الاعتباري بصورة مباشرة أو غير مباشرة.
إن إخفاء معلومات الملكية للأعمال والعمليات تُعد من الاساليب المستخدمة في عمليات غسل الاموال وتمويل الارهاب؛ وعليه يعتبر جمع المعلومات اللازمة والتحقق من هوية المستفيد الحقيقي أو أي شخص يسيطر على العلاقة من الخطوات الهامة لمكافحة غسل الاموال وتمويل الإرهاب.
تضمنت المادة (3/7) من اللائحة التنفيذية لنظام مكافحة غسل الأموال والمادة (السابعة عشرة) من اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله التدابير التي يجب على المؤسسة المالية القيام بها لتحديد المستفيد الحقيقي والتعرف عليه.
17-3	على المؤسسة المالية التعرف على هوية المستفيد الحقيقي، واتخاذ إجراءات كافية وملائمة للتحقق منها باستخدام وثائق أو بيانات أو معلومات من مصدر موثوق ومستقل، ولتحديد المستفيد الحقيقي ينبغي على المؤسسة المالية الحصول على كافة التفاصيل والمعلومات اللازمة والضرورية ومراجعتها، حتى يتحقق لديها معرفة المستفيد الحقيقي، على أن تتوافق تدابير العناية الواجبة المتخذة من المؤسسة المالية مع درجة ومستوى المخاطر.
18-3	ينبغي على المؤسسة المالية تحديد هوية الشخص الطبيعي الذي يملك أو يسيطر على (25%) أو أكثر من حصص الشخص الاعتباري، واتخاذ التدابير الكافية والمعقولة للتحقق من هويته، على أن تأخذ المؤسسة المالية بالاعتبار أن الشخص الطبيعي صاحب حصة السيطرة (25%) قد لا يشكل بالضرورة المستفيد الحقيقي، وفي هذه الحالة أو عند عدم وجود شخص طبيعي يملك أو يسيطر على (25%) أو أكثر من ملكية الشخص الاعتباري، أو في حالة توفر اشتباه بأن مالك حصة السيطرة ليس المستفيد الحقيقي، يمكن للمؤسسة المالية أن تتخذ التدابير الوقائية التالية:
	(أ)	تحديد هويةالأشخاص الطبيعيين الذين يشغلون مناصب الإدارة العليا لدى الشخص الاعتباري؛ بحيث يتوفر لدى المؤسسة المالية قناعة كافية في سيطرتهم على الشخص الاعتباري؛
	(ب)	تحديد هوية الملاك الذين يسيطرون على حصة أقل من (25%) في حال اتضح للمؤسسة المالية أنهم المستفيدون الحقيقيون أو المسيطرون على الشخص الاعتباري؛
	(ج)	تحديد هوية الشخص الطبيعي الذي يشغل منصب مسؤول الإدارة العليا؛
	(د)	تحديد العميل عالي المخاطر، واتخاذ التدابير الوقائية بما فيها تدابير العناية المعززة والمراقبة المستمرة للعميل؛
	(هـ)	الاحتفاظ بسجلات للتدابير والإجراءات التي اتخذتها المؤسسة المالية، بالإضافة إلى الأسباب التي دعتها للاشتباه بأن مالك حصة السيطرة ليس المستفيد الحقيقي.
19-3	ينبغي على المؤسسة المالية ألا تعتمد بشكل أساسي على إفادة العملاء المكتوبة لتحديد المستفيد الحقيقي، ويجب عليها اتخاذ إجراءات معقولة وكافية للتحقق من المستفيد الحقيقي؛ من خلال فهم هيكل الملكية والسيطرة على الشخص الاعتباري، ويمكن للمؤسسة المالية فهم هيكل الملكية والسيطرة من خلال الرجوع لأي من المستندات التالية:
	(أ)	بيانات الشركات المساهمة المدرجة في السوق المالية؛
	(ب)	سجل المساهمين؛
	(ج)	عقد التأسيس؛
	(د)	محاضر اجتماعات مجلس الإدارة؛
	(هـ)	السجل التجاري للشركة؛
	(و)	النظام الأساسي.
20-3	على المؤسسة المالية الاحتفاظ بالسجلات والمستندات ذات العلاقة بالتعرف والتحقّق من المستفيد الحقيقي كما هو وارد في الفقرة (6-1) من قسم السجلات.
21-3	عندما يكون عميل المؤسسة المالية فرداً يتعيّن على المؤسسة المالية التأكد من أن العلاقة مع العميل تُستخدَم لمصلحة الفرد الذي سجل باسمه شخصياً وللأغراض المخصص لها (تحديد ما إذا كان العميل يتصرّف لمصلحته شخصياً). وفي حال وجود شك بان العميل يتصرف لمصلحة آخرين، يجب على المؤسسة المالية أن تحدد الصفة التي يتصرف بها العميل أو بالنيابة عنه. وتحدد هوية المستفيد الحقيقي على نحو يرضي المؤسسة المالية. كما يتعيّن على المؤسسة المالية أن تضمن بأن أيّ شخص يزعم التصرّف بالنيابة عن العميل هو مخوّل وأن تحدد وتتحقق من هويّة ذلك الشخص.

ت. الاعتماد على طرف ثالث في استشفاء تدابير العناية الواجبة

يجوز للمؤسسة المالية الاعتماد على مؤسسة مالية أخرى أو أي من أصحاب الأعمال والمهن غير المالية المحددة لاستيفاء تدابير العناية الواجبة. ومع ذلك، إن قيام المؤسسة المالية بمباشرة تدابير العناية الواجبة للعملاء بنفسها يضعها في وضع أفضل لجمع وتقييم مخاطر العميل، لاسيما إذا تضمنت تدابير العناية الواجبة مقابلة العملاء شخصياً (وجهاً لوجه).
وفي جميع الحالات تظل مسؤولية تطبيق تدابير العناية الواجبة، وفقاً للالتزامات الواردة في نظام مكافحة غسل الأموال ولائحته التنفيذية ونظام مكافحة جرائم الإرهاب وتمويله ولائحته التنفيذية، على عاتق المؤسسة المالية المستعينة بجهة أخرى، حيث تتـحمّل المؤسسة المالية المستعينة المسؤولية التامة للالتزام بالمتطلبات النظامية الخاصة بتدابير العناية الواجبة وتعليمات إسناد مهام لطرف ثالث الصادرة من البنك المركزي.
وقد سمحت المادة (7/10) من اللائحة التنفيذية لنظام مكافحة غسل الأموال للمؤسسة المالية بأن تستعين بمؤسسة مالية أخرى أو أي من أصحاب الأعمال والمهن غير المالية المحددة لاستيفاء تدابير العناية الواجبة للعميل، بما في ذلك الجهات التي تكون جزء من ذات المجموعة المالية. وتحدد المادتان (11/7) و(13/7) من اللائحة ذاتها الشروط التي يجب التأكد من تحققها قبل أن تعمد المؤسسة المالية إلى الاعتماد على طرف آخر.
22-3	يجوز للمؤسسة المالية أن تستعين بطرف ثالث سواء كانت مؤسسة مالية أو أي من أصحاب الأعمال والمهن غير المالية المحددة لتنفيذ تدابير العناية الواجبة، وفقاً للشروط الاتية:
	(أ)	التأكد من أن الطرف الثالث خاضع للتنظيم والاشراف والرقابة، ويطبّق تدابير العناية الواجبة وحفظ السجلات الواردة في نظام مكافحة غسل الأموال ولائحته التنفيذية ونظام مكافحة جرائم الإرهاب وتمويله ولائحته التنفيذية؛
	(ب)	اتخاذ المؤسسة المالية إجراءات للتأكد من أن الحصول على معلومات تدابير العناية الواجبة سيتم توفيرها عند الطلب، ومن دون تأخير من الطرف الثالث؛
	(ج)	الحصول الفوري على كافة المعلومات المرتبطة بتدابير العناية الواجبة بما فيها تدابير العناية المعززة والمبسطة من الطرف الثالث؛
	(د)	على المؤسسة المالية أن تأخذ بعين الاعتبار المعلوماتُ المتوفرةُ لدى اللجنة الدائمة لمكافحة غسل الأموال واللجنة الدائمة لمكافحة الإرهاب وتمويله والإدارة العامة للتحريات المالية حول الدول عالية المخاطر التي يتم تحديدها عند تحديد الدول التي يمكن أن يكون الطرف الثالث يمارس أعماله فيها.
23-3	ينبغي على المؤسسة المالية تقييم مخاطر غسل الأموال وتمويل الإرهاب المرتبطة بالاعتماد على الطرف الثالث، على أن تقوم المؤسسة المالية بتطوير وتطبيق سياسات واجراءات مناسبة وملائمة لإدارة المخاطر، وقد تتضمن التدابير والإجراءات ما يلي:
	(أ)	تحديد الحد الأدنى لمتطلبات تدابير العناية الواجبة التي ينبغي على الطرف الثالث الوفاء بها؛
	(ب)	القيام بإجراءات فحص متكررة للمعلومات والمستندات التي تم الحصول عليها لتطبيق تدابير العناية الواجبة بما فيها تدابير العناية المعزّزة أو المبسّطة؛
	(ج)	مراقبة العملاء وعلاقات العمل التي تم انشاء العلاقة معهم بالاعتماد على الطرف الثالث وتطبيق تدابير رقابية مُكثفة تجاههم وفقاً لنتائج مخاطر غسل الأموال وتمويل الإرهاب.
24-3	ينبغي على المؤسسة المالية التحقق بشكل دوري (بحد أدنى بشكل سنوي) أن الطرف الثالث لديه القدرة والامكانات والصلاحيات اللازمة والكافية للوفاء بمتطلبات تدابير العناية الواجبة المسندة إليه بشكل مهني؛ على أن تقوم المؤسسة المالية بتقييم مدى التزام الطرف الثالث بمتطلبات تدابير العناية الواجبة بشكل مستمر.
25-3	يحق للمؤسسة المالية الحصول مباشرة على بيانات ومعلومات العميل الخاصة بتدابير العناية الواجبة من الجهة المستعان بها لتنفيذ تدابير العناية الواجبة، إذا كانت هذه الجهة سبق وأن قامت بتنفيذ تدابير العناية الواجبة لنفس العميل عند تعامله مع مؤسسة مالية أخرى، على أن يراعى في ذلك اكتمال البيانات والمعلومات المطلوبة وأن يتم تطبيق تدابير العناية بشكل مستمر حسب المتطلبات الواردة في الفقرة (3-7) في قسم تدابير العناية الواجبة.

رابعاً: تدابير العناية المعززة

أ. تدابير العناية الواجبة المعززة

يعد تصنيف العميل وفق درجة ومستوى المخاطر المرتبط به عنصر رئيسي من منهج المؤسسة المالية القائم على المخاطر، وعلى المؤسسة المالية تحديد عوامل المخاطر التي تؤخذ بالاعتبار عند تصنيف العميل في فئة العملاء عالي المخاطر من منظور غسل الأموال وتمويل الإرهاب، وأن تقوم باتخاذ خطوات إضافية لجمع المعلومات حيال العملاء وعلاقات العمل عالية الخطورة؛ وذلك لفهم وتقييم المخاطر ومراقبة المعاملات بدقة أكثر. ويقع على عاتق المؤسسة المالية مسؤولية تحديد العملاء ذوي المخاطر العالية، سواء بشكل فردي أو حسب الفئة، وبناءً على ذلك، تقوم المؤسسة المالية بتطبيق تدابير العناية الواجبة المعززة، بما يؤدي في نهاية المطاف إلى تخفيف المخاطر.
ويمكن للمؤسسة المالية الرجوع إلى مجموعة من المصادر المتاحة لها لتصنيف درجة ومستوى مخاطر العميل عالي الخطورة، بما في ذلك نموذج جمع البيانات الذي أعدّه البنك المركزي، وتوجيهات مجموعة العمل المالي (فاتف) الهادفة لمساعدة المؤسسة المالية على تحديد العملاء الذين ينتمون لفئات المخاطر المرتفعة.
وقد تضمنت المادة (14/7) من اللائحة التنفيذية لنظام مكافحة غسل الأموال والمادة (السابعة عشرة) من اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله مسؤولية المؤسسة المالية بتطبيق تدابير العناية المعززة حينما تكون مخاطر غسل الأموال أو تمويل الإرهاب مرتفعة وذلك استناداً إلى أنواع ومستويات المخاطر التي يشكلها عميل أو علاقة عمل محددة. كما ألزمت المادة (الحادية عشرة) من نظام مكافحة غسل الأموال والمادة (السادسة والستون) من نظام مكافحة جرائم الإرهاب وتمويله المؤسسة المالية لتطبيق تدابير العناية الواجبة المعزّزة المتناسبة مع المخاطر التي قد تنشأ من علاقات عمل ومعاملات مع شخص يأتي من دولة حددتها هي أو حددتها اللجنة الدائمة لمكافحة غسل الأموال أو اللجنة الدائمة لمكافحة الإرهاب وتمويله بأنها دولة عالية المخاطر.
1-4	ينبغي للمؤسسة المالية أن تصمم وتنفذ المنهج القائم على المخاطر لديها بشكل يمكّنها من التعرف على العملاء والمستفيدين الحقيقين ذوي المخاطر العالية وفقاً لعناصر المخاطر المحددة في الفقرة (1-1) في قسم تقييم مخاطر غسل الأموال وتمويل الإرهاب. وعند تصنيف العميل أو علاقة عمل في فئة المخاطر العالية ينبغي أن تقوم المؤسسة المالية باتخاذ تدابير معزّزة للتخفيف من المخاطر بما فيها تدابير العناية الواجبة المعزّزة.
2-4	ينبغي أن تقوم المؤسسة المالية بتضمين إجراءات التدابير المعزّزة التي سيتم اتخاذها تجاه العملاء وعلاقة العمل عالية الخطورة ضمن السياسات والإجراءات المعتمدة لمكافحة غسل الأموال وتمويل الإرهاب، وقد تشمل التدابير ما يلي:
	(أ)	الحصول على معلومات عن وظيفة أو نشاط أو مهنة العميل والتحقق من صحة المعلومات؛
	(ب)	تحديد ومعرفة مصدر الأموال/الدخل عند بداية التعامل وعند تنفيذ عمليات أثناء فترة التعامل، والتحقق من صحة البيانات والمعلومات؛
	(ج)	الحصول على معلومات بشأن حجم الأصول والمعاملات للعميل؛
	(د)	إجراء زيارات ميدانية للتحقق من طبيعة الأنشطة التجاريّة للعميل؛
	(هـ)	الحصول على أي مستندات أو معلومات إضافية للتعرف على العميل.
3-4	على المؤسسة المالية عند تحديد عميل عالي الخطورة قبل/بعد إنشاء العلاقة الحصول على موافقة الإدارة العليا للتعامل مع العميل واستمرار العلاقة معه.
4-4	على المؤسسة المالية تطبيق التدابير المعززة على العملاء وعلاقات العمل عالية الخطورة على أي شخص طبيعي أو اعتباري وإن كانت المؤسسة المالية ليست في علاقة عمل معه؛ إذا ما شكل مخاطر عالية من منظور غسل الأموال وتمويل الإرهاب.
5-4	ينبغي على المؤسسة المالية تنفيذ تدابير العناية المعززة في حال معرفتها أن مؤسسة مالية أخرى قد رفضت التعامل مع عميل محدّد ومعرفة أسباب الرفض وبذل إجراءات عناية إضافية عند معرفتها بأن السبب اشتباه يتعلق بمكافحة غسل الأموال أو تمويل الإرهاب.
6-4	على المؤسسة المالية أن تقوم بتطبيق تدابير العناية الواجبة المعززة تجاه العملاء ذوي الهيكل التنظيمي المُعقد بما يكفل للمؤسسة المالية فهم وتحديد مخاطر العميل والتعرف والتحقق من المستفيد الحقيقي.
7-4	ينبغي على المؤسسة المالية اتخاذ الاجراءات المناسبة لتحديد الدول عالية الخطورة لارتباطها بمخاطر غسل الأموال وتمويل الإرهاب وتطبيق التدابير المعززة التي تتناسب مع المخاطر التي قد تنشأ من علاقات عمل ومعاملات مع شخص يأتي من هذه الدول، وذلك من خلال الآتي:
	(أ)	متابعة ما يصدر عن اللجنة الدائمة لمكافحة غسل الأموال فيما يتعلق بالدول عالية المخاطر التي تحددها اللجنة؛
	(ب)	متابعة ما يصدر عن اللجنة الدائمة لمكافحة الإرهاب وتمويله فيما يتعلق بالدول عالية المخاطر التي تحددها اللجنة؛
	(ج)	متابعة ما يصدر عن مجموعة العمل المالي (فاتف) بشأن أوجه القصور لدى الدول بتطبيق تدابير وقائية لحماية النظام المالي الدولي من مخاطر غسل الأموال وتمويل الإرهاب.
8-4	ينبغي على المؤسسة المالية عند اتخاذها لأي تدابير معززة تجاه العميل أن تقوم بتوثيق هذه التدابير على نحو ملائم وفقاً للفقرة (6-1) في قسم حفظ السجلات.

ب. الشخص السياسي المعرض للمخاطر

يُعد التعرف على الشخص السياسي، ومدى اعتباره شخصاً سياسياً مُعرضاً للمخاطر من عدمه أحد تدابير العناية الواجبة التي تطبقها المؤسسة المالية على عملائها لتطبيق المنهج القائم على المخاطر في ممارسة أعمالها، حيث قد يؤدي التأثير السياسي وسلطة الشخص السياسي المعرض للمخاطر إلى استخدام سلطته للإثراء غير المشروع، وغالباً ما تُنقل عائدات هذه الثروات تحت أسماء أقارب أو أشخاص مقرّبين من الشخص السياسي المعُرض للمخاطر بغرض حجبها.
لذلك ينبغي على المؤسسة المالية اتخاذ تدابير معقولة لتحديد ما إذا كان العميل أو المستفيد الحقيقي شخصاً سياسياً معرضاً للمخاطر، وفي حالات وجود علاقة عمل ذات مخاطر عالية مع هؤلاء الأشخاص، على المؤسسة المالية تطبيق تدابير معززة، وتطبق هذه التدابير المعززة على جميع أنواع الأشخاص السياسيين المعرضين للمخاطر وأفراد عائلاتهم أو الأشخاص المقربين الذين تربطهم صلة بهؤلاء الأشخاص.
وقد ألزمت المادة (الثامنة) من نظام مكافحة غسل الأموال ولائحته التنفيذية المؤسسة المالية بوضع إجراءات داخلية وتوفير الأدوات المناسبة لتحديد الشخص السياسي المعرض للمخاطر وتنفيذ تدابير العناية المعززة تجاهه.
9-4	ينبغي على المؤسسة المالية استخدام أدوات وتدابير ملائمة ومناسبة لتحديد ما إذا كان العميل أو المستفيد الحقيقي شخصاً سياسياً معرضاً للمخاطر سواءً أكان شخصاً أجنبياً أو محلياً، وقد تشمل هذه الأدوات والتدابير ما يلي:
	(أ)	البحث عن العميل في أي مصادر معلوماتية متوفرة؛
	(ب)	الاعتماد على قاعدة بيانات موثوقة للتعرف والتحقق من الأشخاص السياسيين، بما فيها استخدام برامج أو أنظمة معلومات تمكنها من التحقق فيما إذا كان العميل، أو العميل المحتمل، أو المستفيد الحقيقي هو شخص سياسي معرض للمخاطر؛
	(ج)	إدراج أسئلة معينة تتعلق بكون العميل شخصاً معرضاً سياسياً عند بدء العلاقة أو عند تحديث ومراجعة بيانات ومعلومات العميل؛
	(د)	التحقق من المنصب الذي يشغله العميل وإمكانية استخدام النفوذ المرتبطة بالمنصب.
10-4	ينبغي على المؤسسة المالية أن تأخذ بعين الاعتبار أن الاعتماد على الأنظمة والبرامج الالكترونية بحد ذاتها لا تضمن الالتزام الكامل بمتطلبات نظام مكافحة غسل الأموال ولائحته التنفيذية، حيث تبقى مسؤولية التأكد من كون العميل شخص سياسي مُعرض للمخاطر من عدمه على عاتق المؤسسة المالية، وقد يكون الجمع بين الأدوات الواردة في الفقرة (4-9) ذو فعالية عالية للتعرف والتحقق من الشخص السياسي المُعرض للمخاطر.
11-4	11-4 ينبغي على المؤسسة المالية تحديد ما إذا كان العميل أو المستفيد الحقيقي شخصاً سياسياً معرضاً للمخاطر في الحالات التالية:
	(أ)	قبل البدء في إقامة علاقة عمل جديدة؛
	(ب)	قبل إجراء تعامل لصالح شخص طبيعي أو اعتباري ليس بينهما علاقة عمل، سواء تم هذا التعامل لمرة واحدة أو أكثر بحيث تبدو تلك التعاملات متصلة ببعضها؛
	(ج)	عند تحديث بيانات العميل ومراجعتها؛
	(د)	عند اشتباه المؤسسة المالية أن العميل شخص سياسي معرض للمخاطر.
12-4	ينبغي على المؤسسة المالية تطبيق تدابير العناية الواجبة باستمرار على العملاء وعلاقات العمل والمستفيد الحقيقي للتحقق ما إذا كان العميل شخص سياسي مُعرض للمخاطر كما هو وارد في الفقرة (3-7) في قسم تدابير العناية الواجبة.
13-4	على المؤسسة المالية تصنيف الشخص الأجنبي السياسي كعميل عالي المخاطر وأن تقوم بتطبيق تدابير العناية المعززة للتخفيف من مخاطر العميل بما فيها:
	(أ)	الحصول على موافقة الإدارة العليا قبل إنشاء علاقة العمل أو استمرارها معه؛
	(ب)	اتخاذ كافة التدابير المعقولة لتحديد مصدر ثروته وأمواله؛
	(ج)	تطبيق تدابير معززة ومستمرة للعناية الواجبة لعلاقة العمل.
على أن تقوم المؤسسة المالية بتطبيق ذات التدابير على الشخص المحلي السياسي حينما تكون مخاطر غسل الأموال وتمويل الارهاب مرتفعة.
14-4	على المؤسسة المالية أن تقوم بتطبيق تدابير العناية المعززة ذات العلاقة بالشخص السياسي المعرض للمخاطر على أفراد عائلة الشخص السياسي المعرض للمخاطر وكذلك الشخص المقرب من الشخص السياسي المعرض للمخاطر.
15-4	لتحديد مستوى ودرجة المخاطر للشخص المحلي السياسي ينبغي على المؤسسة المالية الأخذ بعين الاعتبار المتطلبات الوارد ة في الفقرة (1-1) في قسم تقييم مخاطر غسل الأموال وتمويل الإرهاب. وقد تستعين المؤسسة المالية بالمعايير التالية لتحديد درجة ومستوى المخاطر:
	(أ)	المدة الزمنية التي قضاها الشخص المحلي السياسي المعرض للمخاطر مُكلفاً بمهمات عامة عليا في المملكة أو دولة أجنبية؛
	(ب)	مخاطر الفساد المرتبطة بالجهة التي يتولى فيها الشخص المحلي السياسي المعرض للمخاطر منصبه، ومدى تعرضها لمخاطر الفساد؛
	(ج)	محاولة العميل إخفاء أو تقديم معلومات غير دقيقة مرتبطة بتطبيق تدابير العناية الواجبة/المعززة مثل:
		-	إخفاء أو تقديم معلومات غير دقيقة تتعلق بوظيفة العميل ومدى ارتباطها بمناصب أو مهام عامة عليا في المملكة أو دولة أجنبية.
		-	إخفاء أو تقديم معلومات غير دقيقة ترتبط بمصدر الدخل/الثروة.
	(د)	استخدام الشخص المحلي السياسي المعرض للمخاطر لأفراد الاسرة أو الأشخاص المقربين منه للتصرف نيابة عنه.
16-4	ينبغي أن يكو ن لدى المؤسسة المالية أسباب كافية ومعقولة وموثقة مُستندة على نتائج تقييم مخاطر غسل الأموال وتمويل الإرهاب إذا ما قررت أن الشخص المحلي أو أفراد عائلته أو الأشخاص المقربين منه لا يشكلون مخاطر مرتفعة من منظور غسل الأموال وتمويل الإرهاب.
17-4	على المؤسسة المالية إذا تبين لها من وثائق تأمين الحماية و/أو الادخار أو وثائق التأمين ذات الصلة بالاستثمار أن المستفيد أو المستفيد الحقيقي شخص سياسي معرض للمخاطر أن تقوم باتخاذ تدابير عناية معززة للتخفيف من المخاطر قبل أن يتم دفع التعويضات بموجب تلك الوثائق أو قبل ممارسة أي حقوق تتعلق بتلك الوثائق، على أن تتضمن تدابير العناية المعززة ما يلي:
	(أ)	إبلاغ الإدارة العليا قبل أن يتم دفع التعويضات بموجب تلك الوثائق أو قبل ممارسة أي حقوق تتعلق بتلك الوثائق؛
	(ب)	إجراء فحص دقيق للعلاقة مع العميل والنظر في رفع بلاغ للإدارة العامة للتحريات المالية إذا كانت العملية مشتبه بها.
	وقد تشمل الحقوق التي يمارسها العميل على الوثيقة ما يلي:
	•	إلغاء الوثيقة؛
	•	إلغاء الوثيقة خلال فترة السماح؛
	•	السحب الجزئي من مبلغ الاستثمار؛
	•	تغيير صندوق الاستثمار؛
	•	دفع أقساط أو اشتراكات إضافية.
18-4	ينبغي على المؤسسة المالية إذا لم تنجح في تحديد الشخص السياسي المعرض للمخاطر أو عند وجود شكوك لديها حيال ذلك، أن تضمّن في سجلاتها ما يلي:
	(أ)	الخطوات التي اتخذتها لتحديد نوع العميل؛
	(ب)	أسباب الشكوك لديها حول طبيعة المنصب أو الوظيفة التي يشغلها العميل أو ارتباطه بشخص سياسي معرض للمخاطر؛
	(ج)	أسباب عدم نجاح التدابير؛
	(د)	التاريخ الذي اتخذت فيه التدابير.

خامساً: تدابير العناية الواجبة المبسطة

من نتائج تبني المؤسسة المالية للمنهج القائم على المخاطر، تحديد وتصنيف العملاء وعلاقات العمل ذات المخاطر المنخفضة من منظور غسل الأموال وتمويل الإرهاب وبالتالي إمكانية أن تقوم المؤسسة المالية بتنفيذ تدابير مبسطة في الحالات التي تكون فيها نتائج تقييم مخاطر غسل الأموال وتمويل الإرهاب للعملاء أو علاقات العمل منخفضة الخطورة.
وليتسنى للمؤسسة المالية الوصول لهذه النتيجة؛ ينبغي جمع معلومات كافية عن العميل لتحديد مستوى المخاطر المرتبطة به.
وقد تضمنت المادة (5/5) من اللائحة التنفيذية لنظام مكافحة غسل الأموال والمادة (17) من اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله جواز تنفيذ تدابير مبسطة عندما تكون مخاطر غسل الأموال وتمويل الإرهاب منخفضة مع الاشتراطات اللازمة لذلك.
1-5	يجوز للمؤسسة المالية عندما تكون مخاطر غسل الأموال وتمويل الإرهاب منخفضة أن تتخذ تدابير مبسطة تجاه العميل وعلاقة العمل بشرط عدم وجود أي شبهة غسل الأموال أو تمويل الإرهاب، وينبغي أن تكون التدابير المبسطة متناسبة مع المخاطر المنخفضة، وتشمل التدابير المبسطة اتخاذ تدابير العناية الواجبة المبسطة للتعرف والتحقق من هوية العميل.
2-5	على المؤسسة المالية أن تقوم بتضمين التدابير والإجراءات المبسطة التي سيتم اتخاذها تجاه العملاء وعلاقة العمل منخفضة المخاطر ضمن السياسات والإجراءات المعتمدة لمكافحة غسل الأموال وتمويل الإرهاب.
3-5	لا يعني تطبيق التدابير المبسطة الاعفاء من متطلبات تدابير العناية الواجبة تجاه العميل، وإنما تطبيقها على نحو مخفف ومبسط يتوافق مع مخاطر غسل الأموال وتمويل الإرهاب التي يشكلها العميل أو المستفيد الحقيقي. حيث ينبغي على المؤسسة المالية - أيا كانت المخاطر التي يشكلها العميل أو علاقة العمل - الالتزام بالمعايير التالية عند تطبيق تدابير العناية الواجبة:
	(أ)	التعرف والتحقق من هوية العميل أو الشخص الذي يتصرف نيابة عن العميل بالاعتماد على مصدر موثوق ومستقل؛
	(ب)	تحديد المستفيد الحقيقي والتعرف والتحقق من هويته من مصدر موثوق ومستقل بحيث تقتنع المؤسسة المالية أنها تعرف المستفيد الحقيقي؛
	(ج)	فهم الغرض من علاقة العمل وطبيعتها؛
	(د)	فهم هيكل الملكية والسيطرة على العميل الذي يعتبر شخصاً اعتبارياً.
4-5	يجوز للمؤسسة المالية تطبيق تدابير العناية المبسطة لكافة المعايير الواردة في الفقرة (5-3) في قسم تدابير العناية الواجبة المبسطة. وتحدد المؤسسة المالية طبيعة ونوعية تدابير العناية المبسطة التي تتخذها وفقاً لتقييمها لمخاطر غسل الأموال وتمويل الإرهاب، وعادةً ما ترتبط تدابير العناية المبسطة بالعناصر التالية:
	(أ)	توقيت التحقق من المعلومات والمستندات المرتبطة بالعميل؛
	(ب)	كثافة ودورية عملية التعرف والتحقق من معلومات العميل؛
	(ج)	تفاصيل المعلومات وطبيعتها التي يتم الحصول عليها من العميل.
5-5	5-5 يمكن للمؤسسة المالية بعد التعرف على العميل، تأجيل عملية التحقق من الهوية، على أن تلتزم بما يلي:
	(أ)	أن تقوم بالتحقق من المعلومات والمستندات المرتبطة بالعميل بأسرع وقت ممكن؛
	(ب)	أن يكون تأجيل التحقّق من هوية العميل ضرورياً لعدم تعليق إجراءات العمل الطبيعية؛
	(ج)	أن تُطبق التدابير المناسبة والفعالة للسيطرة على مخاطر غسل الأموال وتمويل الإرهاب؛
	(د)	أن يتم وضع واتخاذ اجراءات لإدارة المخاطر فيما يتعلق بالظروف التي يمكن فيها للعميل الاستفادة من علاقة العمل قبل عملية التحقق.
6-5	ينبغي على المؤسسة المالية أن تخضع العملاء وعلاقات العمل التي تم تطبيق تدابير العناية المخففة تجاههم للمراقبة كما هو وارد في (7-3) في قسم مراقبة ومتابعة العمليات والأنشطة، وأن تنظر - نتيجة للمراقبة والمتابعة المستمرة _ في تطبيق تدابير العناية المعززة عند ارتفاع مخاطر غسل الأموال وتمويل الإرهاب.
7-5	على المؤسسة المالية عند تنفيذ عمليات لعميل عارض (عابر) استيفاء معلومات هوية المواطن أو المقيم أو معلومات الجواز والتأشيرة (زيارة/سياحة) أو المقيم بموجب إقامة مؤقتة، وتدوين رقمها كمرجع للعمليات المنفذة، وإذا كانت العملية خاصة بخدمة تحويل مالي أو شيكات، فيتم استيفاء صورة الهوية أو الجواز والتأشيرة. والالتزام بمتطلبات قسم التحويل البرقي.
8-5	يسمح للعميل العارض (عابر) بإجراء وتنفيذ العمليات التالية:
	(أ)	تسديد فواتير الخدمات؛
	(ب)	تسديد مستحقات الجهات الحكومية؛
	(ج)	تبديل العملات والتحويل المالي وصرف الشيكات بحد أقصى (5.000 ريال أو ما يعادله للعملية الواحدة، أو لا يتجاوز 50.000 ريال أو ما يعادله خلال العام).
	(د)	شراء وثائق منتجات التأمين الإلزامي للزوار.

سادساً: حفظ السجلات

ينبغي على المؤسسة المالية أن تجعل سجلاتها متاحة للجهات المختصة وإدارات المؤسسة المالية ذات العلاقة؛ للسماح بتحليل البيانات وتتبع التعاملات المالية وهيكلتها وتتبع مصدر العمليات ومنفذها والمفوضين بتنفيذ العمليات أو بالتوقيع.
وقد تضمنت المادة (الثانية عشرة) من نظام مكافحة غسل الأموال والمادة (الخامسة والستون) من نظام مكافحة جرائم الإرهاب وتمويله الالتزامات التي تقع على المؤسسة المالية لحفظ السجلات من حيث طبيعتها والحد الأدنى لحفظها، وإمكانية تمديد مدة حفظها بحسب المتطلبات النظامية.
1-6	على المؤسسة المالية حفظ السجلات لمدة لا تقل عن عشر سنوات من تاريخ انتهاء علاقة العمل أو تاريخ انتهاء العملية أو قفل الحساب أو العقد أو تاريخ إتمام عملية لعميل لا تربطه بالمؤسسة المالية علاقة عمل - عميل عارض (عابر) -. والالتزام بأي تعليمات قد تصدر من السلطة المختصة بتمديد مدة الاحتفاظ بالسجلات.
2-6	على المؤسسة المالية وضع إجراءات وضوابط داخلية معتمدة لحفظ السجلات وتوثيقها، وأن تراجعها وتعززها بشكل مستمر، وأن تتأكد من فاعلية تطبيقها، وأن تتضمن الإجراءات والضوابط الداخلية بحد أدنى ما يلي:
	(أ)	كيفية الاحتفاظ بالسجلات سواءً كانت ورقية أو الكترونية، وآلية وصلاحية الوصول للسجلات واسترجاعها؛
	(ب)	التدابير المتخذة للوفاء بالمتطلبات النظامية ذات العلاقة بحفظ السجلات في حالة حفظها خارج المملكة لضمان عدم وجود عوائق للوصول إلى تلك السجلات؛
	(ج)	ترتيبات إدارة حفظ السجلات لضمان الوفاء بالمتطلبات النظامية لمكافحة غسل الأموال وتمويل الإرهاب.
3-6	ينبغي على المؤسسة المالية أن تقوم بدعم الإدارة المختصة بحفظ السجلات بالموارد الكافية، وأن تتخذ التدابير اللازمة لصيانة وحماية الأنظمة التقنية للأرشفة لديها وإجراء الاختبارات الدورية (بحد أقصى بشكل سنوي) لتتحقق من فاعلية عملية تنظيم حفظ السجلات.
4-6	ينبغي على المؤسسة المالية أن تقوم بحفظ السجلات بطريقة قابلة للاسترجاع والتدقيق، وأن تكون حالة السجلات مكتملة وملائمة لتسمح بتحليل البيانات وتتبع التعاملات وهيكلتها، على أن توفر المؤسسة المالية للبنك المركزي السجلات اللازمة على النحو الوارد في الطلب.
5-6	ينبغي على المؤسسة المالية في حال اسناد حفظ السجلات إلى طرف ثالث أن تأخذ في عين الاعتبار التدابير التالية:
	(أ)	أن تورد وبوضوح في العقد ما يُلزم الطرف الثالث من تمكين المؤسسة المالية من الحصول على السجلات، إضافة إلى ضمان حصول البنك المركزي على حق الاطلاع بشكل مباشر على البيانات المتعلقة بإسناد مهام لطرف ثالث بالإضافة إلى حق الدخول إلى مقر مقدم الخدمة؛
	(ب)	أن تورد وبوضوح في العقد ما يُلزم الطرف الثالث بعدم تزويد أي جهة بالبيانات أو السجلات أو السماح بالدخول إلى الأماكن المستخدمة في حفظ المستندات أو الدخول إلى الأنظمة التقنية المستخدمة لحفظ البيانات أو السجلات، إلا من خلال المؤسسة المالية بعد التنسيق مع البنك المركزي؛
	(ج)	أن تجري المؤسسة المالية اختبارات دورية للطرف الثالث عن طريق طلب عينات مختلفة للسجلات للتأكد من التزام الطرف الثالث بما ورد في العقد من التزامات ومتطلبات تفي بالمتطلبات النظامية؛
	(د)	الأخذ بالمتطلبات الواردة في الفقرة (3-21) والفقرة (3-22) في قسم تدابير العناية الواجبة.
6-6	ينبغي على المؤسسة المالية عند اتخاذها لتدابير وقائية غير ناجحة أن تحتفظ بمستند يوضح التدابير المتخذة لمدة لا تقل عن عشر سنوات من تاريخ اتخاذ التدابير، على أن يتضمن المستند التاريخ الذي اتخذت فيه التدابير، أسباب عدم نجاح التدابير الوقائية، وعلى المؤسسة المالية في جميع الأحوال الالتزام بما تضمنته المبادئ الواردة في الفقرة (3-11) من قسم تدابير العناية الواجبة.
7-6	ينبغي على المؤسسة المالية حفظ المستندات المتعلقة بالتحقيقات الداخلية والفحص وتقارير النشاط المشتبه به لمدة لا تقل عن عشر سنوات من تاريخ رفع البلاغ للجهات المختصة أو اتخاذ القرار بعدم رفع البلاغ، وأن تراعي المؤسسة المالية في ذلك:
	(أ)	سرية البلاغات والتحقيقات الداخلية؛
	(ب)	(ب) تحديد الموظفين المخولين والمصرح لهم بالاطلاع على المستندات.
8-6	على المؤسسة المالية عند إجراء تحويلات برقية الاحتفاظ بكافة المعلومات الخاصة بمنشئ التحويل والمستفيد حسب ما تضمنه قسم حفظ السجلات.
9-6	في حالات التحويل البرقي إلى خارج المملكة، فيجب على المؤسسة المالية الوسيطة في سلسة الدفع أن تتأكد من بقاء كافة المعلومات الخاصة بمنشئ التحويل والمستفيد مع التحويل البرقي، كما عليها الاحتفاظ بكل المعلومات المتعلقة بمنشئ التحويل والمستفيد في سجلاتها حسب ما تضمنه قسم حفظ السجلات.
10-6	في الحالات التي تحول فيها القيود التقنية دون الاحتفاظ بالمعلومات المرُفقة بالتحويل البرقي إلى خارج المملكة المتعلقة بمنشئ التحويل أو المستفيد مع بيانات التحويل البرقي المحلي ذي الصلة، فيجب أن تحتفظ المؤسسة المالية الوسيطة بسجل يحتوي على كافة المعلومات التي تم تلقيها من المؤسسة المالية منشئة التحويل أو من مؤسسة وسيطة، وذلك لمدة (عشر) سنوات من تاريخ انتهاء العملية أو قفل الحساب.

سابعاً: مراقبة ومتابعة العمليات والأنشطة

تُعد متابعة ومراقبة العمليات والأنشطة بما فيها العمليات والأنشطة غير الطبيعية والمشبوهة أحد العناصر الهامة لتطبيق المنهج القائم على المخاطر، ومنها تستطيع المؤسسة المالية تحديد أية عمليات أو أنشطة مشبوهة وإبلاغ الإدارة العامة للتحريات المالية بشأنها، كذلك تسمح أنظمة المتابعة والمراقبة في المؤسسة المالية من تقييم الضوابط والتدابير الوقائية بشكل مستمر وتحسين فعاليتها بالاستفادة من النشاط غير المعتاد الذي تم اكتشافه وأدى إلى الاشتباه في عملية غسل أموال أو تمويل إرهاب.
وقد تضمنت المادة (الثالثة عشرة) من نظام مكافحة غسل الأموال والمادة (التاسعة والستون) من نظام مكافحة جرائم الإرهاب وتمويله الالتزامات التي تقع على عاتق المؤسسة المالية لمراقبة المعاملات والوثائق والبيانات بشكل مستمر لضمان توافقها مع ما لدى المؤسسة المالية من معلومات عن العميل أو علاقة العمل، بما فيها قيام المؤسسة المالية بإيلاء عناية خاصة للعمليات والأنشطة غير العادية وبشكل خاص إذا ما كانت مخاطر وقوع عملية غسل أموال أو تمويل إرهاب مرتفعة.
1-7	على المؤسسة المالية وضع تدابير وإجراءات مبنية على نتائج تقييم المخاطر؛ لمراقبة ومتابعة العمليات والمعاملات لتحديد واكتشاف العمليات والأنشطة غير الطبيعية، على أن تقوم المؤسسة المالية بتنفيذ الإجراءات والتدابير بفاعلية وأن تقوم بتوثيقها واعتمادها على مستو ى الإدارة العليا.
2-7	على المؤسسة المالية عند وضع التدابير والإجراءات الرقابية أن تطبق أسلوب الرقابة والمتابعة المبني على المخاطر وفقاً لدرجة ومستويات المخاطر الناتجة عن تقييم مخاطر غسل الأموال وتمويل الإرهاب، حيث يسمح أسلوب الرقابة المرتكز على المخاطر للمؤسسة المالية بالقيام بالآتي:
	(أ)	تطبيق التدابير المعززة عن طريق تعزيز طبيعة ودرجة المراقبة للعملاء والعمليات عالية الخطورة، بما يشمل:
		•	مراجعة ومتابعة العمليات عالية الخطورة؛
		•	مراجعة ومتابعة أنشطة وعمليات العميل عالي الخطورة بشكل متكرر وإعداد التقارير ذات العلاقة والقيام بالتحقيقات الداخلية اللازمة بشكل متكرر؛
		•	التتبع والتحليل المالي للأنشطة أو العمليات غير العادية التي تقوم بها العملاء.
	(ب)	تطبيق التدابير المبسطة للعملاء والأعمال منخفضة المخاطر بما يشمل تخفيف وتيرة وتكرار عملية الرقابة المستمرة في حال انخفاض مخاطر غسل الأموال وتمويل الإرهاب.
3-7	لا يعني تطبيق أسلوب الرقابة المبسط للعملاء والأعمال منخفضة الخطورة إعفاء المؤسسة المالية من متطلبات الرقابة والمتابعة حيث ينبغي على المؤسسة المالية مراقبة كافة العملاء والعمليات بشكل مستمر، وإنما يسمح أسلوب الرقابة المبسط بتطبيق إجراءات الرقابة والمتابعة على نحو مخفف ومبسط يتوافق مع مخاطر غسل الأموال وتمويل الإرهاب التي يشكلها العميل أو علاقة العمل وتوجيه موارد المؤسسة المالية الرقابية للعملاء والعمليات عالية الخطورة.
4-7	لتطبيق أسلوب الرقابة المرتكز على المخاطر؛ على المؤسسة المالية القيام بالآتي:
	(أ)	أن توفر أدوات رقابية تتناسب مع المخاطر المحددة وفقاً للمتطلبات الواردة في الفقرة (1-1) في قسم تقييم مخاطر غسل الأموال وتمويل الإرهاب، بحيث تسمح لها بتحليل العمليات والمعاملات والانماط والأنشطة غير الطبيعية ورصدها في الوقت الفعلي لتنفيذها أو قبل تنفيذها وتوفير الموارد البشرية الكافية في هذا الشأن؛ بما يُمكنها من متابعة العمليات والمعاملات والأنشطة وتحديد أي تصرف لا يتناسب مع السلوك المتوقع أو المعتاد من العميل، على أن تتناسب هذه الأدوات مع طبيعة وحجم وتعقيدات أعمال المؤسسة المالية، وأن تكفل للمؤسسة المالية المراقبة بشكل كاف ومستمر؛
	(ب)	وضع مؤشرات وأنماط تتناسب مع المخاطر التي تم تحديدها ودرجة تعقيد الأعمال والأنشطة في المؤسسة المالية وتقنيات غسل الأموال وتمويل الإرهاب الحديثة، بحيث تتمكن المؤسسة المالية من رصد العمليات والمعاملات أو الأنشطة غير الطبيعية، حسب مقتضيات وتطور وتنوع أساليب ارتكاب تلك العمليات والمعاملات. ويمكن تحويل هذه المؤشرات إلى استراتيجيات لتقييم خطر غسل الأموال أو تمويل الإرهاب وتصميم الضوابط للتخفيف من هذه المخاطر.
5-7	ينبغي أن تتوافر في الأدوات الرقابية للمؤسسة المالية نظم تقنية مناسبة تمكنها من متابعة العمليات والأنشطة وتحديد أي يتصرف لا يتناسب مع سلوك العميل المعتاد أو المتوقع، حيث أن متابعة العمليات يدوياً فقط ليس كافياً ومن الضروري للمؤسسة المالية الاستعانة بالأنظمة الالكترونية الفعالة للقيام بعملية المتابعة المستمرة للتعاملات، وينبغي أن تتناسب النظم التقنية المستخدمة مع تعقيد ونتائج المخاطر للمؤسسة المالية. على أن يتم دمج النظم التقنية الخاصة بالرقابة مع الأنظمة الأساسية للمؤسسة المالية، ليتحقق ما يلي:
	(أ)	ارتباط تصنيف العملاء القائم على المخاطر مع نظام المراقبة والمتابعة التقني، بحيث يتم إيلاء متابعة إضافية للعملاء والتعاملات ذات المخاطر العالية بما يتوافق مع المتطلبات الواردة في الفقرة (7-2) في قسم مراقبة ومتابعة العمليات والانشطة؛
	(ب)	متابعة جميع أعمال المؤسسة المالية عندما يكون ذلك مناسباً، لضمان المتابعة والمراقبة المناسبة لكافة الأعمال؛
	(ج)	تطبيق رقابة ومتابعة مبسطة تتناسب مع المخاطر المحددة للعملاء والأعمال منخفضي المخاطر حسب ما هو وارد في المتطلبات الواردة في الفقرة (7-2) في قسم مراقبة ومتابعة العمليات والأنشطة.
6-7	على المؤسسة المالية اختبار الأدوات الرقابية على أساس دوري (بحد أقصى بشكل سنوي) للتأكد من فاعليتها وكفايتها، وتطويرها بناءً على نتائج الاختبارات الدورية، وتوثيقها.
7-7	على المؤسسة المالية مراقبة ومتابعة العملاء والعمليات بشكل مستمر؛ واتخاذ التدابير الوقائية اللازمة لمراجعة وتحديث معلومات وتصنيف العملاء بناءً على نتائج المراقبة وفقاً للمتطلبات الواردة في الفقرة (3-7) في قسم تدابير العناية الواجبة؛ لتحديد أي تعارض بين ما تم الإفصاح عنه من قبل العملاء عند بداية العلاقة أو أثناء العلاقة وبين ما تم رصده من أنشطة، وينبغي أن لا تتوقف عملية المراقبة المستمرة للعملاء والعمليات حتى انتهاء علاقة العمل مع العميل.
8-7	على المؤسسة المالية تأهيل وتدريب موظفيها للقيام بعملية الرقابة والمتابعة حسب مهام عملهم المختلفة، وألا تكتفي بالاعتماد على نظم وبرامج تقنية للمتابعة والمراقبة، وأن تراعي في ذلك مؤشرات غسل الأموال ومؤشرات تمويل الإرهاب المعتمدة لديها.
9-7	على المؤسسة المالية وضع مؤشرات وأنماط ذات دلالة على وجود شبهة غسل الأموال أو تمويل الإرهاب تتناسب مع طبيعة ومخاطر أعمال المؤسسة المالية، مع الأخذ بعين الاعتبار تنوع أساليب وتطورات عمليات غسل الأموال وتمويل الإرهاب، على أن تقوم المؤسسة المالية بشكل مستمر على تحديثها وفقاً لمقتضيات تطو ر وتنوع أساليب تلك العمليات أخذاً في الاعتبار ما يصدر من البنك المركزي أو اللجنة الدائمة لمكافحة غسل الأموال أو اللجنة الدائمة لمكافحة الإرهاب وتمويله، وما يصدر من جهات أخرى محلية أو دولية، مثل مجموعة العمل المالي (فاتف).
10-7	ينبغي على المؤسسة المالية تحديد المناصب الرئيسة في المؤسسة المالية التي قد تستهدف لأغراض غسل الأموال وتمويل الإرهاب. وينبغي مراقبة الموظفين الذين يشغلون هذه المناصب عن كثب، والتأكد من تطبيقهم المستمر لسياسات وإجراءات مكافحة غسل الأموال وتمويل الإرهاب.

ثامناً: الإبلاغ عن العمليات المشتبه بها

على المؤسسة المالية أن تضع إجراءات إبلاغ داخلية عن العمليات أو الأنشطة غير العادية وتقوم بتنفيذها بفعالية؛ لحمايتها أن تستغل كقناة لتمرير عمليات غسل الأموال أو تمويل الإرهاب. وينبغي أن يكون لدى المؤسسة المالية قاعدة بيانات موثقة تساعد الموظفين على تحديد ما إذا كانت العمليات أو الأنشطة غير العادية توفر أسباباً معقولة للاشتباه في غسل الأموال أو تمويل الإرهاب.
وقد تضمنت المادتان (الخامسة عشرة) و(السادسة عشرة) من نظام مكافحة غسل الأموال والمادة (السبعون) و(الحادية والسبعون) من نظام مكافحة جرائم الإرهاب وتمويله الالتزامات التي تقع على عاتق المؤسسة المالية للإبلاغ عن العمليات المشتبه بها، إضافة إلى المتطلبات النظامية المرتبطة بعدم تنبيه العميل.
1-8	على المؤسسة المالية وضع وتوثيق إجراءات الإبلاغ عن العمليات المشتبه بها وأن تقوم بتنفيذ الإجراءات بفاعلية وأن يتم اعتمادها على مستوى مجلس الإدارة، وقد تشمل الإجراءات ما يلي:
	(أ)	الإجراءات الداخلية الواجب اتباعها من قبل موظفي ومسؤولي المؤسسة المالية في حال الاشتباه بعملية غسل أموال أو تمويل إرهاب؛
	(ب)	آلية تسهل تواصل الموظفين مع الموظف أو المنصب المسؤول عن الإبلاغ عن العمليات المشتبه بها، لطرح الاستفسارات ورفع الاشتباهات؛
	(ج)	إجراءات التحقيق الداخلية حيال حالات الاشتباه بما يشمل مراحل سير التحقيقات؛
	(د)	مستويات الاعتماد والمراجعة لحالة الاشتباه في حال اعتماد للابلاغ أو إقفاله؛
	(هـ)	تحديد الموظف أو المنصب المسؤول عن الإبلاغ للإدارة العامة للتحريات المالية عن العمليات المشتبه بها؛
	(و)	التدابير الكافية للحفاظ على سرية البلاغ وعدم تنبيه العميل.
2-8	على المؤسسة المالية توفير الموارد الكافية التي تسمح بالمتابعة الفعالة والتحقيقات الكافية لكل بلاغ داخلي لتحديد ما إذا كان تقديم بلاغ اشتباه إلى الإدارة العامة للتحريات المالية له ما يبرره.
3-8	على المؤسسة المالية إبلاغ الإدارة العامة للتحريات المالية فوراً وبشكل مباشر عند اشتباهها أو عند توفر معلومات أو أسباب معقولة للاشتباه في أن سلوك العميل له ارتباط بغسل الأموال أو تمويل الإرهاب، وفي حال قيام المؤسسة المالية بتقديم بلاغ للإدارة العامة للتحريات المالية فعليها الاستجابة وتزويد الإدارة العامة للتحريات المالية بأي معلومات إضافية تقوم بطلبها بشكل مباشر بغيّة تحليل البلاغ المُقدم.
4-8	على المؤسسة المالية الإبلاغ عن جميع العمليات المشتبه بها بما في ذلك محاولات اجراء العمليات التي لم تتم - إذا توافرت الأسباب المعقولة للاشتباه - بغض النظر عن قيمة العملية.
5-8	على المؤسسة المالية إبلاغ الإدارة العامة للتحريات المالية عند اشتباهها في عملية تحويل برقي.
6-8	ينبغي على المؤسسة المالية ألا تقدّم بلاغ للإدارة العامة للتحريات المالية بناءً على تكهنات أو عدم وجود معلومات أو أسباب معقولة للاشتباه، ويتوافر لدى المؤسسة المالية الأسباب المعقولة لتقديم الاشتباه في الحالات التالية:
	(أ)	أن يتوفر العلم لدى المؤسسة المالية من خلال ممارستها لأعمالها أو التحقيقات أن النشاط أو العملية المراد تنفيذها ترتبط بعملية مشتبه بها؛
	(ب)	أن يتوفر لدى المؤسسة المالية أسس معقولة للاشتباه بناءً على معلومات كافية أن النشاط أو العملية المراد تنفيذها ترتبط بعملية مشتبه بها.
7-8	على المؤسسة المالية في حال الاشتباه بوجود عملية غسل أموال أو تمويل إرهاب ولديها مبررات قوية وأسباب معقولة بأن العميل قد يتنبه لوجود حالة اشتباه في حال قيامها بتطبيق تدابير العناية الواجبة؛ أن تُقرر وفقاً لسلطتها التقديرية عدم تطبيق تدابير العناية الواجبة، وعليها في هذه الحالة الرفع إلى الإدارة العامة للتحريات المالية تقرير عن معاملة مشبوهة، على أن يتضمن التقرير ذكر أسباب ومبررات عدم تطبيق تدابير العناية الواجبة.
8-8	على المؤسسة المالية التقيد بتقديم بلاغات الاشتباه وفقاً لألية ونموذج البلاغات المعتمد من قبل الإدارة العامة للتحريات المالية، على أن يتم تزويد الإدارة العامة للتحريات المالية بتقرير إضافي مفصل يتضمن جميع البيانات والمعلومات المتوافرة لدى المؤسسة المالية عن تلك العملية والأطراف ذات الصلة.
9-8	ينبغي على المؤسسة المالية تقديم تقرير فني عن الحالات التي تم الإبلاغ عنها، ويقدم إلى الإدارة العامة للتحريات المالية، على أن يتضمن التقرير ما يلي:
	(أ)	كشف الحساب أو العمليات التي تمت على العقد لمدة ستة أشهر؛
	(ب)	المستندات التي تم الحصو ل عليها لتطبيق تدابير العناية الواجبة؛
	(ج)	تقرير فني عن دراسة الحساب أو العقد محل الاشتباه.
10-8	عند اتخاذ قرار عدم إبلاغ الإدارة العامة للتحريات المالية عن بلاغ داخلي؛ على الموظف أو المنصب المسؤول عن الإبلاغ عن العمليات المشتبه بها أن يقوم بتوثيق ذلك بما يشمل أسباب عدم الإبلاغ بشكل مفصل وكاف، على أن يراعى في ذلك مستويات الاعتماد والمراجعة الواردة في البند (د) للفقرة (8-1).
11-8	ينبغي على المؤسسة المالية الاحتفاظ بسجلات عن جميع بلاغات الاشتباه التي تم تقديمها بما فيها نسخة البلاغ المقدم للإدارة العامة للتحريات المالية أو البلاغات الداخلية التي جرى التحقيق فيها ولم يتم الإبلاغ عنها لعدم توافر الأسباب الكافية للاشتباه بها، على أن تكون عملية حفظ مستندات التحقيقات والبلاغات بشكل مستقل ويراعى فيها عدم الاخلال بمقتضيات سرية التحقيقات والبلاغات، مع تحديد الأشخاص المخولين بالاطلاع على هذه السجلات.
12-8	على المؤسسة المالية دراسة ومراجعة حالات الاشتباه والبلاغات الداخلية وعمليات التغذية العكسية الواردة من الإدارة العامة للتحريات المالية وأخذها في الاعتبار أثناء عملية وضع/تحديث المؤشرات وأنماط غسل الأموال أو تمويل الإرهاب الواردة في الفقرة (7-9) في قسم مراقبة ومتابعة العمليات والأنشطة.
13-8	ينبغي على المؤسسة المالية أن تقوم بتثقيف وتوعية كافة العاملين لديها بما فيهم أعضاء مجلس الإدارة والإدارة العليا بما يلي:
	(أ)	المتطلبات ذات العلاقة بتحديد النشاط أو العملية المشتبه بها والابلاغ عنها؛
	(ب)	المتطلبات النظامية ذات العلاقة بالمسؤولية المدنية والجنائية وغيرها من المسؤوليات المرتبطة بالإخلال بالالتزامات السرية المطلوبة؛
	(ج)	المتطلبات النظامية ذات العلاقة بالإبلاغ وعدم تنبيه العملاء أو الإفصاح عن أية واقعة أو تقارير أو معلومات عن عملية مشبوهة.
14-8	على المؤسسة المالية إشعار البنك المركزي فوراً بأي حسابات أو علاقات أو تعاملات مالية للأسماء المدرجة في قائمتي لجنتي مجلس الأمن لجنة (2253/1989/1267) ولجنة (1988) وكذلك الأسماء المدرجة في القائمة الوطنية تنفيذاً لقرار مجلس الأمن رقم (1373) وفقاً للبيانات المتوفرة في القوائم؛ وللتطبيق الأمثل ينبغي على المؤسسة المالية أن تلتزم بما تضمنه تعاميم البنك المركزي ذات العلاقة ومنها:
	(أ)	دليل تنفيذ آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الارهاب وتمويله؛
	(ب)	دليل تنفيذ آلية تطبيق قرارات مجلس الأمن المتعلقة بانتشار أسلحة الدمار الشامل وتمويله.
15-8	ينبغي أن تضع المؤسسة المالية آلية فعالة وشاملة والنظر في مدى ملاءمة النظم التقنية للمقارنة المستمرة مع الأسماء المدرجة في قائمة العقوبات الواردة في الفقرة (8-14) في قسم الإبلاغ عن العمليات المشتبه بها.

تاسعاً: ترتيبات الالتزام بمكافحة غسل الأموال وتمويل الإرهاب

ليتسنى للمؤسسة المالية تنفيذ المنهج القائم على المخاطر بشكل فاعل وكاف، يجب على مجلس الإدارة في المؤسسة المالية توفير الموارد الكافية بما فيها الموارد البشرية والتقنية التي تتناسب مع طبيعة أعمال المؤسسة المالية وحجمها ونتائج تقييم المخاطر؛ لمكافحة غسل الأموال وتمويل الإرهاب وذلك لضمان التطبيق الفعال للسياسات والإجراءات والضوابط الداخلية لمكافحة غسل الأموال وتمويل الإرهاب، على أن يشمل ذلك وضع ترتيبات ملائمة لمكافحة غسل الأموا ل وتمويل الإرهاب على مستوى المؤسسة المالية وتعيين مسؤول لإدارة الالتزام بمكافحة غسل الأموال وتمويل الإرهاب وتحديد مهام عمله، وتكون ذات مرجعية إدارية وفنية لمجلس الإدارة ومرجعية فرعية للإدارة العليا.
وقد تضمنت المادة (14/1) من اللائحة التنفيذية لنظام مكافحة غسل الأموال والمادة الثامنة عشرة من اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله الالتزامات التي تقع على عاتق المؤسسة المالية بوضع الترتيبات المناسبة لمكافحة غسل الأموال وتمويل الإرهاب.
1-9	على المؤسسة المالية وضع ترتيبات ملائمة لإدارة الالتزام بمكافحة غسل الأموال وتمويل الإرهاب، على أن تشمل الترتيبات بحد أدنى ما يلي:
	(أ)	وظيفة الالتزام بمكافحة غسل الأموال وتمويل الإرهاب؛
	(ب)	أن يعين المسؤول عن وظيفة الالتزام بمكافحة غسل الأموال وتمويل الإرهاب على مستوى الإدارة العليا؛
	(ج)	أن يعمل مسؤول الالتزام بمكافحة غسل الأموال وتمويل الإرهاب بصورة مستقلة وأن يتصل فنياً وإدارياً بمجلس الإدارة واللجان التابعة للمجلس؛
	(د)	يكون لمسؤول الالتزام بمكافحة غسل الأموال وتمويل الإرهاب صلاحية الاطلاع في الوقت المناسب على أي معلومات بما فيها بيانات العملاء بموجب تدابير العناية الواجبة وسجلات العمليات الأخرى ذات الصلة أو أي بيانات ضرورية للقيام بمهام عمله دون استثناء.
2-9	ينبغي على المؤسسة المالية إنشاء وحدة مستقلة ومتخصصة لمكافحة غسل الأموال وتمويل الإرهاب وتزويدها بالموارد الكافية بما فيها الموارد البشرية والتقنية للقيام بمهام عملهم على أكمل وجه، وتوفير الكفاءة والقدرات المهنية اللازمة عند تعيين الموظفين المؤهلين لشغل المناصب في وحدة مكافحة غسل الأموال وتمويل الإرهاب، وأن يقتصر العمل بها على السعوديين فقط.
3-9	على المؤسسة المالية أن تحدد مهام ومسؤوليات مسؤول الالتزام بمكافحة غسل الأموال وتمويل الإرهاب في الوصف الوظيفي المعتمد له، على أن تشمل كافة الأعمال ذات العلاقة بمكافحة غسل الأموال وتمويل الإرهاب، بما فيها ما يلي:
	(أ)	وضع برنامج لمكافحة غسل الأموال وتمويل الإرهاب يتناسب مع حجم وطبيعة أعمال المؤسسة المالية ومخاطر غسل الأموال وتمويل الإرهاب التي حددتها؛ من أجل الحد من تلك المخاطر والعمل على إدارتها بشكل فاعل؛
	(ب)	التحقق وبشكل مستمر من سياسة وإجراءات العمل في المؤسسة المالية ومراقبة تطبيقها، والتوصية بالتدابير الواجب اتخاذها للوفاء بمتطلبات مكافحة غسل الأموال وتمويل الإرهاب وتعزيزها كلما دعت الحاجة إلى ذلك؛
	(ج)	مراقبة العمليات والمعاملات وفحصها بشكل مستمر لضمان توافق حجم العمليات والأنشطة مع المعلومات التي لدى المؤسسة المالية عن العميل وانشطته التجارية والمخاطر التي يمثلها؛ من أجل رصد الأنشطة التي قد تتضمن عمليات مشتبه بها، والاستفادة من عمليات الفحص في إعداد وتحديث أساليب المراقبة المعتمدة لمكافحة غسل الأموال وتمويل الإرهاب؛
	(د)	تلقي البلاغات عن العمليات المشتبه بها المتعلقة بغسل الأموال أو تمويل الإرهاب واتخاذ الإجراءات اللازمة لجمع المعلومات عنها وتحليلها وتوثيق ذلك كتابةً؛
	(هـ)	القيام بمهمة الإبلاغ عن العمليات المشتبه بها إلى الإدارة العامة للتحريات المالية فور تحديد الاشتباه، وذلك وفقاً لإجراءات التبليغ المتبعة مع إعداد تقرير فني عن الحالة المشتبه بها حسب ما هو وارد في قسم الابلاغ عن العمليات المشتبه بها؛
	(و)	القيام بمهمة الإبلاغ عن حسابات أو علاقات أو تعاملات مالية للأسماء المدرجة في قائمتي لجنتي مجلس الأمن لجنة (2253/1989/1267) ولجنة (1988) وكذلك الأسماء المدرجة في القائمة الوطنية تنفيذاً لقرار مجلس الأمن رقم (1373) إلى البنك المركزي حسب ما هو وارد في الفقرة (15-8) في قسم الابلاغ عن العمليات المشتبه بها؛
	(ز)	القيام بإجراء زيارات مستمرة لمختلف قطاعات وإدارات المؤسسة المالية بما في ذلك الفروع، للتحقق من الوفاء بمتطلبات مكافحة غسل الأموال وتمويل الإرهاب، وتوثيق الزيارات كتابةً؛
	(ح)	إعداد وتقديم تقارير الزيارات الميدانية والتقارير الدورية للأنشطة التي تمارسها وحدة مكافحة غسل الأموال وتمويل الإرهاب إلى مجلس الإدارة؛
	(ط)	إعداد واعتماد الاستبيان المرتبط بالضوابط الداخلية المعتمدة من قبل المؤسسة المالية في مجال مكافحة غسل الأموال وتمويل الإرهاب عند دخول المؤسسة المالية في علاقة مع مؤسسة مالية أخرى؛
	(ي)	اعتماد استبيان الضوابط الداخلية ونماذج جمع البيانات وأي معلومات ذات علاقة بمكافحة غسل الأموال وتمويل الإرهاب المُقدمة للبنك المركزي؛
	(ك)	المشاركة في لجان العمل لمكافحة غسل الأموال وتمويل الإرهاب.
4-9	ينبغي ألا تقتصر التقارير المقدمة لمجلس الإدارة عن الأنشطة التي تمارسها وحدة مكافحة غسل الأموال وتمويل الإرهاب على البيانات الإحصائية فقط بل تشمل كذلك تحديد المعوقات والتحديات التي تواجه المؤسسة المالية لتطبيق متطلبات مكافحة غسل الأموال وتمويل الإرهاب والتوصية اللازمة لتحسين الأداء وفعاليتها.

عاشراً: وظيفة التدقيق المستقل

حتى يتسنى للمؤسسة المالية التأكد من كفاية وملاءمة المنهج القائم على المخاطر، على المؤسسة المالية اختبار الضوابط الداخلية لمكافحة غسل الأموال وتمويل الإرهاب من قبل طرف مستقل للتأكد من ملاءمتها لمخاطر غسل الأموال أو تمويل الإرهاب وفعالية تطبيقها، على أن يتوافر لدى المدققين الداخليين أو الخارجيين الخبرة الكافية من أجل إجراء اختبار قائم على أساس المخاطر لفعالية تطبيق سياسات وإجراءات مكافحة غسل الأموال وتمويل الإرهاب التي تعتمدها المؤسسة المالية.
وقد تضمنت المادة (14/1) من اللائحة التنفيذية لنظام مكافحة غسل الأموال والمادة (الثامنة عشرة) من اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله الالتزامات التي تقع على عاتق المؤسسة المالية بوضع آلية تدقيق مستقلة لاختبار فاعلية وكفاية السياسات والإجراءات والضوابط الخاصة بمكافحة غسل الأموال وتمويل الإرهاب.
1-10	على المؤسسة المالية وضع الترتيبات الملائمة لوظيفة التدقيق والمراجعة المُستقلة بما فيها توفير الموارد الكافية لاختبار مدى الالتزام بتطبيق متطلبات مكافحة غسل الأموال وتمويل الإرهاب، وأن يكون موظفو التدقيق والمراجعة المستقلة مؤهلين، وأن تتوافر لديهم الكفاءة والقدرات المهنية اللازمة للقيام بمهام فحص مدى التزام جميع وحدات العمل في المؤسسة المالية بمتطلبات مكافحة غسل الأموال وتمويل الارهاب.
2-10	ينبغي أن يعمل مسؤول التدقيق والمراجعة في المؤسسة المالية بشكل مستقل عن وظيفة مكافحة غسل الأموال وتمويل الإرهاب، وعلى المؤسسة المالية التأكد من عدم مشاركة المدقق المستقل بأي من الوظائف أو التدابير التي تتم مراجعتها.
3-10	ينبغي على مسؤول التدقيق والمراجعة المستقل القيام بإجراء فحص مستقلّ عن مدى ملاءمة وكفاية وفاعلية برنامج وإجراءات الالتزام بمكافحة غسل الأموال وتمويل الإرهاب على مستوى المؤسسة المالية وتوثيق نتائج التدقيق وإرسالها إلى مجلس الإدارة لاتخاذ الإجراءات المناسبة.
4-10	على مسؤول التدقيق المستقل إجراء الاختبارات المستقلة للضوابط والسياسات والإجراءات لمكافحة غسل الأموال وتمويل الارهاب ومدى تناسبها مع المخاطر التي تم تحديدها.
5-10	نبغي أن يكون إطار عمل مسؤول التدقيق والمراجعة المستقل عند تقييم مدى ملاءمة وكفاية وفاعلية برنامج وإجراءات الالتزام بمكافحة غسل الأموال وتمويل الإرهاب مبني على أساس مخاطر غسل الأموال وتمويل الإرهاب؛ بحيث يتم التركيز على جوانب الخطر الأكثر عرضة من غيرها للاستغلال في تمرير عمليات غسل الأموال وتمويل الإرهاب.
6-10	ينبغي على المؤسسة المالية عند الحاجة أن تأخذ في الاعتبار إدراج مهام التدقيق حيال مدى ملاءمة وكفاية وفاعلية وظيفة الالتزام بمكافحة غسل الأموال وتمويل الإرهاب ضمن نطاق عمل المدقق الخارجي.
7-10	على الإدارة العليا اتخاذ الإجراءات الكافية للتأكد من تصحيح أي مواطن ضعف أو قصور تم اكتشافها نتيجة لعملية التدقيق المستقل.

الحادي عشر: التدريب في مجال مكافحة غسل الأموال وتمويل الإرهاب

على المؤسسة المالية أن ترصد الميزانية الكافية لتدريب الإدارة العليا والموظفين لتحقيق الكفاءة في مكافحة غسل الأموال وتمويل الإرهاب. أن يكون التدريب مستوحى من التجارب الواقعية، وأن يشمل على التطورات والأساليب الجديدة في عمليات غسل الأموال وتمويل الإرهاب ذات الصلة والضوابط الداخلية للمؤسسة المالية، وتقع مسؤولية تحديد مستوى ونوع التدريب المناسب على عاتق المؤسسة المالية، لتضمن المؤسسة المالية قدرة موظفيها على تطبيق النهج المبني على أساس المخاطر.
وقد تضمنت المادة (14/1) من اللائحة التنفيذية لنظام مكافحة غسل الأموال والمادة (الثامنة عشرة) من اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله الالتزامات التي تقع على عاتق المؤسسة المالية بتقديم برامج تدريب مستمرة لموظفيها في مجال مكافحة غسل الأموال وتمويل الإرهاب.
1-11	على المؤسسة المالية إعداد برامج تدريبية مستمرة لكافة الموظفين لإحاطتهم بالأنظمة والتعليمات وبالمستجدات المتعلقة بمجال مكافحة غسل الأموال وتمويل الإرهاب؛ بما يرفع من كفاءة الموظفين في التعرف على تلك العمليات وأنماطها وكيفية التصدي لها بما يحقق درجة من الإلمام والمعرفة للقيام بدور فعّال في الحد من حدوث تلك الجرائم ومكافحتها، على أن ترصد المؤسسة المالية الميزانية الكافية لتقديم التدريب في مجال مكافحة غسل الأموال وتمويل الإرهاب.
2-11	ينبغي على المؤسسة المالية توفير التدريب المناسب لموظفيها مع مراعاة ملائمة التدريب للمستوى الوظيفي وطبيعة الأعمال التي يقوم بها الموظف، وأن تشمل برامج التدريب والتوعية مختلف المستويات الوظيفية في المؤسسة المالية بما فيهم أعضاء مجلس الإدارة واللجان المنبثقة منها والمدراء المسئولين والتنفيذيين. وأن يراعي في التدريب المقدم ما يلي:
	(أ)	تدريب وتثقيف كافة الموظفين الحاليين والموظفين الجدد قبل مباشرتهم للعمل حول أهمية سياسات واجراءات مكافحة غسل الأموال وتمويل الإرهاب كما يجب إعادة تقديم هذا التدريب بشكل مستمر لضمان تذكير الموظفين بمسؤولياتهم واطلاعهم الدائم على التحديثات والتطورات التي تطرأ في هذا الشأن؛
	(ب)	تقديم تدريب أكثر شمول وتفصيل للموظفين المسؤولين عن تطبيق تدابير العناية الواجبة، بما يتوافق مع المخاطر التي تتعرض لها المؤسسة المالية؛
	(ج)	تقديم تدريب متخصص وكاف في مجال مكافحة غسل الأموال وتمويل الإرهاب لموظفي الالتزام لمكافحة غسل الأموال وتمويل الإرهاب، وكذلك موظفي التدقيق المستقل؛
	(د)	توعية كافة موظفي ومدراء وأعضاء مجلس إدارة المؤسسة المالية بالمسؤوليات الملقاة على عاتقهم وواجباتهم الشخصية والعقوبات التي قد يتعرضون إذا أخفقوا في الالتزام بالمتطلبات ذات الصلة كما هو منصوص عليه في نظام مكافحة غسل الأموال ونظام مكافحة جرائم الإرهاب وتمويله واللوائح التنفيذية والتعليمات الصادرة من البنك المركزي والجهات ذات العلاقة.
3-11	ينبغي على المؤسسة المالية عند الاستعانة بالمعاهد المتخصصة لتقديم التدريب، أن تتخذ الإجراءات التالية:
	(أ)	التحقق من ملاءمة التدريب المقدم لمتطلبات مكافحة غسل الأموال وتمويل الإرهاب؛
	(ب)	التحقق من أن التدريب المقدم يراعي طبيعة الأنشطة والمخاطر التي تتعرض لها المؤسسة المالية؛
	(ج)	التحقق من السيرة الذاتية والخبرات العملية المتوفرة لدى مقدم التدريب؛
	(د)	استطلاع آراء المتدربين المشاركين حول ملاءمة المادة التدريبية وأسلوب وخبرة وقدرات المدرب، وتحليل نتائج الاستطلاع بعد كل برنامج تدريبي والاستفادة من ملاحظات المتدربين؛
4-11	ينبغي على المؤسسة المالية إجراء الاختبارات اللازمة لتقييم معرفة الموظفين بمتطلبات مكافحة غسل الأموال وتمويل الإرهاب ومدى جودة التدريب المقدم لهم في هذا الشأن، على أن تتم المراجعة بشكل دوري (بحد أدنى بشكل سنوي) مع مراعاة المتطلبات الحديثة ذات العلاقة.
5-11	ينبغي على المؤسسة المالية الاحتفاظ بسجلات تتضمن مستندات التدريب المقدم في مجال مكافحة غسل الأموال وتمويل الإرهاب وبيانات الحضور وتاريخ تقديم التدريب.

الثاني عشر: معايير التوظيف والمتابعة

ينبغي على المؤسسة المالية أن تقوم بتطبيق أنظمة رقابة داخلية فعالة لضمان نزاهة موظفيها، وتقليل مخاطر تورطهم أو تواطؤهم مع المجرمين، للتحقق من توافر النزاهة والمعايير المهنية الكافية لدى موظفيها.
وقد تضمنت المادة (14/1) من اللائحة التنفيذية لنظام مكافحة غسل الأموال والمادة (الثامنة عشرة) من اللائحة التنفيذية لنظام مكافحة جرائم الإرهاب وتمويله الالتزامات التي تقع على عاتق المؤسسة المالية بضمان وضع إجراءات فحص كافية لضمان معايير عالية عند توظيف الموظفين.
1-12	على المؤسسة المالية وضع وتطبيق إجراءات مناسبة للفحص عن خلفية الأشخاص المؤهلين عند توظيف الموظفين لضمان وجود معايير كفاءة عالية عند التعيين أو التوظيف.
2-12	على المؤسسة المالية التحقق من سجلات أعضاء مجلس الإدارة أو شاغلي المناصب القيادية أو التوظيف من السوابق الجنائية المخلة بالشرف والأمانة سواءً داخل المملكة أو من الدولة التي يحمل جنسيتها أو الدولة التي سبق له العمل بها.
3-12	على المؤسسة المالية الاحتفاظ بإجراءات التحقق التي تمت لتطبيق التدابير الواردة في الفقرة (12-1) والفقرة (12-2)، وتقديمها إلى البنك المركزي عند الطلب.
4-12	على المؤسسة المالية الالتزام بالأحكام المنصوص عليها في متطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي.
5-12	ينبغي على المؤسسة المالية دراسة مدى حاجتها إلى اتباع سياسة لتدوير الموظفين للتقليل من خطر تلاعب الموظفين للتحايل على الضوابط الداخلية.
6-12	ينبغي على المؤسسة المالية ضمان حصول الموظفين على إجازاتهم بشكل دوري (بحد أدنى بشكل سنوي) و/أو حسب السياسات الداخلية المعتمدة لدى المؤسسة المالية، والتحقق من عدم ممارستهم لأعمالهم خلال فترة الاجازة.

الثالث عشر: العلاقة المراسلة⁵

على المؤسسة المالية قبل دخولها في علاقة مراسلة خارجية أن تقوم بجمع معلومات كافية عن المؤسسة المراسلة للوصول إلى فهم كامل لطبيعة عملها؛ للتعرف على مستوى الرقابة التي تخضع لها تلك المؤسسة وسمعتها، ومدى تطبيقها لمتطلبات مكافحة غسل الأموال وتمويل الإرهاب.
وقد تضمنت المادة (التاسعة) من نظام مكافحة غسل الأموا ل والمادة (الثامنة والستون) من نظام مكافحة جرائم الإرهاب وتمويله على الالتزامات التي يجب على المؤسسة المالية الوفاء بها قبل دخولها في علاقة مراسلة.
1-13	على المؤسسة المالية قبل دخولها في علاقة مراسلة خارجية أن تقوم باتخاذ تدابير كافية للتخفيف من المخاطر، وقد تشمل هذه التدابير ما يلي:
	(أ)	جمع معلومات كافية حول المؤسسة المراسلة لفهم طبيعة عملها بشكلٍ كامل وتقييم سمعتها ونوعية الرقابة التي تخضع لها والمخاطر المعُرضة لها؛ انطلاقاً من المعلومات المتوفرة للمؤسسة المالية والتي قد تشمل:
		•	المناطق الجغرافية التي تُقدم المؤسسة المالية المراسلة خدماتها فيها: يُراعي في ذلك المناطق الجغرافية الت يتواجه قصور في تطبيق متطلبات مكافحة غسل الأموال وتمويل الإرهاب كما هو وارد في الفقرة (4-7) في قسم تدابير العناية الواجبة المعززة؛
		•	هيكل الملكية للمؤسسة المالية المراسلة: يُراعى في ذلك المؤسسة المالية المراسلة ذات الهيكل التنظيمي المُعقد، حيث ينبغي على المؤسسة المالية تطبيق التدابير الواردة في الفقرة (4-6) في قسم تدابير العناية الواجبة المعززة؛
		•	الخدمات والمنتجات المقدمة من المؤسسة المالية المراسلة: يُراعى في ذلك المنتجات والخدمات التي قد تنطوي على مخاطر مرتفعة من منظور غسل الأموال وتمويل الإرهاب؛
		•	عملاء المؤسسة المالية المراسلة: يُراعى في ذلك المعلومات المتوفرة عن عملاء المؤسسة المالية المراسلة التي تستمد جزءًا كبيرًا من دخل أعمالها من العملاء الذين يشكلون مخاطر مرتفعة بسبب الأنشطة التي ينخرطون فيها، أو الصفات أو الخصائص المرتبطة بهم؛
		•	الجهة الرقابية للمؤسسة المالية المراسلة: يُراعى في ذلك خضوع المؤسسة المالية المراسلة لسلطة البنك المركزي أو لهيئة رقابية مماثلة وخضوعها لبيئة تنظيمية معترف بها دوليًا ومدى التزامها بتوصيات مجموعة العمل المالي (فاتف).
	(ب)	التحقق عن مدى خضوع المؤسسة المالية المراسلة لتحقيق أو إجراء رقابي في مجال غسل الأموال أو تمويل الإرهاب؛
	(ج)	تقييم السياسات والضوابط والإجراءات الداخلية للتخفيف من المخاطر التي تقوم المؤسسة المالية المراسلة بتنفيذها لمكافحة غسل الأموا ل وتمويل الإرهاب عن طريق إعداد استبيان يتضمن متطلبات مكافحة غسل الأموال وتمويل الإرهاب الأساسية وتقييم مدى كفاءة التدابير من عدمه.
2-13	على المؤسسة المالية فهم مسؤوليات كل طرف في العلاقة المراسلة من منظور مكافحة غسل الأموال وتمويل الإرهاب بشكل واضح وجلي.
3-13	على المؤسسة المالية تطبيق التدابير الرقابية الملائمة حسب ما هو وراد في قسم المراقبة ومتابعة العمليات والأنشطة، بما يشمل إجراءات رقابية مستمرة لحسابات الدفع المراسلة؛ وذلك للكشف عن أي نشاط غير عادي أو أي انحرافات في علاقة المراسلة.
4-13	على المؤسسة المالية التوصل إلى قناعة كافية بأن المؤسسة المالية المراسلة لا تسمح بأن يتم استخدام حساباتها من قبل بنك صوري، وعلى المؤسسة المالية الامتناع عن الدخول - أو الاستمرار- في علاقات مراسلة مع بنك صوري، أو مع مؤسسة مالية خارج المملكة تسمح بأن يستخدم حساباتها بنك صوري.
5-13	ينبغي الحصول على موافقة الإدارة العليا قبل إنشاء علاقات مراسلة جديدة، على أن يراعى في الموافقة تطبيق التدابير الواردة في الفقرة (13-1) في قسم العلاقة المراسلة والحصول على توصيات مقدمة من مسؤول الالتزام لمكافحة غسل الأموال وتمويل الإرهاب.

⁵على المؤسسات المالية تطبيق ما تضمنه القسم الثالث عشر: العلاقات المراسلة، إضافة إلى متطلبات القاعدة رقم (300 -2-5) والخاصة بفتح حسابات البنوك التجارية غير المقيمة من قواعد الحسابات البنكية.

الرابع عشر: التحويل البرقي

على المؤسسة المالية عند إجراء تحويلات برقية داخل المملكة أو خارجها بأي عملة كانت بما في ذلك الدفعات المتسلسلة ودفعات التغطية التي يتمّ تلقيها أو إرسالها أو تنفيذها من قبل مؤسسة مالية في المملكة استيفاء معلومات منشئ التحويل ومعلومات المستفيد من التحويل، بما في ذلك الحالات التي تُستخدم فيها بطاقة ائتمانية أو بطاقة سحب أو بطاقة مسبقة الدفع أو هاتف جوّال أو أي جهاز رقمي آخر مسبق أو لاحق الدفع بالصفات ذاتها.
وقد تضمنت المادة (العاشرة) من نظام مكافحة غسل الأموال والمادة (الثامنة والستون) من نظام مكافحة جرائم الإرهاب وتمويله الالتزامات التي يجب على المؤسسة المالية الوفاء بها عند إجراء تحويلات برقية خارجية وداخلية بأي عملة كانت بما في ذلك الدفعات المتسلسلة ودفعات التغطية التي يتمّ تلقيها أو إرسالها أو تنفيذها من قبل مؤسسة مالية في المملكة.
1-14	على المؤسسة المالية قبل تنفيذ تحويل برقي استيفاء معلومات منشئ التحويل ومعلومات المستفيد من التحويل، وإضافة المعلومات في كل تحويل برقي والتحقق منها، وأن تشمل المعلومات بحد أدنى ما يلي:
	(أ)	الاسم الكامل لمنشئ التحويل؛
	(ب)	رقم حساب منشئ التحويل المستخدم لإجراء المعاملة، وفي حال عدم وجود حساب، فيجب إدراج رقم خاص بالتحويل يسمح بتتبّع المعاملة؛
	(ت)	عنوان منشئ التحويل أو رقم إثبات الهوية أو رقم تعريف العميل أو مكان وتاريخ الولادة؛
	(ث)	الاسم الكامل للمستفيد من التحويل؛
	(ج)	رقم حساب المستفيد من التحويل المستخدم لإجراء المعاملة، وفي حال عدم وجود حساب، فيجب إدراج رقم خاص بالتحويل البرقي يسمح بتتبّع المعاملة؛
	(ح)	تحديد الغرض من التحويل البرقي، وعلاقة منشئ التحويل بالمستفيد من التحويل.
2-14	على المؤسسة المالية استيفاء إقرار من العميل قبل تنفيذ تحويل برقي يتضمن المعرفة والاطلاع بأن أنظمة المملكة تمنع تحويل أموال دون معرفة العميل المحول بالمستفيد (المحول إليه) أو دون علاقة نظامية تربطه بالمستفيد أو دون غرض مشروع.
3-14	في الحالات التي تُجمَّع فيها عدّة تحويلات برقية فردية إلى خارج المملكة من منشئ تحويل واحد ضمن تحويل مجمع لمستفيدين، على المؤسسة المالية المنشئة للتحويل أن تتأكد من المعلومات المرفقة بالتحويل متضمنة المعلومات الخاصة بمنشئ التحويل التي تم التحقق منها، بالإضافة إلى المعلومات الكاملة عن المستفيد والواردة في الفقرة (14-1)، بحيث يمكن تتبّعها بشكلٍ تامّ ضمن الدولة التي يتواجد فيها المستفيد ورقم حساب منشئ التحويل والرقم المرجعي الخاص بالتحويل.
4-14	عند إجراء تحويلات برقية محلية وكانت المؤسسة المالية منشئة التحويل قادرة – من خلال وسائل أخرى - على توفير كافة المعلومات الخاصة بمنشئ التحويل والمستفيد للمؤسسة المالية المتلقية للتحويل أو السلطات المختصة. في هذه الحالة تعفي المؤسسة المالية من إضافة المعلومات في كل تحويل برقي، ويجوز للمؤسسة المالية منشئة التحويل أن تُضمّن رقم الحساب أو الرقم الخاص بالتحويل الذي يسمح بربط العملية بالمعلومات ذات الصلة حول منشئ التحويل أو المستفيد. ويجب أن توفر المؤسسة المالية منشئة التحويل كافة المعلومات المتعلقة بمنشئ التحويل والمستفيد في غضون ثلاثة أيام عمل من تلقّي طلب الحصول عليها من المؤسسة المالية المستفيدة أو السلطة المختصة.
5-14	على المؤسسة المالية والمؤسسة المالية الوسيطة المتلقية للتحويل البرقي من خارج المملكة إعداد سياسات وإجراءات وضوابط وتطبقها لتحقيق ما يلي:
	(أ)	تحديد التحويلات البرقية التي تفتقر إلى المعلومات المطلوبة في شأن منشئ التحويل أو المستفيد؛
	(ب)	تحديد حالات تنفيذ التحويل البرقي أو رفضه أو تعليقه لافتقاره إلى المعلومات المطلوبة بشأن منشئ التحويل أو المستفيد بناءً على المخاطر؛
	(ت)	المتابعة الملائمة بناءً على المخاطر التي قد تتضمن تقييد علاقة العمل أو انهاءها.
6-14	على المؤسسة المالية المتلقية للتحويل البرقي من خارج المملكة اتخاذ التدابير المعقولة من أجل تحد يد التحويلات التي تفتقر إلى المعلومات المطلوبة في شأن منشئ التحويل أو المستفيد. وقد تتضمن تلك التدابير إجراءات المتابعة اللاحقة للتنفيذ أو إجراءات المتابعة وقت التنفيذ حيث يكون ذلك ممكناً. وفي حالة عدم التحقق من هوية المستفيد من التحويل سابقاً، فيجب على المؤسسة المالية المتلقية التحقق من هويته والاحتفاظ بهذه البيانات كما هو وارد في قسم حفظ السجلات.
7-14	لا تحول متطلبات السرية المنصوص عليها بموجب الأنظمة المحلية دون قيام المؤسسة المالية بتبادل المعلومات مع المؤسسة المالية المحلية أو الأجنبية الأخرى التي تقوم بمعالجة أي جزء من المعاملة على النحو المطلوب للالتزام بمتطلبات قسم التحويل البرقي.
8-14	لا يشمل نطاقُ تطبيق متطلبات قسم التحويل البرقي التالي:
	(أ)	التحويلات التي تأتي من عملية تمّت باستخدام بطاقة ائتمانية أو بطاقة سحب أو بطاقة مسبقة الدفع أو هاتف جوّال أو أي جهاز رقمي آخر مسبق أو لاحق الدفع بالصفات ذاتها فقط لشراء السلع أو الخدمات، شرط أن يرافق رقم بطاقة الائتمان أو بطاقة السحب أو البطاقة مسبقة الدفع، التحويل المتأتي من المعاملة؛
	(ب)	التحويلات التي تشكّل تحويلاً أو مقاصة بين مؤسستين ماليتين حينما يكون آمر التحويل والمستفيد هو مؤسسة مالية تتصرف من تلقاء نفسها.
9-14	في حال عدم قدرة المؤسسة المالية على الالتزام بمتطلبات الفقرة (14-1) فعلى المؤسسة المالية عدم القيام بالتحويل البرقي.
10-14	على المؤسسة المالية والمؤسسة المالية الوسيطة عدم قبول إجراء تحويل برقي إلى خارج المملكة بأي عملة كانت لأغراض خيرية ⁶، بغض النظر عن مصدر الأموال أو المستفيد، أخذاً في الاعتبار العمليات الواردة في الفقرة (14-7).
11-14	على المؤسسة المالية والمؤسسة المالية الوسيطة المتلقية للتحويل البرقي من خارج المملكة عدم قبول عمليات التحويل البرقي الواردة إلى المملكة بأي عملة كانت لأغراض خيرية، بغض النظر عن مصدر الأموال أو المستفيد، أخذاً في الاعتبار العمليات الواردة في الفقرة (14-7).
12-14	أن تخضع أعمال المؤسسة المالية الوسيطة المقدمة لخدمة التحويلات المالية البرقية المتعاقد معها والمتعلقة بالعمليات المنفذة من خلال المؤسسة المالية للإشراف والرقابة.
13-14	الالتزام بضمان أن المعلومات التي يتم تبادلها بين المؤسسة المالية المراسلة أو المؤسسة المالية الوسيطة المقدمة لخدمات التحويل البرقي لا تُستخدم إلا للأغراض المصرح بها للحفاظ على أحكام وشروط السرية ومنع استخدامها لأي أغراض أخرى.
14-14	يجب على المؤسسة المالية والمؤسسة المالية الوسيطة عدم تلقي تحويل برقي من خارج المملكة لمستفيد في مؤسسة مالية خارج المملكة في حال كان التحويل البرقي بعملة غير الريال السعودي.
15-14	يسمح للمؤسسة المالية تلقي تحويل برقي من خارج المملكة لمستفيد في مؤسسة مالية خارج المملكة في حال كان التحويل البرقي بعملة الريال السعودي فقط، أخذاً في الاعتبار الفقرة (14-1) والفقرة (14-5) والفقرة (14-8).
16-14	يجب على المؤسسة المالية والمؤسسة المالية الوسيطة المتلقية للتحويل البرقي بعملة الريال السعودي من خارج المملكة لمستفيد في مؤسسة مالية خارج المملكة تحديد الغرض من التحويل البرقي بشكل واضح وبالتفصيل.

⁶في حال تلقي المؤسسة المالية من البنك المركزي ما يفيد بالسماح لبعض الجهات وفق شروط خاصة بتحويل الهبات أو الإعانات أو التبرعات سواء كان التحويل لمستفيد اعتباري أو شخص طبيعي، فيتم العمل بموجب هذه الموافقة.

دليل تنفيذ آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله
الرقم: 391000014326 التاريخ (م): 2017/10/26 | التاريخ (هـ): 1439/2/6 الحالة:نافذ

مقدمة
تُلزم قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله الدول بالقيام من دون تأخير بتجميد كافة أموال والأصـول الماليـة أو المـوارد الاقتصاديـة الأخـرى التي تعود إلى أولئك الأفراد أو تلك الجماعات والمؤسسات والكيانات بما ذلك الأموال المتأتية من ممتلكات تعود ملكيتها أو يعود التصرف فيها بصورة مباشرة أو غير مباشرة، إليهم أو إلى أفراد يتصرفون نيابةً عنهم أو بتوجيه منهم أو يأتمرون بأمرهم بشكل مباشر أو غير مباشر، واتخاذ كافة التدابير التي تكفل عدم إتاحة تلك الأموال والأصول المالية والموارد الاقتصادية لصالح هؤلاء بصورة مباشرة أو غير مباشرة أو عن طريق رعاياها أو أي أشخاص موجودين في أراضيها.
وبموجب هذا الالتزام صدر الأمر السامي رقم 25505 وتاريخ 1433/5/22هـ الموافق 2012/4/13م القاضي بالموافقة على الآلية الخاصة بقرار مجلس الأمن رقم (1989/1267)، والآلية الخاصة بالقرار رقم (1988)، والتي تم التعميم عنهما للجهات المعنية بالتنفيذ بموجب برقية وزارة الداخلية رقم 38954 وتاريخ 1433/6/6هـ، الموافق 2012/4/27م. وفي تاريخ 1438/4/25هـ الموافق 2017/1/23م صدر التحديث الأول على آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله بموجب برقية وزارة الداخلية رقم (109130) وتاريخ 1438/4/25هـ، وذلك بناءً على المادة (32) من نظام مكافحة جرائم الإرهاب وتمويله الصادر بالمرسوم الملكي رقم (م/16) وتاريخ 1435/2/24هـ، وفي تاريخ 1440/5/4هـ صدر التحديث الثاني على آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويل بموجب برقية رئاسة أمن الدولة رقم 32576 وتاريخ 1440/5/4هـ، وذلك بناءً على المادة (75) من نظام مكافحة جرائم الإرهاب وتمويله الصادر بالمرسوم الملكي رقم (م/21) وتاريخ 1439/2/12هـ، التي نصت على أن "تقوم اللجنة الدائمة لمكافحة الإرهاب وتمويله بتلقي الطلبات التي ترد من الدول والهيئات والمنظمات في ما يتعلق بقرارات مجلس الأمن الخاصة بمكافحة الإرهاب أو تمويله وتقوم بوضع الآليات وتحديثها واتخاذ التدابير والإجراءات اللازمة لتنفيذ قرارات مجلس الأمن ذات الصلة وتصدر بقرار من رئيس أمن الدولة". ومنها:
1. آلية تطبيق قرارات مجلس الأمن الخاصة بالمدرجين على القائمة الموحدة للجنة مجلس الأمن رقم (2253/1989/1267) الخاصة بتنظيم (داعش)، وتنظيم القاعدة، وسائر المرتبطين بهما من أفراد وجماعات ومؤسسات وكيانات، التي تدعى بـ "قائمة الجزاءات بشأن تنظيم داعش، وتنظيم القاعدة، وما يرتبط بهما من أفراد وجماعات ومؤسسات وكيانات."
2. آلية تطبيق قرار مجلس الأمن رقم (1988) والقرارات اللاحقة ذات الصلة ويشمل القرار أسماء الأفراد والكيانات والذين جرى إدراجهم قبل تاريخ اتخاذ القرار 1988 ضمن حركة طالبان فضلاً عن سائر الأفراد والجماعات والمؤسسات والكيانات الذين يشتركون مع حركة طالبان في تهديد السلام والاستقرار والأمن في أفغانستان وفقاً لما تقرره اللجنة المنشأة بموجب الفقرة 30 من القرار 1988.
3. آلية تطبيق قرار مجلس الأمن رقم (1373) الذي يستهدف كل من يقوم أو يشرع بأي وسيلة كانت وبصورة مباشرة أو غير مباشرة، وبإرادته بتقديم أو جمع الأموال أو محاولة القيام بذلك بنية استخدامها لارتكاب جريمة إرهابية، أو علمه بأنها ستستخدم كلياً أو جزئياً لهذا العمل، أو لصالح منظمة إرهابية أو شخص إرهابي لأي غرض كان حتى لو لم يقع العمل الإرهابي، أو لم يتم الشروع به، أو لم تستخدم الأموال فعلياً لتنفيذه أو الشروع به، أو ترتبط الأموال بعمل إرهابي معين، أياً كان البلد الذي وقعت فيه الجريمة الإرهابية أو الذي كان من المخطط أن تقع فيه تلك الجريمة، ويشمل الأفراد والجماعات والمؤسسات والكيانات التي تستهدفها الدول وطنياً لصلتها بأنشطة لصالح تنظيم (داعش)، وتنظيم القاعدة، وسائر المرتبطين بهما من أفراد وجماعات ومؤسسات وكيانات مدرجة على القائمة الموحدة للجنة (2253/1989/1267) وكذلك المدرجة على القائمة الموحدة للجنة (1988)، علماً بأن تحديث القائمة يكون من خلال ما يرد من رئاسة أمن الدولة فقط.
وبناءً عليه قام البنك المركزي بتوجيه المؤسسات المالية التي يُشرف عليها لاتخاذ عدداً من الإجراءات من تنفيذ للآليات المحدثة المُشار إليها أعلاه، بموجب التعميم رقم 381000077863 وتاريخ 1438/7/22هـ الموافق 2017/04/19م.
وحرصاً من البنك المركزي على التطبيق الأمثل للإجراءات والآليات من قبل المؤسسات المالية التي يشرف عليها، فقد قام بتحديث هذا الدليل لتنفيذ آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله المحدثة، الذي تم إرساله من خلال التعميم رقم 391000014326 وتاريخ 1439/2/6هـ.

دليل تنفيذ آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله

1. تجميد الأموال المحددة بحسب الآليات الصادرة لتنفيذ قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله

1-1	التزاماً بقرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله، وتنفيذاً للآليات الصادرة بهذا الخصوص يجب على المؤسسات المالية بالقيام من دون تأخير (في غضون ساعات) ودون سابق إنذار بتجميد أي أموال أو موارد اقتصادية أو ممتلكات يملكها أو يسيطر عليها أو يحوزها كليا ً أو جزئياً بشكل مباشر أو غير مباشر أي من الآتي:
		(أ)	أي شخص أو مجموعة أو كيان مدرج في قائمة لجنة مجلس الأمن (2253/1989/1267) أو لجنة مجلس الأمن (1988).
		(ب)	أي شخص يتصرّف نيابةً عن شخص أو مجموعة أو كيان مدرج في قوائم مجلس الأمن المشار إليها أعلاه في الفقرة (أ) أو بتوجيه منه أو يكون مملوكاً أو مسيطراً عليه بشكل مباشر أو غير مباشر.
2-1	تحظر آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله على أي شخص طبيعي أو اعتباري بما في ذلك كافة فئات المؤسسات المالية إتاحة أي أموال أو موارد اقتصادية أو ممتلكات لأي شخص أو مجموعة أو كيان مدرج، ويحضر تأمين أي شكل من أشكال الخدمات المالية أو غيرها من الخدمات بشكل مباشر أو غير مباشر لهؤلاء الأشخاص أو لصالحهم، إلاّ بعد رفع الاسم من قبل لجان مجلس الأمن أو الحصول على تصريح مسبق مسبب من قبل البنك المركزي.
3-1	كما تتطلب الآليات متابعة تحديث بيانات المدرجين على قوائم الأمم المتحدة بشكل يومي، من خلال الرجوع إلى موقع لجنة (2253/1989/1267) ولجنة (1988)، وتحتفظ اللجنتان بموقع إلكتروني يحتوي على اللوائح المحدثة بأسماء الأشخاص المدرجين، وذلك على العنوانين الآتيين: https://www.un.org/sc/suborg/ar/sanctions/1988/materials http://www.un.org/sc/committees/1267/aq_sanctions_list.shtml ويمكن إيجاد كافة القرارات التي اعتمدها مجلس الأمن التابع للأمم المتحدة على العنوان الآتي: /https://www.un.org/ar/sc/documents/resolutions
4-1	يجب إبلاغ البنك المركزي في حال التجميد وذلك في غضون خمسة أيام عمل (كحد أقصى)، وإعطاء التفاصيل الكاملة عن الحساب أو العملية كما هو مفصل في الفقرة (3-3-ج) من هذا الدليل. وفي حال تشابه الأسماء يتم إبلاغ البنك المركزي عنها واتخاذ الاجراءات الملائمة (التجميد أو عدم التجميد لحين ورود توجيه من البنك المركزي) وفق درجة التشابه التي تقدرها المؤسسات المالية بناءً على المعلومات والبيانات المتوفرة لديها.
5-1	يتم التجميد الفوري لأي أسماء يتم تصنيفها من قبل المملكة العربية السعودية وفقاً لقرار مجلس الأمن رقم (1373)، والتي تصدر طلبات التجميد بشأنها من خلال رئاسة امن الدولة (اللجنة الدائمة لمكافحة الإرهاب) وتُمرر للمؤسسات المالية عن طريق البنك المركزي.
6-1	يجوز السماح بأن تضاف إلى الحسابات المجمدة أي مدفوعات مقدمة لصالح المدرجة أسمائهم في القوائم من أفراد أو جماعات أو مؤسسات أو كيانات، شريطة أن تظل هذه المدفوعات مجمدة، وإبلاغ البنك المركزي بها.

2. الأموال التي يجب تجميدها بموجب القرارات

1-2	تسري الالتزامات المنصوص عليها في آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله على أي "أموال" وهو مصطلح تم تحديده بشكل موسّع في الآليات ليشمل: "الأصول أو الموارد الاقتصادية أو الممتلكات من أي نوع، كيفما تم الحصول عليها، وأياً كانت قيمتها أو نوعها، سواءً كانت مادية أو غير مادية، ملموسة أو غير ملموسة، منقولة أو غير منقولة، بالإضافة إلى الوثائق أو الصكوك أو المستندات أو الأدوات أياً كان شكلها بما في ذلك النظم الإلكترونية أو الرقمية والائتمانات المصرفية التي تدل على ملكية أو مصلحة فيها، بما في ذلك على سبيل المثال لا الحصر جميع أنواع الشيكات والحوالات والأسهم والأوراق المالية والسندات والكمبيالات وخطابات الاعتماد، وأي فوائد أو أرباح أو دخول أخرى مترتبة على أو متولدة من هذه الأموال أو الأصول الأخرى سواء داخل المملكة العربية السعودية أو خارجها".
2-2	يمتد أمر التجميد إلى الأموال التي يملكها أو يسيطر عليها كلياً أو جزئياً بشكل مباشر أو غير مباشر الشخص المعني. فينطبق أمر التجميد بذلك على سبيل المثال على الشركات التي يسيطر عليها الشخص المدرَج بشكل مباشر أو غير مباشر أي من دون أن يملكها بشكل رسمي على سبيل المثال الحسابات المصرفية المشتركة والصناديق الائتمانية أو الشركات التي يملكها الشخص المدرج بشكل غير مباشر، مثلاً عبر الأولاد القاصرين أو الزوجة والشركات الوهمية أو الصورية التي يستخدمها الشخص المدرج والمشاريع المشتركة التي يشارك فيها والشركات التي لديها هيكليات ملكية معقّدة أو غامضة بهدف إخفاء السيطرة عليها أو ملكيتها من قبل شخص مدرَج. هذه بعض الأمثلة فقط لإيضاح أنّ أي أموال تخضع لسيطرة شخص مدرج أو لملكيته بأي شكل من الأشكال أكان مباشراً أو غير مباشر وعبر أي آلية كانت، كلّها تقع ضمن نطاق قرارات مجلس الأمن.
3-2	من المهم ملاحظة أن الأموال التي تكون ملكيتها أو السيطرة عليها أو حيازتها مشتركة بين الشخص أو المجموعة أو الكيان المدرج وشخص أو مجموعة أو كيان ليس مدرجاً تخضع لأمر التجميد بكاملها بما في ذلك الجزء الذي يملكه أو يسيطر عليه الشخص أو المجموعة أو الكيان غير المدرج. ولا يتم التصرف فيها إلا بعد الرجوع للبنك المركزي الذي بدوره يشعر رئاسة أمن الدولة (اللجنة الدائمة لمكافحة (الإرهاب) للنظر في الموضوع على أن تتم معالجة كل حالة على حدة.

3. آلية تحقق المؤسسات المالية من جميع العملاء مقابل الأسماء المدرجة

1-3	على المؤسسات المالية التحقق يومياً وبصفة مستمرة من قواعد بيانات العملاء وأي معلومات تم الحصول عليها حول العملاء المحتملين أو الموجودين ومقارنتها بالأسماء المدرجة من قِبل لجنتي مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله المشار إليهما في هذا الدليل، وتحديد ما إذا كانت المؤسسات المالية بحيازتها أو تحت إدارتها أي أموال خاضعة لقرارات لجنتي مجلس الأمن. وبالتالي يجب الاحتفاظ بقائمة محدثة في قاعدة البيانات للكيانات والأشخاص المدرجين على هذه القوائم. كذلك ينطبق هذا الأمر على الأسماء المصنفة وطنياً وفقاً لقرار مجلس الأمن (1373) التي ترد من رئاسة أمن الدولة ويمررها البنك المركزي إلى المؤسسات المالية التي يشرف عليها.
2-3	تعتمد بعض المؤسسات المالية على برامج تقدم خدمات إلكترونية للتأكد من أن عملاءها لا يخضعون لأي جزاءات ترتبط بلجنة (2253/1989/1267) أو لجنة (1988). ومن الجدير بالذكر هنا أن هذه الخدمات الإلكترونية مفيدة ولكن لا يجوز اعتبارها ضمانة مؤكدة للالتزام بالإجراءات المفروضة، ولا بد من القيام بعمليات التحقق اليومية وبصفة مستمرة للمقارنة بالأسماء المدرجة من قبل لجان العقوبات التابعة للأمم المتحدة. ويظل الاساس في متابعة التحديثات وضمان تطبيق الجزاءات المفروضة على الاسماء المدرجة على قائمة لجنة مجلس الامن (2253/1989/1267) ولجنة مجلس الامن (1988) هو الموقع الالكتروني للجنتين والمشار لهما أعلاه في الفقرة (1-3).
3-3	في حال اكتشفت إحدى المؤسسات المالية أنّ أي من الأموال في حيازتها أو تحت إدارتها هي أموال واجب تجميدها، عليها اتخاذ الخطوات التالية:
		(أ)	القيام مباشرةً ومن دون تأخير (في غضون ساعات) بتجميد كل هذه الأموال وأي أموال متأتّية منها أو ناتجة عنها من دون سابق إنذار.
		(ب)	الامتناع عن تقديم أي خدمات مالية أو غيرها أو توفير الأموال لأي شخص أو مجموعة أو كيان مدرج أو لصالحه. ويتضمّن هذا الحظر أي نوع من الخدمات المقدمة إلى الشخص أو المجموعة أو الكيان المدرج، بما في ذلك فتح الحسابات أو توفير أي نوع من الاستشارات أو الخدمات المالية أو خدمات الوساطة والاستثمار، أو أي نوع من الأصول أو الممتلكات بشكل مباشر أو غير مباشر أكانت مادية أو غير مادية، ملموسة أو غير ملموسة، منقولة أو غير منقولة.
		(ج)	يجب إبلاغ البنك المركزي بالتجميد في غضون خمسة أيام عمل (كحد أقصى) من تاريخ فرض التجميد، مع تزويده بالمعلومات حول وضع الأموال وأي تدابير اتخذت بشأنها وطبيعة الأموال المجمدة وكميتها وأي معلومات أخرى ذات صلة بالقرارات أو قد تُسهل الالتزام بها. وعلى المؤسسات المالية أن تتأكد من دقة المعلومات المزودة.
4-3	في حال اتضح لإحدى المؤسسات المالية أنه ليس في حيازتها أو تحت إدارتها أي أموال مستهدفة، يبقى عليها إبلاغ البنك المركزي فوراً في حال كان أحد عملائها السابقين أو أي عميل عابر تعاملت معه هو شخص أو مجموعة أو كيان مدرج.
5-3	على المؤسسات المالية في حال تشابه الأسماء، البحث فوراً من خلال الوسائل المتاحة نظاما ًعن المعلومات التي تؤكد تطابق الاسم من عدمه، وفي حال لم تتوصل المؤسسات المالية الي معلومات تؤكد تطابق الاسم من عدمه يتم ابلاغ البنك المركزي فوراً دون اتخاذ أي إجراء.

4. الإجراءات الواجب اتباعها من قبل المؤسسات المالية في حال تم رفع أمر التجميد

1-4	في حال رفع الاسم من قبل لجنتي مجلس الأمن لجنة (2253/1989/1267) ولجنة (1988) فإنه يجب دون تأخير (في غضون ساعات) ودون إشعار مسبق رفع التجميد، وإبلاغ البنك المركزي (وفقاً لما تم توضيحه في الفقرة 4-2 أدناه)، ما لم يرد إشعار مسبق بعدم الرفع نتيجة التصنيف وفقاً لقرار مجلس الأمن رقم (1373). وبالنسبة إلى الأسماء التي تم تجميد علاقاتها سابقاً بناءً على توجيهات من البنك المركزي تبقى مجمدة حتى يرد من البنك المركزي تعليمات برفع التجميد.
2-4	يجب إبلاغ البنك المركزي برفع التجميد في غضون خمسة أيام عمل (كحد أقصى) من تاريخ رفع التجميد، مع تزويده بالمعلومات حول وضع الأموال وأي تدابير اتخذت بشأنها وطبيعة الأموال المرفوع عنها التجميد وكميتها وأي معلومات أخرى ذات صلة بالقرارات. وعلى المؤسسات المالية أن تتأكد من دقة المعلومات المزودة.
3-4	في حال موافقة مجلس الأمن على الرفع الجزئي عن الأموال والأصول الأخرى المجمدة التي تم تحديدها بناءً على قرار مجلس الأمن رقم (1452)، سيقوم البنك المركزي بإبلاغ المؤسسات المالية التي يشرف عليها بهذا الشأن.

5. سرية المعلومات
يجب على المؤسسات المالية ضمان سرية المعلومات المتعلقة بالأسماء المدرجة وفقاً لقرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله، وذلك بما يتوافق مع الأنظمة والتعليمات الخاصة بذلك، ومنها نظام مكافحة غسل الأموال، ونظام مكافحة جرائم الإرهاب وتمويله، وقواعد مكافحة غسل الأموال وتمويل الإرهاب الصادرة عن البنك المركزي.

6. آلية تحقق البنك المركزي من التزام تطبيق المؤسسات المالية لقرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله
على المؤسسات المالية القيام بكافة التدابير التي من شأنها ضمان التزامها الكامل بالجزاءات المفروضة على الأسماء المدرجة على قائمة لجنة مجلس الأمن (2253/1989/1267) ولجنة مجلس الأمن (1988) والأسماء التي تردها من البنك المركزي استناداً لقرارا مجلس الأمن (1373)، وسيتم التحقق من الالتزام الكامل بما ورد أعلاه من خلال الزيارات الميدانية، وسيتم تطبيق العقوبات الواردة في الأنظمة الخاصة بهذا الشأن في حال تهاون المؤسسات المالية أو تقصيرها أو عدم تنفيذها للتعليمات.

7. العقوبات التي تطبق في حال عدم الالتزام بالمتطلبات والإجراءات المنصوص عليها في آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله
يكون عرضة للمحاسبة وفقاً للأنظمة الخاصة بذلك كل من تهاون في إيقاع التجميد أو تنفيذ أمر التجميد بحق الأسماء التي تنطبق عليها آليات تنفيذ قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله، وكذلك كل من يتيح الأموال أو يؤمّن الخدمات المالية أو غيرها من الخدمات المرتبطة بها إلى الشخص المدرج أو لصالحه بما يخالف آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله، أو لا يفصح عن المعلومات أو يفصح عن معلومات غير صحيحة بقصد أو بسبب الإهمال، أو التأخير في تزويد المعلومات.

8. الحصول على المعلومات
يجب أن تقوم المؤسسة المالية بالحصول على معلومات دقيقة، سواء كانت معلومات أساسية أو معلومات حول العملاء المحتملين أو الموجودين للتأكد من مقارنتها بالأسماء المدرجة من قبل لجنتي مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله المشار إليهما في هذا الدليل، ومن ضمنها المعلومات المتعلقة بالمستفيد الحقيقي للأشخاص الاعتبارية (كشركات الواجهة) عند التحقيق في الجرائم أو المخالفات المتعلقة بقرارات مجلس الأمن التي تتناول تمويل الإرهاب.

9. آلية الإخطار والتظلم
للمصنف وفقاً لقرارات مجلس الأمن حق الإخطار بأنه تم تطبيق إجراءات قرارات مجلس الأمن عليه لوروده في أحد القوائم التابعة لهذه القرارات.
كما أنه يحق للمصنف وفقاً لقرارات مجلس الأمن رفع قضايا تظلم سواء داخل المملكة أو خارجها إزاء أي قرارات تصدر بحقه وفق ما نص عليه نظام ديوان المظالم وكذلك نظام مكافحة جرائم الإرهاب وتمويله، مع مراعاة حقوق الأطراف الثالثة حسنة النية التي تتصرف بحسن نية تنفيذاً للالتزامات.

10. الإرشادات والتعليمات الأخرى
يتعين على المؤسسات المالية المبلغة تحديد مخاطر تمويل الإرهاب لديها وتقييمها وفهمها وتوثيقها وتحديثها وتوفير تقييمها للمخاطر للبنك المركزي عند الطلب، مع الأخذ بعين الاعتبار مجموعة واسعة من عوامل الخطر بما فيها تلك المرتبطة بـعملائها أو البلدان أو المناطق الجغرافية، أو المنتجات أو الخدمات، أو المعاملات أو قنوات التسليم، على أن تتضمن دراسة تقييم المخاطر للمنتجات الجديدة، وممارسات العمل والتقنيات قبل استخدامها.
يجب متابعة تحديث القائمة الموحدة الوطنية والتابعة لقرار مجلس الأمن رقم (1373)، وذلك من خلال موقع رئاسة أمن الدولة (اللجنة الدائمة لمكافحة الإرهاب وتمويله)، وذلك بشكل يومي وبصفة مستمرة مع ملاحظة أي تعديلات تطرأ على القائمة الموحدة الوطنية من إدراج جديد أو حذف، أو تعديل بيانات، على أن يتم متابعة التحديث مباشرة من خلال الموقع الإلكتروني الخاص باللجنة الدائمة لمكافحة الإرهاب وتمويله برئاسة أمن الدولة.
يجب القيام بتقييم جودة الإجراءات المطبقة لأغراض (1) التسمية/الإدراج و(2) التجميد أو إلغاء التجميد و(3) رفع الأسماء من القوائم, وما مدى التزام هذه الإجراءات بمتطلبات القرارات الصادرة عن مجلس الأمن؟

دليل تنفيذ آلية تطبيق قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله
الرقم: 391000077627 التاريخ (م): 2018/3/25 | التاريخ (هـ): 1439/7/9 الحالة:معدَّل
صدر هذا الدليل بموجب التعميم رقم (391000077627) وتاريخ 1439/07/09هـ (الموافق 2018/03/26م) وعُدل بموجب التعميم رقم (130885/486) وتاريخ 1440/09/04هـ (الموافق 2019/05/09).

مقدمة
تُلزم قرارات مجلس الأمن الصادرة وفق الفصل السابع من ميثاق الأمم المتحدة المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله من الدول القيام مباشرة من دون تأخير بتجميد كافة أموال وأصول أي شخص أو مجموعة أو كيان يحدده مجلس الأمن التابع للأمم المتحدة أو أي لجنة ذات صلة تابعة لمجلس الأمن على أنه مرتبط بأنشطة تمويل انتشار أسلحة الدمار الشامل. واتخاذ كافة التدابير التي من شأنها عدم إتاحة أي أموال أو أصول أخرى لهؤلاء الأشخاص أو المجموعات أو الكيانات أو لصالحهم من أي شخص أو مجموعة أو كيان على الأراضي السعودية أو تحت ولايتها. وبموجب هذا الالتزام صدر الأمر السامي رقم 10130 وتاريخ 1439/3/1 هـ القاضي بالموافقة على "آلية تطبيق قرارات مجلس الأمن التي تصدر وفق الفصل السابع من ميثاق الأمم المتحدة المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله".
وبناءً عليه قام البنك المركزي السعودي بتوجيه المؤسسات المالية الخاضعة لإشرافها بموجب التعميم رقم (391000054107) وتاريخ 1439/5/12 هـ باتخاذ عدداً من الإجراءات تنفيذاً للآلية المُشار إليها أعلاه، وحرصاً من البنك المركزي السعودي على التطبيق الأمثل للإجراءات والآلية من قبل المؤسسات المالية التي تشرف عليها، فقد قام بإعداد هذا الدليل لتنفيذ آلية تطبيق قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله، وعليه تم تحديث آلية تطبيق قرارات مجلس الأمن ذات المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله والتي تم بناءً عليه تحديث الفقرة رقم (3-4) في الدليل وتوجيهه إلى جميع المؤسسات المالية في التعميم رقم 130885/486 وتاريخ 1440/9/4 هـ .

دليل تنفيذ آلية تطبيق قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله

1. تجميد الأموال المحددة بحسب الآليات الصادرة لتنفيذ قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله

1-1	التزاماً بقرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله، وتنفيذاً للآلية الصادرة بهذا الخصوص يجب على المؤسسات المالية بالقيام من دون تأخير (في غضون ساعات) ودون سابق إنذار تجميد أي أموال أو موارد اقتصادية أو أصول أو ممتلكات يملكها أو يسيطر عليها أو يحوزها كلياً أو جزئياً بشكلٍ مباشر أو غير مباشر أي من الآتي:
		(أ)	أي شخص أو مجموعة أو كيان يحدده مجلس الأمن التابع للأمم المتحدة أو أي لجنة ذات صلة تابعة لمجلس الأمن بموجب أي من قرارات مجلس الأمن ذات الصلة.
		(ب)	أي شخص يتصرف نيابة عن شخص أو مجموعة أو كيان مدرج في قوائم مجلس الأمن أو بتوجيه منه أو يكون مملوكاً أو مسيطراً عليه من قبله بشكلٍ مباشر أو غير مباشر. بما في ذلك عبر الوسائل غير الشرعية.
2-1	تحظر آلية تطبيق قرارات مجلس الأمن ذات الصلة بمنع انتشار أسلحة الدمار الشامل وتمويله على أي شخص طبيعي أو اعتباري بما في ذلك كافة فئات المؤسسات المالية إتاحة أي أموال أو موارد اقتصادية أو أصول أو ممتلكات لأي شخص أو مجموعة أو كيان مدرج، ويحضر تأمين أي شكل من أشكال الخدمات المالية أو غيرها من الخدمات بشكل مباشر أو غير مباشر لهؤلاء الأشخاص أو لصالحهم، إلا بعد رفع الإسم من لجان مجلس الأمن أو الحصول على تصريح كتابي مسبب من قبل البنك المركزي.
3-1	تتطلب الآلية متابعة تحديث بيانات المدرجين على قوائم لجان الجزاءات التابعة لمجلس الأمن بشكل يومي، من خلال الرجوع إلى موقع القرارات التي اعتمدها مجلس الأمن التابع للأمم المتحدة على العنوان الآتي: un.org/ar/sc/documents/resolutions
4-1	يجب إبلاغ البنك المركزي في حال التجميد وذلك في غضون خمسة أيام عمل (كحد أقصى)، وإعطاء التفاصيل الكاملة عن الحساب أو العملية كما هو مفصل في الفقرة (3-3-ج) من هذا الدليل.
5-1	يجوز أن تضاف إلى الحسابات المجمدة أي مدفوعات مقدمة لصالح المدرجة أسمائهم في القوائم من أفراد أو جماعات أو مؤسسات أو كيانات، شريطة أن تظل هذه المدفوعات مجمدة، وإبلاغ البنك المركزي بها.

2. الأموال التي يجب تجميدها بموجب القرارات

1-2	تسري الالتزامات المنصوص عليها في آلية تطبيق قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله على كافة "الأموال" وهو مصطلح يشمل: "الأصول أو الموارد الاقتصادية أو الممتلكات أياً كانت قيمتها أو نوعها أو طريقة امتلاكها، سواءً كانت مادية أو غير مادية، ملموسة أو غير ملموسة، منقولة أو غير منقولة، بالإضافة إلى الوثائق أو الصكوك أو المستندات أو الأدوات أياً كان شكلها بما في ذلك النظم الإلكترونية أو الرقمية والإئتمانات المصرفية التي تدل على ملكية أو مصلحة فيها، بما في ذلك على سبيل المثال لا الحصر جميع أنواع الشيكات والحوالات والأسهم والأوراق المالية والسندات والكمبيالات وخطابات الاعتماد، وأية فوائد أو أرباح أو دخول أخرى مترتبة على أو متولّدة من هذه الأموال أو الأصول الأخرى سواء داخل المملكة العربية السعودية أو خارجها".
2-2	يمتد أمر التجميد إلى الأموال التي يملكها أو يسيطر عليها كلياً أو جزئياً بشكلٍ مباشر أو غير مباشر الشخص المعني. حيث يشمل أمر التجميد على سبيل المثال على الشركات التي يسيطر عليها الشخص المدرج بشكل مباشر أو غير مباشر أي من دون أن يملكها بشكل رسمي، على سبيل المثال الحسابات المصرفية المشتركة والصناديق الإئتمانية أو الشركات التي يملكها الشخص المدرج بشكل غير مباشر، مثلاً عبر الأبناء القصّر أو الزوجات والشركات الوهمية أو الصورية التي يستخدمها الشخص المدرج والمشاريع المشتركة التي يشارك فيها والشركات التي لديها هيكليات ملكية معقّدة أو غامضة بهدف إخفاء السيطرة عليها أو ملكيتها من قبل شخص مُدرج. هذه بعض الأمثلة فقط لإيضاح أن أي أموال تخضع لسيطرة شخص مُدرج أو لملكيته بأي شكل من الأشكال أكان مباشراً أو غير مباشر وعبر أي آلية كانت، كلها تقع ضمن نطاق قرارات مجلس الأمن.
3-2	من المهم ملاحظة أن الأموال التي تكون ملكيتها أو السيطرة عليها أو حيازتها مشتركة بين الشخص أو المجموعة أو الكيان المدرج وشخص أو مجموعة أو كيان ليس مدرجاً تخضع لأمر التجميد بكاملها بما في ذلك الجزء الذي يملكه أو يسيطر عليه الشخص أو المجموعة أو الكيان غير المدرج. ولا يتم التصرف فيها إلا بعد الرجوع للبنك المركزي الذي بدوره يشعر وزارة الخارجية (اللجنة الدائمة المعنية بتطبيق قرارات مجلس الأمن الصادرة بموجب الفصل السابع من ميثاق الأمم المتحدة المشكّلة بالأمر السامي رقم (7753/م ب) وتاريخ 1427/10/29هـ) للنظر في الموضوع على أن تتم معالجة كل حالة على حدة.

3. آلية تحقق المؤسسات المالية من جميع العملاء مقابل الأسماء المدرجة في قوائم مجلس الأمن

1-3	على المؤسسات المالية التحقق يومياً وبصفة مستمرة من قواعد بيانات العملاء وأي معلومات تم الحصول عليها حول العملاء المحتملين أو الموجودين ومقارنتها بالأسماء المدرجة في قوائم مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله، وتحديد ما إذا كانت المؤسسات المالية بحيازتها أو تحت إدارتها أي أموال خاضعة لقرارات مجلس الأمن. ويجب الاحتفاظ بقائمة محدّثة في قاعدة البيانات للكيانات والأشخاص المدرجين على هذه القوائم.
2-3	تعتمد بعض المؤسسات المالية على برامج تقدم خدمات إلكترونية للتأكد من أن عملاءها لا يخضعون لأي جزاءات ترتبط في قوائم مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله. وعلى الرغم من أن هذه الخدمات الإلكترونية مفيدة إلا أنه لا يجوز اعتبارها ضمانة مؤكدة للإلتزام بالإجراءات المفروضة، ولا بد من القيام بعمليات التحقق اليومية وبصفة مستمرة للمقارنة بالأسماء المدرجة من لجان الجزاءات التابعة لمجلس الأمن. ويظل الأساس في متابعة التحديثات وضمان تطبيق الجزاءات المفروضة على الأسماء المدرجة على قوائم مجلس الأمن هو الموقع الإلكتروني المشار إليه أعلاه في الفقرة (3-1).
3-3	في حال اكتشفت إحدى المؤسسات المالية أن أي من الأموال في حيازتها أو تحت إدارتها هي أموال واجب تجميدها، عليها اتخاذ الخطوات التالية:
		أ –	القيام مباشرة ومن دون تأخير (في غضون ساعات) بتجميد كل هذه الأموال وأي أموال متأتية منها أو ناتجة عنها من دون سابق إنذار.
		ب –	الإمتناع عن تقديم أي خدمات مالية أو غيرها أو توفير الأموال لأي شخص أو مجموعة أو كيان مدرج أو لصالحه. ويتضمّن هذا الحظر أي نوع من الخدمات المقدمة إلى الشخص أو المجموعة أو الكيان المدرج، بما في ذلك فتح الحسابات أو توفير أي نوع من الاستشارات أو الخدمات المالية أو خدمات الوساطة والاستثمار، أو أي نوع من الأصول أو الممتلكات بشكل مباشر أو غير مباشر أكانت مادية أو غير مادية، ملموسة أو غير ملموسة، منقولة أو غير منقولة.
		ج –	يجب إبلاغ البنك المركزي بالتجميد في غضون خمسة أيام عمل (كحد أقصى) من تاريخ فرض التجميد، مع تزويده بالمعلومات حول وضع الأموال وأي تدابير اتخذت بشأنها وطبيعة الأموال المجمدة وكميتها وأي معلومات أخرى ذات صلة بالقرارات أو قد تُسهّل الإلتزام بها. وعلى المؤسسات المالية أن تتأكد من دقة المعلومات المزودة بها البنك المركزي.
4-3	في حال لم يتبيّن لدى إحدى المؤسسات المالية أنه في حيازتها أو تحت إدارتها أي أموال مستهدفة، فإن على هذه المؤسسات إبلاغ البنك المركزي فوراً عن أي تعاملات أجرتها مع عميل سابق أو عميل عابر وتبيّن أنه شخص أو مجموعة أو كيان مدرج في قوائم مجلس الأمن، كما يتعيّن على المؤسسات المالية إبلاغ البنك المركزي فوراً عند وجود أي محاولة لتمرير أو إجراء عملية من أو إلى شخص مدرج في قوائم مجلس الأمن.*
5-3	على المؤسسات المالية في حال تشابه الأسماء، البحث فوراً من خلال الوسائل المتاحة نظاماً عن المعلومات التي تؤكد تطابق الاسم من عدمه، وفي حال لم تتوصل المؤسسات المالية إلى معلومات تؤكد تطابق الاسم من عدمه يتم إبلاغ البنك المركزي فوراً دون اتخاذ أي إجراء.

*تمَّ تعديل الفقرة (3-4) بموجب التعميم رقم (130885/486) وتاريخ 1440/09/04هـ (الموافق 2019/05/09).

4. الإجراءات الواجب اتباعها من قبل المؤسسات المالية في حال تم رفع أمر التجميد

1-4	في حال رفع الاسم من قبل لجان الجزاءات التابعة لمجلس الأمن فإنه يجب على المؤسسات المالية دون سابق إنذار رفع التجميد مباشرة ومن دون تأخير (في غضون ساعات)، وإبلاغ البنك المركزي (وفقاً لما تم توضيحه في الفقرة 4-2 أدناه)، ما لم يرد إشعار كتابي مسبق بعدم الرفع من البنك المركزي.
2-4	يجب على المؤسسات المالية إبلاغ البنك المركزي برفع التجميد في غضون خمسة أيام عمل (كحد أقصى) من تاريخ رفع التجميد، مع تزويده بالمعلومات حول وضع الأموال وأي تدابير اتخذت بشأنها وطبيعة الأموال المرفوع عنها التجميد وكميتها وأي معلومات أُخرى ذات صلة بالقرارات. وعلى المؤسسات المالية أن تتأكد من دقة المعلومات المزوّدة.
3-4	في حال موافقة مجلس الأمن على الرفع الجزئي عن الأموال والأصول الأخرى المجمدة التي تم تحديدها بناءً على قرارات مجلس الأمن، سيقوم البنك المركزي بإبلاغ المؤسسات المالية التي يشرف عليها بهذا الشأن.

5. سرية المعلومات
يجب على المؤسسات المالية ضمان سرية المعلومات المتعلقة بالأسماء المدرجة وفقاً لقرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله، وذلك بما يتوافق مع الأنظمة والتعليمات الخاصة بذلك، ومنها نظام مكافحة غسل الأموال، ونظام مكافحة جرائم الإرهاب وتمويله، وقواعد مكافحة غسل الأموال وتمويل الإرهاب الصادرة عن البنك المركزي.

6. آلية تحقق البنك المركزي من التزام تطبيق المؤسسات المالية لقرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله
على المؤسسات المالية القيام بكافة التدابير التي من شأنها ضمان التزامها الكامل بالجزاءات المفروضة على الأسماء المدرجة على قوائم لجان الجزاءات التابعة لمجلس الأمن، وسيتم التحقق من الإلتزام الكامل بما ورد أعلاه من خلال زيارات ميدانية، وسيتم تطبيق العقوبات الواردة في الأنظمة الخاصة بهذا الشأن في حال تهاون المؤسسات المالية أو تقصيرها أو عدم تنفيذها للتعليمات.

7. العقوبات التي تُطبّق في حال عدم الإلتزام بالمتطلبات والإجراءات المنصوص عليها في آلية تطبيق قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله
يكون عرضة للمحاسبة وفقاً للأنظمة الخاصة بذلك كل من تهاون في إيقاع التجميد أو تنفيذ أمر التجميد بحق الأسماء التي تنطبق عليها آلية تنفيذ قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله، وكل من يتيح الأموال أو يؤمّن الخدمات المالية أو غيرها من الخدمات المرتبطة بها إلى الشخص المدرج أو لصالحه بما يخالف آلية تطبيق قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله، أو لا يفصح عن المعلومات أو يفصح عن معلومات غير صحيحة بقصد أو بسبب الإهمال، أو التأخير في تزويد المعلومات، أو ارتكب غير ذلك من المخالفات.

استبيان الالتزام بمتطلبات مكافحة غسل الأموال وتمويل الإرهاب والبيانات الإحصائية
انطلاقاً من دور البنك المركزي الإشرافي و الرقابي، وحرصاً منه على حماية القطاع المالي و سمعته من إساءة الاستغلال في عمليات غسل الأموال أو تمويل الإرهاب وبناء على الصلاحيات الممنوحة للبنك المركزي بموجب المادة الرابعة والعشرون من نظام غسل الأموال الصادر بالمرسوم الملكي الكريم رقم (م/20) وتاريخ 1439/02/05هـ , والمادة الثانية والثمانون من نظام مكافحة جرائم الإرهاب وتمويله الصادر بالمرسوم الملكي الكريم رقم م/21 وتاريخ 1439/02/12هـ .
يود البنك المركزي إحاطتكم بإعداد استبيان حول الضوابط الداخلية لمكافحة غسل الأموال وتمويل الإرهاب في المؤسسات المالية, ونموذج للبيانات الإحصائية تخص كل قطاع من القطاعات التي يشرف عليها البنك المركزي والتي ينبغي تزويد البنك المركزي بها بشكل نصف سنوي, وبحد أقصى نهاية شهر سبتمبر للبيانات التي تخص النصف الأول من نفس العام, ونهاية شهر مارس للبيانات التي تخص النصف الثاني من العام السابق.
نأمل الالتزام بتقديم البيانات خلال المدة المحددة أعلاه, على أن يتم تزويد البنك المركزي بنسخة بعد اعتمادها من أصحاب الصلاحية في المؤسسة المالية, وتقديم نسخة الكترونية من الاستبيان والبيانات الإحصائية على ملف(EXCEL), وتزويد البنك المركزي بهذه البيانات عن طريق البريد الالكتروني:
AML-CTF@SAMA.GOV.SA
استبيان الالتزام بمتطلبات مكافحة غسل الأموال وتمويل الإرهاب والبيانات الإحصائية لمراكز الصرافة
استبيان الالتزام بمتطلبات مكافحة غسل الأموال وتمويل الإرهاب والبيانات الإحصائية لشركات التمويل

إدارة المخاطر السيبرانية

قائمة المصطلحات
إن هذا القسم متوفر حالياً باللغة الإنجليزية فقط, الرجاء الضغط هنا لقراءة المحتوى.

المرونة السيبرانية

المتطلبات الأساسية للمرونة السيبرانية (CRFR)
الرقم: NA التاريخ (م): 2022/1/1 | التاريخ (هـ): 1443/5/28 الحالة:نافذ
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

1. المقدمة
ترتفع توقعات المجتمع الحديث بخصوص إتاحة تجربة عملاء خالية من العيوب وتوافر الخدمات بشكل مستمر، والحماية الفعالة للبيانات الحساسة. وتُعد أصول المعلومات والخدمات المالية عبر الإنترنت الآن ذات أهمية بالغة لجميع المؤسسات العامة والخاصة والمجتمع الأوسع نطاقاً. حيث إن هذه الخدمات أساسية للاقتصاد العالمي والوطني، وحيوية للابتكار الرقمي ومهمة للأمن القومي الأوسع. وتؤكد هذه الأهمية على ضرورة حماية البيانات الحساسة والمعاملات وتوافر الخدمات وبالتالي ضمان الثقة في القطاع المالي السعودي.
ولم تشهد العديد من الصناعات مثل هذه الزيادة الكبيرة في الابتكار مثل التقنية المالية. وعلى مدار العقد الماضي، كانت هناك زيادة في عدد المنتجات والخدمات التي وصلت إلى السوق خلال العقد الماضي والتي تقدم بالفعل فوائد كبيرة للمستهلكين والمؤسسات المالية. ومع ذلك، فإن الاستخدام المتزايد للتقنيات الناشئة يجلب معه أيضًا مخاطر المرونة السيبرانية والتي قد تؤثر على الاستقرار المالي لمنظومة القطاع المالي.
في نوفمبر 2019، وضع البنك المركزي الإطار التنظيمي للبيئة التجريبية التشريعية من أجل فهم وتقييم تأثير التقنيات الجديدة في سوق الخدمات المالية في المملكة العربية السعودية، وكذلك للمساعدة في تحويل السوق السعودية إلى مركز مالي ذكي. حيث صمم البنك المركزي بيئة تجريبية تشريعية ترحب بالشركات المحلية والدولية الراغبة في اختبار حلول رقمية جديدة في بيئة "حية" بهدف نشرها في المملكة العربية السعودية في المستقبل.
وضع البنك المركزي المتطلبات الأساسية للصمود السيبراني (يشار إليها هنا باسم "المتطلبات الأساسية")، وهي مخصصة تحديدًا للكيانات التي تم تأسيسها حديثاً والتي لا تزال في المراحل الأولى من عملياتها في القطاع المالي في المملكة العربية السعودية.

1.1 الهدف
نظرًا للقيود المفروضة على الموارد التي تواجهها هذه الأنواع من الكيانات في كثير من الأحيان، يتمثل الهدف من المتطلبات الأساسية في مساعدة الكيانات فيما يلي:
- إدارة وتخفيف مجموعة كبيرة من مخاطر الأمن السيبراني والمرونة ذات الصلة بالقطاع المالي في المملكة العربية السعودية؛
- تركيز الموارد على مجموعة أساسية من الضوابط التي تهدف إلى توفير الحماية الفعالة لأصول المعلومات.
ولتحقيق هذا الهدف، توفر المتطلبات الأساسية ما يلي:
- مجموعة ذات أولوية من متطلبات التحكم الخاصة بالأمن السيبراني والمرونة؛
- هيكل ومحتوى يتماشى مع الأطر التنظيمية الأخرى الخاصة بالبنك المركزي، مثل الدليل التنظيمي لأمن المعلومات (يُشار إليه هنا بـاسم "الدليل التنظيمي لأمن المعلومات في القطاع المالي") والدليل التنظيمي لإدارة استمرارية الأعمال (يُشار إليه هنا بـاسم "الدليل التنظيمي لإدارة استمرارية الأعمال)"، والتي ستطبق على المؤسسات في المستقبل.

2.1 التطبيق
ينطبق إطار عمل "المتطلبات الأساسية" على الكيانات التي تنوي التأهل للبيئة التجريبية التشريعية الخاصة بالبنك المركزي و/أو الكيانات التي تسعى للحصول على ترخيص للعمل في المملكة العربية السعودية. تُعد "المتطلبات الأساسية" بمثابة حافز لتمكين الكيانات من الامتثال للحد الأدنى من متطلبات البنك المركزي المعنية بالمرونة السيبرانية. لا يجب التعامل مع "المتطلبات الأساسية" على أنها بديل عن أطر العمل التنظيمية الخاصة بالبنك المركزي فيما يخص الدليل التنظيمي لأمن المعلومات في القطاع المالي والدليل التنظيمي لإدارة استمرارية الأعمال حيث يتعين على الكيانات الامتثال للمتطلبات التنظيمية الأخرى الخاصة بالبنك المركزي بعد قرار الترخيص. إضافة إلى ذلك، ويجب أن يُقرأ هذا الإطار أيضاً بالإقتران مع المتطلبات المنصوص عليها في الإطار التنظيمي للبيئة التجريبية التشريعية الخاص بالبنك المركزي.

3.1 المسؤوليات
اعتمد البنك المركزي إطار العمل المذكور. البنك المركزي هو الجهة المالكة لهذا الإطار والجهة المسؤولة كذلك عن تحديثه بصفة دورية.

4.1 الامتثال
في حالة عدم قدرة الكيان على إثبات امتثاله للمتطلبات الأساسية، يحتفظ البنك المركزي بالحق في حظر طلب الخروج من البيئة التجريبية/التراخيص من صندوق الحماية من المخاطر للكيان.

5.1 التفسير
يكون البنك المركزي، بصفته الجهة المالكة للمتطلبات الأساسية، مسؤول وحده عن تقديم تفسيرات للمبادئ ومتطلبات الرقابة، إذا لزم الأمر.

6.1 الجمهور المستهدف
إن المتطلبات الأساسية مخصصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات ورؤساء الأمن السيبراني والمسؤولين عن تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني والمرونة داخل الكيانات.

7.1 المراجعة والتحديثات والمحافظة
سيقوم البنك المركزي بمراجعة المتطلبات الأساسية بشكل دوري لتقييم مدى انطباقها على سياق القطاع المالي في المملكة العربية السعودية والكيانات المقصودة. وإذا لزم الأمر، سيقوم البنك المركزي بتحديث المتطلبات الأساسية بناءً على نتائج المراجعة.
سيقوم البنك المركزي بتنفيذ ضبط الإصدارات للحفاظ على المتطلبات الأساسية. وعند إجراء أي تغييرات، يقوم البنك المركزي بإلغاء الإصدار السابق وإصدار الإصدار الجديد وإبلاغ جميع الكيانات به. ولتسهيل الأمر على الكيانات، سيشير البنك المركزي بوضوح إلى أي تغييرات في المتطلبات الأساسية المعدلة.

8.1 دليل القراءة
يتم تنظيم المتطلبات الأساسية على النحو التالي:
- يشرح الفصل الثاني هيكل المتطلبات الأساسية ويقدم إرشادات حول كيفية تطبيق المتطلبات الأساسية؛ و
- يعرض الفصل الثالث مجالات الأمن السيبراني والمرونة بما في ذلك متطلبات التحكم.

2 هيكل المتطلبات الأساسية والمميزات

2.1 الهيكل

تتمحور المتطلبات الأساسية حول أربعة مجالات تشمل ما يلي:

تم ترقيم متطلبات التحكم ترقيمًا فريدًا في جميع أنحاء المتطلبات الأساسية. يتم ترقيم متطلبات التحكم وفق نظام الترقيم التالي:

الشكل 1. نظام ترقيم متطلبات التحكم

يوضح الشكل أدناه الهيكل العام للمتطلبات الأساسية ويشير إلى مجالات الأمن السيبراني والمرونة:

المتطلبات الأساسية للصمود السيبراني
قيادة وحوكمة الأمن السيبراني	عمليات تقنية الأمن السيبراني
	المرونة

الشكل 3. مجالات المتطلبات الأساسية

2.2 النهج القائم على المخاطر
تستند المجالات ومتطلبات الرقابة المدرجة في المتطلبات الأساسية إلى المخاطر وتهدف إلى تزويد المشاركين بالتوجيهات الأساسية حول كيفية التخفيف من المخاطر الأكثر شيوعًا التي يواجهونها، دون وضع أعباء لا داعي لها قد يعوق الابتكار ونمو الأعمال.
ومن هذا المنظور، فإن المتطلبات الأساسية تحدد المتطلبات الإلزامية الضرورية للأمن السيبراني والمرونة بالنسبة للكيانات التي تقع ضمن نطاق التطبيق. إضافة إلى ذلك، يتوقع البنك المركزي من الكيانات إجراء تقييمات داخلية للمخاطر الخاصة بها لمراقبة تطور مشهد التهديدات الأمنية والمرونة السيبرانية، وتحديد المخاطر الجديدة والمتطورة، وتقييم الأثر المحتمل لهذه المخاطر، وتنفيذ متطلبات إضافية أو معززة لضوابط الأمن والمرونة تتجاوز المتطلبات الأساسية للتخفيف من هذه المخاطر بما يتماشى مع رغبة الكيانات في مواجهتها.

3.2 التقييم الذاتي للكيانات والتدقيق من جانب البنك المركزي
سيخضع تنفيذ المتطلبات الأساسية لدى المشاركين للتقييم الذاتي الدوري. وسيتم إجراء التقييم الذاتي من قبل الجهات بناءً على استبيان. وسوف ترسل الكيانات نسخة من تقييمها الذاتي إلى البنك المركزي، ويحتفظ البنك المركزي بالحق في مراجعة التقييم الذاتي لإثبات الامتثال للمتطلبات الأساسية حسب تقديره. كما يحتفظ البنك المركزي بالحق في مراجعة مدى الالتزام بالمتطلبات الأساسية من جانب الكيانات في أي وقت.

3 متطلبات التحكم

1.3 قيادة وحوكمة الأمن السيبراني

معرّف التحكم	وصف متطلبات التحكم
1.1.3.	يجب على الكيانات وضع هيكلاً قويًا لحوكمة الأمن السيبراني مدعومًا بالموارد المناسبة للإشراف على النهج العام للأمن السيبراني والتحكم فيه.
2.1.3	يجب على الكيانات تحديد سياسات وإجراءات الأمن السيبراني واعتمادها وتنفيذها والإبلاغ بها مدعومة بمعايير أمنية مفصلة (مثل معيار كلمة المرور ومعيار جدار الحماية).
3.1.3.	يجب على الكيانات مراجعة سياسات وإجراءات ومعايير الأمن السيبراني وتحديثها بشكل دوري مع الأخذ بعين الاعتبار تطور مشهد التهديدات السيبرانية.
4.1.3	يجب على الكيانات أن تدمج متطلبات الأمن السيبراني في نموذج تشغيل أعمالها الجديد و/أو الحالي، بما في ذلك على الأقل:
		أ.	تقييم مخاطر الأمن السيبراني والاحتيال التي يمكن أن تستهدف نموذج تشغيل الأعمال التجارية؛ و
		ب.	اعتماد وتقييم تدابير الأمن السيبراني للحماية من الهجمات العدائية (مثل سرقة النماذج والمدخلات الخبيثة وهجمات التسمم).
5.1.3	يجب على الكيانات وضع وتنفيذ سياسة قوية لكلمات المرور الخاصة بوصول المستخدمين إلى أصول المعلومات الخاصة بها، مثل:
		أ.	تغيير كلمة المرور عند تسجيل الدخول لأول مرة، والحد الأدنى لطول كلمة المرور وتاريخها وتعقيد كلمة المرور؛
		ب.	إلغاء الوصول بعد ثلاث كلمات مرور غير صحيحة متتالية؛ و
		ج.	استخدام تقنيات عدم التخزين المؤقت.
6.1.3	يجب على الكيانات تنفيذ تقييمات شاملة لمخاطر تقنية المعلومات والأمن السيبراني تغطي (البنية التحتية والشبكة والتطبيقات والأنظمة) والضوابط المنفذة لمعالجة المخاطر المحددة. ويجب توثيق المخاطر المحددة في سجل مركزي ومراقبتها ومراجعتها بشكل دوري.
راجع إطار (أطر) عمل البنك المركزي الأخرى
الدليل التنظيمي لأمن المعلومات في القطاع المالي
- 1.1.3 حوكمة الأمن السيبراني
- 3.1.3 سياسة الأمن السيبراني
- 1.2.3 إدارة مخاطر الأمن السيبراني

2.3 عمليات وتقنية الأمن السيبراني

معرّف التحكم	وصف متطلبات التحكم
1.2.3	يجب على الكيانات وضع عملية إدارة الهوية والوصول لتنظيم عمليات الوصول المنطقي إلى أصول المعلومات وفقاً لمبادئ الحاجة إلى امتلاكها والحاجة إلى معرفتها.
2.2.3	يجب على الكيانات إنشاء عملية إدارة التغيير لضمان تصنيف التغييرات التي يتم إدخالها على أصول معلومات الكيانات واختبارها والموافقة عليها قبل نشرها في بيئات الإنتاج. ويجب أن تتضمن عملية إدارة التغيير أيضًا متطلبات الأمن السيبراني للتحكم في التغييرات في أصول المعلومات.
3.2.3.	يجب على الكيانات إنشاء بنية شبكة آمنة والحفاظ عليها مع مراعاة ما يلي:
		أ.	تجزئة الشبكات، وفقًا لوظائف الخدمات واعتماد نظم أمن الشبكات (مثل جدران الحماية) للتحكم في حركة مرور الشبكة بين الأجزاء؛
		ب.	التوفر.
4.2.3	يجب على الجهات اعتماد خوارزميات تشفير آمنة وقوية والتأكد من تشفير اتصالات التطبيق والخادم باستخدام بروتوكولات آمنة.
5.2.3	يجب على الكيانات إجراء تقييم دوري شامل للثغرات الأمنية يغطي كلاً من التطبيقات والبنية التحتية في البيئة التقنية للكيانات.
6.2.3	يجب على الجهات إجراء اختبار الاختراق مرتين سنويًا كحد أدنى أو بعد تغيير رئيسي/ حَرج لإجراء تقييم شامل لقدراتها الدفاعية في مجال الأمن السيبراني.
7.2.3	يجب على الكيانات التأكد من اختبار حزم التحديثات والإصلاحات المحدثة وذات الصلة وتطبيقها وتثبيتها في الوقت المناسب لتجنب الاختراقات الأمنية بسبب الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية.
8.2.3	إضافة إلى دورة حياة تطوير النظام الآمنة (يشار إليها هنا باسم "دورة حياة تطوير النظام الآمنة")، على الكيانات العملية تطبيق تقنيات الحماية (مثل على سبيل المثال لا الحصر تشويش الكود البرمجي وتشفير الصندوق الأبيض ومكافحة التلاعب) في تصميم التطبيق.
9.2.3	يجب على الكيانات تنفيذ ضوابط فعالة لحماية العلامة التجارية للكشف عن الهجمات المستهدفة والدفاع عنها من خلال المراقبة المستمرة للخدمات عبر الإنترنت مثل التطبيقات وحسابات وسائل التواصل الاجتماعي والمواقع الإلكترونية وإزالة الأنشطة الضارة بشكل استباقي.
10.2.3	يجب على الكيانات التأكد من تأمين نقاط النهاية (الشخصية، إذا كان مسموحًا بها، والخاصة بالشركات) من خلال تنفيذ الحد الأدنى من متطلبات الأمن السيبراني مثل ما يلي، على سبيل المثال لا الحصر:
		أ.	الحماية في الوقت الفعلي لنقاط النهاية (مثل مكافحة الفيروسات والبرامج الضارة)؛
		ب.	تنفيذ الحلول القائمة على السلوك و/أو الحلول القائمة على التوقيع؛
		ج.	التأكد من تحديث التوقيعات الخاصة بمكافحة البرامج الضارة ومن فحص الأنظمة بانتظام بحثًا عن الملفات الضارة أو الأنشطة الشاذة؛ و
		د.	في حالة الأجهزة المحمولة:
			1.	فصل بيانات الكيانات وتشفيرها؛ و
			2.	المسح الآمن لبيانات الكيانات المخزنة في حالات فقدان الجهاز أو سرقته أو إيقاف تشغيله بما يتماشى مع عملية التخلص الآمن من أصول المعلومات.
11.2.3	يجب على الكيانات إنشاء وتنفيذ عملية لجمع السجلات الأمنية ومعالجتها ومراجعتها والاحتفاظ بها لتسهيل المراقبة الأمنية المستمرة. ويجب أن توفر هذه السجلات تفاصيل كافية ويجب الاحتفاظ بها بشكل آمن لمدة سنة واحدة كحد أدنى.
12.2.3	يجب على الكيانات التأكد من تكامل التطبيقات ومكونات البنية التحتية مع حل إدارة المعلومات الأمنية والأحداث.
13.2.3	يجب على الكيانات ضمان المراقبة الأمنية المستمرة وتحليل أحداث الأمن السيبراني للكشف عن حوادث الأمن السيبراني والاستجابة لها على الفور.
14.2.3	يجب على الكيانات وضع عملية إدارة حوادث الأمن السيبراني لتحديد حوادث الأمن السيبراني التي تؤثر على أصول معلومات الكيانات والاستجابة لها واحتوائها في الوقت المناسب.
15.2.3	يجب على الكيانات تنفيذ تكوينات انتهاء مدة لجلسة بإطار زمني معقول؛ ويجب ألا تتجاوز الجلسات غير النشطة 5 دقائق للتطبيقات والبنية التحتية الأساسية.
16.2.3	يجب على الكيانات إبلاغ البنك المركزي عبر البريد الإلكتروني (F.S.Cybersecurity@SAMA.GOV.SA) على الفور في حالة وقوع وتحديد أي من الحوادث التالية المصنفة على أنها متوسطة أو أعلى من ذلك:
		أ.	الأمن السيبراني؛
		ب.	الاحتيال؛
		ج.	جميع الأحداث الفوضوية.
راجع إطار (أطر) عمل البنك المركزي الأخرى
الدليل التنظيمي لأمن المعلومات في القطاع المالي
- 5.3.3 إدارة الهوية والوصول - 6.3.3 أمن التطبيقات - 7.3.3 إدارة التغيير			- 8.3.3 أمن البنية التحتية - 9.3.3 التشفير - 13.3.3 الخدمات المصرفية الإلكترونية		- 3.3.14 إدارة أحداث الأمن السيبراني - 15.3.3 إدارة حوادث الأمن السيبراني - 17.3.3 إدارة الثغرات الأمنية

3.3 المرونة

معرّف التحكم	وصف متطلبات التحكم
1.3.3	يجب أن يتم تحديد خطة استمرارية الأعمال (BCP)وخطة التعافي من الكوارث(DRP) والموافقة عليها والإبلاغ بها وتنفيذها ومراجعتها بشكل دوري لتمكين الكيانات من الاستمرار في تقديم خدماتها الحيوية بمستوى مقبول ومحدد مسبقًا.
3.3.2.	يجب على الكيانات تحديد متطلبات النسخ الاحتياطي والاستعادة الخاصة بها مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
		أ.	المتطلبات القانونية والتنظيمية؛
		ب.	البيانات الحرجة وبيانات العملاء؛
		ج.	متطلبات العمل؛
		د.	الجدول الزمني للنسخ الاحتياطي (يوميًا، أسبوعيًا، شهريًا، إلخ)؛
		هـ.	حماية البيانات السرية المخزنة في الوسائط الاحتياطية من خلال تطبيق تقنيات التشفير؛
		و.	تخزين وسائط النسخ الاحتياطي دون الاتصال بالإنترنت أو في موقع خارج الموقع؛ و
		ز.	التدمير الآمن للبيانات الاحتياطية.
		ح.	اختبارات الاستعادة.
راجع إطار (أطر) عمل البنك المركزي الأخرى
إطار عمل إدارة استمرارية الأعمال
- 5.2 خطة استمرارية الأعمال - 2.6 خطة التعافي من كوارث تقنية المعلومات (DRP) - 7.2 المرونة السيبرانية

4 الملاحق

الملحق أ: قائمة المصطلحات

المدة	الوصف
إدارة الوصول	إدارة الوصول تُعرف على أنها عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول من جانب المستخدمين غير المصرح لهم.
التدقيق	المراجعة والفحص المستقل للسجلات والأنشطة لتقييم مدى كفاية ضوابط النظام، لضمان الامتثال للسياسات والإجراءات التشغيلية المعمول بها. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
التوفر	ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق. المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية
النسخة الاحتياطية	الملفات والأجهزة والبيانات والإجراءات المتاحة للاستخدام في حالة الفشل أو الفقدان، أو في حالة حذف أو تعليق نسخها الأصلية.
استمرارية الأعمال	قدرة المؤسسة على مواصلة تقديم خدمات تقنية المعلومات والأعمال بمستويات مقبولة محددة مسبقًا بعد وقوع حادث تخريبي. المصدر: ISO 22301:2012 الأمن المجتمعي - أنظمة إدارة استمرارية الأعمال
إدارة استمرارية الأعمال	عملية الإدارة الشاملة التي تحدد التهديدات المحتملة للمؤسسة والتأثيرات التي قد تسببها تلك التهديدات على العمليات التجارية، في حال تحققها، والتي توفر المتطلبات الأساسية لبناء الصمود المؤسسي مع القدرة على الاستجابة الفعالة التي تحمي مصالح أصحاب المصلحة الرئيسيين وسمعتها وعلامتها التجارية وأنشطتها التي تخلق القيمة. المصدر: ISO 22301:2012 – أنظمة إدارة استمرارية الأعمال – المتطلبات
إدارة التغيير	التحديد والتنفيذ المحكم للتغييرات المطلوبة داخل الأعمال أو نظم المعلومات.
التشفير	مجال يشتمل على مبادئ ووسائل وأساليب تحويل البيانات من أجل إخفاء محتواها الدلالي أو منع الاستخدام غير المصرح به أو اكتشاف التعديل عليها. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
المخاطر السيبرانية	خطر الخسارة المالية أو التعطل التشغيلي أو الضرر الناتج عن فشل التقنيات الرقمية المستخدمة للوظائف المعلوماتية و/أو التشغيلية والتي يتم إدخالها إلى نظام التصنيع عبر وسائل إلكترونية نتيجة الوصول غير المصرح به أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو التدمير لنظام التصنيع. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية.
الأمن السيبراني	يُعرّف الأمن السيبراني بأنه مجموعة من الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب والممارسات الفضلى والضمانات والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسات من التهديدات الداخلية والخارجية.
حدث الأمن السيبراني	أي حدث يمكن ملاحظته في نظام أو شبكة معلومات يؤدي أو قد يؤدي إلى وصول غير مصرح به أو معالجة أو إفساد أو تعديل أو نقل أو إفشاء للبيانات و/أو المعلومات أو (ب) انتهاك لسياسة أمنية صريحة أو مطبقة للمؤسسة.
حوكمة الأمن السيبراني	مجموعة من المسؤوليات والممارسات التي يمارسها مجلس الإدارة بهدف توفير التوجيه الاستراتيجي للأمن السيبراني، وضمان تحقيق أهداف الأمن السيبراني، والتأكد من إدارة المخاطر السيبرانية بشكل مناسب والتحقق من استخدام موارد المؤسسة بشكل مسؤول.
حادث الأمن السيبراني	أي حدث (1) يعرض للخطر الفعلي أو الوشيك سلامة أو سرية أو توافر المعلومات أو نظام المعلومات للخطر دون سلطة قانونية؛ أو (2) يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك القانون أو السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
إدارة حوادث الأمن السيبراني	رصد واكتشاف الأحداث الأمنية على نظام المعلومات وتنفيذ الاستجابات المناسبة لتلك الأحداث.
سياسة الأمن السيبراني	مجموعة من القواعد التي تحكم جميع جوانب سلوك النظام وعناصر النظام ذات الصلة بالأمان. ملاحظة 1: تشمل عناصر النظام العناصر التقنية والآلية والبشرية. ملاحظة 2: يمكن ذكر القواعد على مستويات عالية جدًا (على سبيل المثال، سياسة مؤسسية تحدد السلوك المقبول للموظفين في أداء مهامهم/وظائف العمل) أو على مستويات منخفضة جدًا (على سبيل المثال، سياسة نظام التشغيل التي تحدد السلوك المقبول للعمليات التنفيذية واستخدام الموارد من قبل تلك العمليات) المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية
تقييم مخاطر الأمن السيبراني	عملية تحديد المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة والوظائف والصورة والسمعة) والأصول المؤسسية والأفراد والمؤسسات الأخرى والأمة، الناتجة عن تشغيل نظام المعلومات. ويتضمن جزء من إدارة المخاطر تحليلات للتهديدات والثغرات الأمنية، ويأخذ في الاعتبار وسائل التخفيف التي توفرها الضوابط الأمنية المخطط لها أو الموجودة بالفعل المصدر: NISTIR 7298r3 قائمةمصطلحات أمن المعلومات الأساسية
إدارة مخاطر الأمن السيبراني	عملية إدارة المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد الناتجة عن تشغيل نظام المعلومات، وتشمل: (1) إجراء تقييم المخاطر؛ (2) تطبيق استراتيجية تخفيف المخاطر؛ و (3) استخدام التقنيات والإجراءات للمراقبة المستمرة للحالة الأمنية لنظام المعلومات. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
استراتيجية الأمن السيبراني	خطة رفيعة المستوى، تتألف من مشاريع ومبادرات للتخفيف من مخاطر الأمن السيبراني مع الامتثال للمتطلبات القانونية والتشريعية والتعاقدية والداخلية المقررة.
تهديد الأمن السيبراني	أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
خطة التعافي من الكوارث	البرامج والأنشطة والخطط المصممة لاستعادة وظائف وخدمات الأعمال الحيوية للمؤسسات إلى وضع مقبول، بعد التعرض للحوادث السيبرانية وحوادث تقنية المعلومات أو تعطل هذه الخدمات.
رئيس الأمن السيبراني	يمكن أن يشير رئيس الأمن السيبراني إلى رئيس أمن المعلومات أو الرئيس التنفيذي لأمن المعلومات أو أي لقب آخر يُطلق على المدير الأعلى المسؤول عن وظيفة وعمليات الأمن السيبراني.
خطة بديلة	إجراءات وتدابير العمل، التي يتم اتخاذها عندما تؤدي الأحداث إلى تنفيذ خطة استمرارية الأعمال أو خطة الطوارئ.
موثقة رسميا	الوثائق التي يتم كتابتها والموافقة عليها من قبل القيادة العليا ونشرها على الأطراف المعنية.
إدارة الهوية	عملية التحكم في المعلومات المتعلقة بالمستخدمين على أجهزة الكمبيوتر، بما في ذلك كيفية مصادقتهم والأنظمة المصرح لهم بالوصول إليها و/أو الإجراءات المصرح لهم بتنفيذها. كما تتضمن أيضًا إدارة المعلومات الوصفية عن المستخدم وكيفية الوصول إلى تلك المعلومات وتعديلها ومن قبل الذين يمكنهم الوصول إليها وتعديلها. وتتضمن المؤسسات المدارة عادةً المستخدمين وموارد الأجهزة والشبكة وحتى التطبيقات.
خطة التعافي من الكوارث	يعد التعافي من الكوارث جزءًا من إدارة استمرارية الأعمال التي تشمل السياسات والمعايير والإجراءات والعمليات المتعلقة بمرونة أو تعافي أو استمرار البنية التحتية التقنية التي تدعم عمليات الأعمال الحيوية.
تغيير كبير	أي تغيير في تكوين النظام أو البيئة أو محتوى المعلومات أو الوظيفة أو المستخدمين الذين لديه القدرة على تغيير المخاطر المفروضة على عملياته المستمرة. المصدر: NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الأساسية يتم أيضًا تضمين التغييرات الحيوية في مفهوم التغييرات الكبيرة.
البرمجيات الخبيثة	البرمجيات أو البرامج الثابتة التي تهدف إلى تنفيذ عملية غير مصرح بها من شأنها أن تؤثر سلباً على سرية نظام المعلومات أو سلامته أو توافره. فيروس أو فيروس متنقل أو حصان طروادة أو أي كيان آخر قائم على التعليمات البرمجية يصيب المضيف. تعد برامج التجسس وبعض أشكال برامج الإعلانات المتسللة أيضًا أمثلة على التعليمات البرمجية الضارة. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
اختبار الاختراق	منهجية اختبار يحاول فيها المقيّمون، باستخدام جميع الوثائق المتاحة (على سبيل المثال، تصميم النظام، التعليمات البرمجية المصدرية، الكتيبات الإرشادية) والعمل تحت قيود محددة، التحايل على ميزات الأمان في نظام المعلومات. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
دوريا	بهذا المصطلح، لا ينوي البنك المركزي تحديد فترة زمنية افتراضية. وتتحمل كل جهة مسؤولية تحديد هذه الفترة بناءً على نهجها القائم على المخاطر. ويمكن ترجمة نفس المصطلح المعتمد في متطلبات التحكم المختلفة إلى فترات زمنية مختلفة بواسطة المؤسسة المالية.
التعافي	إجراء أو عملية لاستعادة أو التحكم في شيء تم تعليقه أو تلفه أو سرقته أو فقده.
المرونة	القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة.
المخاطرة	مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
سجل المخاطر	سجل المخاطر جدول يُستخدم كمستودع لجميع المخاطر التي تم تحديدها ويتضمن معلومات إضافية حول كل خطر، مثل فئة المخاطر، ومالك المخاطر، وإجراءات التخفيف المتخذة.
تقنية التدريع	التدريع" عملية تشويش على التعليمات البرمجية الثنائية للتطبيق، مما يجعل من الصعب على المخترقين أن يقوموا بهندسة عكسية.
إستراتيجية	راجع "استراتيجية الأمن السيبراني".
إدارة المعلومات الأمنية والأحداث	أداة إدارة المعلومات الأمنية والأحداث تطبيق يوفر القدرة على جمع بيانات الأمان من مكونات نظام المعلومات وتقديم تلك البيانات كمعلومات قابلة للتنفيذ عبر واجهة واحدة. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
دورة حياة تطوير النظام	تصف دورة حياة تطوير النظام نطاق الأنشطة المرتبطة بالنظام، والتي تشمل بدء النظام وتطويره واقتناءه وتنفيذه وتشغيله وصيانته، وفي النهاية التخلص منه مما يؤدي إلى بدء نظام آخر. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
تهديد	راجع "تهديد الأمن السيبراني".
مشهد التهديد	مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. المصدر: ENISA
الثغرة الأمنية	نقطة الضعف في نظام المعلومات أو إجراءات أمن النظام أو الضوابط الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها من قبل مصدر تهديد. المصدر: NISTIR 7298r3 قائمة مصطلحات أمن المعلومات الأساسية
إدارة الثغرات الأمنية	إدارة الثغرات الأمنية ممارسة دورية لتحديد الثغرات الأمنية وتصنيفها ومعالجتها والتخفيف من آثارها. راجع أيضًا "الثغرات الأمنية".

الدليل التنظيمي لأمن المعلومات في القطاع المالي
الرقم: 381000091275 التاريخ (م): 2017/5/24 | التاريخ (هـ): 1438/8/28 الحالة:نافذ
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
تمهيد
في ظل التصاعد غير المسبوق للهجمات السيبرانية، أدركنا ضرورة استباق حدوث هذه الهجمات. ويتمثل الهدف من إصدار الدليل التنظيمي لأمن المعلومات ("الدليل التنظيمي") في دعم المؤسسات الخاضعة لرقابتنا في جهودها التي تبذلها لوضع دليل مناسب لحوكمة الأمن السيبراني وإنشاء بنية تحتية قوية مع وضع الضوابط اللازمة لكشف هذه الهجمات والوقاية منها. ويشتمل الدليل التنظيمي الماثل على الضوابط المناسبة ويتيح توجيهات لطريقة تقييم مستوى النضج.
ويمثل اعتماد الدليل التنظيمي وتنفيذه إحدى الخطوات الهامة التي تضمن قدرة القطاع المصرفي بالمملكة العربية السعودية، وقطاعات شركات التأمين والتمويل على التصدي للهجمات السيرانية ومنع حدوثها. وعند تصميم الدليل التنظيمي، أخذنا في الاعتبار الطرق التي تستفيد بها المؤسسات الخاضعة لرقابتنا من التقنية وشعورنا أن كل مؤسسة ستكون قادرةً على تبني نهج مشترك لمعالجة الأمن السيبراني. وسوف يضمن الدليل التنظيمي الماثل إدارة مخاطر الأمن السيبراني على النحو الصحيح في جميع القطاعات.
ولتحقيق الهدف سالف الذكر، فمن الضروري توفير الدعم الكامل والإشراف من مجلس الإدارة والإدارة العليا لتنفيذ الدليل التنظيمي.
وسوف يساعدكم الفريق المعني بمخاطر تقنية المعلومات التابع لإدارة الرقابة في الحصول على أي توضيحات في هذا الشأن، وسوف نظل ملتزمين بتقديم التوجيهات للجهات الخاضعة لرقابتنا لإنشاء بيئة سيبرانية آمنة.

1 المقدمة

1.1 مقدمة للدليل التنظيمي
ترتفع توقعات المجتمع الرقمي في الوقت الراهن بخصوص إتاحة تجربة عملاء خالية من العيوب واستمرار توفر الخدمات، والحماية الفعالة للبيانات الحساسة. وأصبحت أصول المعلومات والخدمات المتاحة على الإنترنت حاليا تحظى بأهمية استراتيجية لدى جميع المؤسسات العامة والخاصة، ولدى المجتمع على نطاق أوسع. كما تؤدي هذه الخدمات دورا هامًا في إنشاء اقتصاد رقمي نابض بالحياة. وأصبحت تلك الخدمات ذات أهمية نظامية للاقتصاد والأمن القومي على نطاق أوسع. وكل ذلك يؤكد الحاجة إلى حماية البيانات والمعاملات الحساسة، بما يضمن الثقة في القطاع المالي السعودي بشكل عام.
تزداد المخاطر عندما يتعلق الأمر بسرية أصول المعلومات وسلامتها وتوافرها، وعند تطبيق خدمات جديدة عبر الإنترنت وتطورات جديدة (مثل التقنية المالية، وسلسلة الكتل)؛ على الرغم من تحسين القدرة على مواجهة التهديدات السيبرانية. ولا يتزايد الاعتماد على هذه الخدمات فحسب، بل إن مشهد التهديدات سريع التغير. ويدرك القطاع المالي الوتيرة الذي تتطور بها تلك التهديدات والمخاطر السيبرانية، فضلاً عن تغير مشهد التقنية والأعمال.
من هنا وضع البنك المركزي الدليل التنظيمي لأمن المعلومات ("الدليل التنظيمي") لتمكين المؤسسات المالية الخاضعة لرقابة البنك المركزي ("المنظمات الأعضاء") من تحديد المخاطر المتعلقة بالأمن السيبراني ومعالجتها بشكل فعال. وللحفاظ على حماية أصول المعلومات والخدمات المتاحة على الإنترنت، يجب على المؤسسات المالية اعتماد الدليل التنظيمي.
يتمثل الهدف من الدليل التنظيمي في الآتي:
1. إنشاء نهج مشترك لمعالجة الأمن السيبراني داخل المؤسسات المالية.
2. تحقيق مستوى مناسب من النضج لضوابط الأمن السيبراني داخل المؤسسات المالية.
3. ضمان إدارة مخاطر الأمن السيبراني على نحو صحيح في جميع المؤسسات المالية.
وسوف يُستخدم الدليل التنظيمي لتقييم مستوى النضج بشكل دوري وتقييم فعالية ضوابط الأمن السيبراني في المؤسسات المالية، ومقارنتها مع المؤسسات المالية الأخرى.
ويعتمد الدليل التنظيمي على متطلبات البنك المركزي ومعايير الأمن السيبراني الصناعية، مثل (PCI, BASEL, ISO, ISF, NIST).
ويحل الدليل التنظيمي الماثل محل كافة التعاميم السابقة الصادرة عن البنك المركزي فيما يتعلق بالأمن السيبراني. يرجى الرجوع إلى "الملحق أ - نظرة عامة على تعميمات البنك المركزي الصادرة سابقًا" للحصول على مزيد من التفاصيل.

2.1 تعريف الأمن السيبراني
يعرَّف الأمن السيبراني على أنه مجموعة من الأدوات، والسياسات، والمفاهيم الأمنية، وتدابير الوقاية الأمنية، والمبادئ التوجيهية، وأساليب إدارة المخاطر، والإجراءات، والتدريبات، وأفضل الممارسات والضمانات، والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسات الماليةضد التهديدات الداخلية والخارجية.
تشمل الأهداف الأمنية العامة ما يلي:
- السرية - لا يمكن الوصول إلى أصول المعلومات إلا للمصرح لهم بالوصول إليها (أي أنها محمية من الإفصاح غير المصرح به أو التسريب المقصود (غير المقصود) للبيانات الحساسة).
- النزاهة - أصول المعلومات دقيقة وكاملة ومعالجة بنحو صحيح (أي محمية من التعديل غير المصرح به، وقد تشمل صحة المعلومات وعدم القدرة على إنكارها).
- التوفر - تتميز أصول المعلومات بأنها مرنة ويمكن الوصول إليها عند الحاجة (أي محمية من الخلل غير المصرح به).

3.1 النطاق
يحدد الدليل التنظيمي المبادئ والأهداف لبدء وتنفيذ وصون ومراقبة وتحسين ضوابط الأمن السيبراني في المؤسسات المالية.
يوفر الدليل التنظيمي ضوابط الأمن السيبراني التي تنطبق على أصول المعلومات الخاصة بالمؤسسات المالية، بما في ذلك:
- المعلومات الإلكترونية.
- المعلومات المادية (نسخ ورقية).
- التطبيقات والبرمجيات والخدمات الإلكترونية وقواعد البيانات.
- أجهزة الكمبيوتر والأجهزة الإلكترونية (مثل أجهزة الصراف الآلي).
- أجهزة تخزين المعلومات (على سبيل المثال، القرص الصلب، وجهاز تخزين USB).
- المباني والمعدات وشبكات الاتصالات (البنية التحتية التقنية).
يوفر الدليل التنظيمي توجيهات بشأن متطلبات الأمن السيبراني للمؤسسات المالية وفروعها وموظفيها وأطرافها الخارجية وعملائها.
للإطلاع على المتطلبات المتعلقة باستمرارية الأعمال، يرجى الرجوع إلى الحد الأدنى لمتطلبات البنك المركزي المعنية باستمرارية الأعمال.
ويرتبط الدليل التنظيمي بعلاقة متشابكة مع سياسات الشركات الأخرى في المجالات ذات الصلة، مثل الأمن المادي وإدارة الاحتيال. ولا يتناول الدليل التنظيمي الماثل متطلبات الأمن غير السيبراني لتلك المجالات.

4.1 نطاق التطبيق
ينطبق الدليل التنظيمي على جميع المؤسسات المالية الخاضعة لرقابة البنك المركزي، والتي تشمل ما يلي:
- جميع البنوك العاملة في المملكة العربية السعودية؛
- جميع شركات التأمين و/أو إعادة التأمين العاملة في المملكة العربية السعودية؛
- جميع شركات التمويل العاملة في المملكة العربية السعودية؛
- جميع شركات المعلومات الائتمانية العاملة في المملكة العربية السعودية؛
- البنية التحتية للسوق المالية
تنطبق جميع المجالات على القطاع المصرفي. ومع ذلك، تنطبق الاستثناءات التالية على المؤسسات المالية الأخرى:
- المجال الفرعي (2.1.3) تكون المواءمة مع استراتيجية الأمن السيبراني للقطاع المصرفي إلزامية عند الاقتضاء.
- استبعاد المجال الفرعي (3.2.3). ومع ذلك، إذا قامت المؤسسة بتخزين بيانات حامل البطاقة أو معالجتها أو نقلها أو التعامل مع خدمات السويفت، فيجب تطبيق معيار صناعة بطاقات الدفع (PCI) و/أو إطار عمل ضوابط أمان عميل السويفت.
- استبعاد المجال الفرعي (12.3.3).
- استبعاد المجال الفرعي (13.3.3). ومع ذلك، إذا كانت المؤسسة توفر خدمات عبر الإنترنت للعملاء، فيجب تنفيذ إمكانية المصادقة متعددة العوامل.

5.1 المسؤوليات
اعتمد البنك المركزي الدليل التنظيمي المذكور. البنك المركزي السعودي هو الجهة المالكة لهذا الدليل والجهة المسؤولة كذلك عن تحديثه بصفة دورية.
وتتحمل المؤسسات المالية مسؤولية الالتزام بالدليل التنظيمي وتنفيذه.

6.1 التفسير
يعتبر البنك المركزي، بصفته مالك الدليل التنظيمي، المسؤول وحده عن تقديم تفسيرات للمبادئ والأهداف واعتبارات التحكم، إذا لزم الأمر.

7.1 الجمهور المستهدف
يستهدف الدليل التنظيمي الماثل الإدارة العليا والتنفيذية، ومالكي الأعمال ومالكي أصول المعلومات، ورؤساء أمن المعلومات، وكذلك المسؤولين عن تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني داخل المؤسسات المالية والمشاركين فيها.

8.1 المراجعة والتحديثات والصيانة
وسوف يتولى البنك المركزي مراجعة الدليل التنظيمي وصونه.
سوف يراجع البنك المركزي الدليل التنظيمي بشكل دوري لتحديد مدى فعاليته، بما في ذلك مدى فعالية الدليل التنظيمي في معالجة التهديدات والمخاطر الناشئة في مجال الأمن السيبراني. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث الدليل بناءً على نتائج المراجعة.
وإذا رأت إحدى المؤسسات المالية ضرورة تحديث الدليل التنظيمي، فعلى المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي. وسوف يراجع البنك المركزي التحديث المطلوب، وعند اعتماده، سوف يجري تعديل الدليل التنظيمي.
وسوف تظل المؤسسة المالية مسؤولة عن الالتزام بالدليل التنظيمي ريثما يتم التحديث المطلوب.
يرجى الرجوع إلى "الملحق ب - كيفية طلب تحديث الدليل التنظيمي" للتعرف على إجراء طلب تحديث الدليل التنظيمي.
سيتم تنفيذ مراقبة الإصدار للحفاظ على الدليل. وكلما أُجريت أي تغييرات، سيتم سحب الإصدار السابق وسيتم نشر الإصدار الجديد وتبليغه إلى جميع المؤسسات المالية. ولتسهيل الأمر على المؤسسات المالية، يجب الإشارة بوضوح إلى التغييرات في الدليل التنظيمي.

9.1 دليل القراءة
يتم تقسيم الدليل على النحو التالي. يتناول الفصل الثاني بالتفصيل هيكل الدليل التنظيمي، ويسرد تعليمات حول كيفية تطبيق الدليل التنظيمي. ويعرض الفصل الثالث الدليل التنظيمي الفعلي، بما في ذلك مجالات الأمن السيبراني والمجالات الفرعية والمبادئ والأهداف واعتبارات التحكم.

2 هيكل الدليل التنظيمي ومميزاته

1.2 الهيكل

يتمحور الدليل حول أربعة مجالات رئيسية، وهي:

ويتم تحديد العديد من المجالات الفرعية لكل مجال رئيسي. ويركز المجال الفرعي على موضوع محدد للأمن السيبراني. وينص الدليل التنظيمي على مبدأ وهدف واعتبارات تحكم لكل نطاق فرعي.

يلخص المبدأ المجموعة الرئيسية من ضوابط الأمن السيبراني المطلوبة المتعلقة بالمجال الفرعي.
يصف الهدف الغرض من المبدأ وما يُتوقع أن تحققه مجموعة ضوابط الأمن السيبراني المطلوبة.
تعكس اعتبارات التحكم ضوابط الأمن السيبراني المقررة والتي يجب أخذها في الاعتبار.

تم ترقيم اعتبارات التحكم ترقيمًا فريدًا في الدليل التنظيمي بأكمله. ومتى اقتضى الأمر، يمكن أن يتكون اعتبار التحكم ممّا يصل إلى 4 مستويات.

ويتم ترقيم اعتبارات التحكم وفق نظام الترقيم التالي:

الشكل 1 - نظام ترقيم اعتبارات التحكم

يوضح الشكل الوارد أدناه الهيكل العام للدليل التنظيمي ويشير إلى مجالات الأمن السيبراني ومجالاته الفرعية، بما في ذلك الإشارة إلى القسم الذي تنطبق عليه من الدليل التنظيمي.

الشكل 2 – الدليل التنظيمي لأمن المعلومات

2.2 الدليل التنظيمي القائم على المبادئ
الدليل التنظيمي القائم على المبادئ، ويشار إليه أيضًا بالقائم على المخاطر. وهذا يعني أنه يحدد المبادئ والأهداف الرئيسية للأمن السيبراني التي يتعين على المؤسسة المالية دمجها وتحقيقها. وتسرد قائمة اعتبارات التحكم المقررة توجيهات إضافية ويجب على المؤسسة المالية أن تأخذها في الاعتبار عند تحقيق الأهداف. وعندما يتعذر تصميم أو تنفيذ أحد اعتبارات التحكم، يجب على المؤسسة المالية أن تنظر في تطبيق ضوابط بديلة، ومتابعة قبول المخاطر الداخلية وطلب إعفاء رسمي من البنك المركزي.
برجاء الرجوع إلى الملحق "د" للحصول على تفاصيل إجراء - كيفية طلب الإعفاء من الدليل التنظيمي.

3.2 التقييم الذاتي والمراجعة والتدقيق
سوف يخضع تنفيذ الدليل التنظيمي في المؤسسة المالية لتقييم ذاتي دوري. وسوف تجرِي المؤسسة المالية التقييم الذاتي بناءً على استبيان. وسوف يراجع البنك المركزي التقييمات الذاتية ويدققها لتحديد مستوى الالتزام بالدليل التنظيمي ومستوى نضج الأمن السيبراني للمؤسسة المالية.
يرجى الرجوع إلى "2.4 نموذج نضج الأمن السيبراني" للحصول على مزيد من التفاصيل حول نموذج نضج الأمن السيبراني.

4.2 نموذج نضج الأمن السيبراني

سوف يتم قياس مستوى نضج الأمن السيبراني بمساعدة نموذج نضج الأمن السيبراني المحدد مسبقًا. ويميز نموذج نضج الأمن السيبراني بين 6 مستويات نضج (0 و1 و2 و3 و4 و5)، والتي تم تلخيصها في الجدول أدناه. ومن أجل تحقيق المستويات 3 أو 4 أو 5، يجب على المؤسسة المالية أن تستوفي أولاً جميع معايير مستويات النضج السابقة.

مستوى النضج	التعريف والمعايير	إيضاح
0 غير موجود	لا توجد وثائق. لا يوجد وعي أو اهتمام ببعض ضوابط الأمن السيبراني.	ضوابط الأمن السيبراني ليست مطبقة. قد لا يكون هناك وعي بمجال الخطر المحدد أو لا توجد خطط حالية لتنفيذ ضوابط الأمن السيبراني هذه.
1 مخصصة	ضوابط الأمن السيبراني غير محددة أو محددة تحديدا جزئيًا. يتم تنفيذ ضوابط الأمن السيبراني بطريقة غير متسقة. ضوابط الأمن السيبراني غير محددة تحديدًا كاملا.	يختلف تصميم وتنفيذ ضابط الأمن السيبراني حسب القسم أو المالك. قد يقتصر تصميم ضابط الأمن السيبراني على التخفيف الجزئي من المخاطر المحددة وقد يكون التنفيذ غير متسق.
2 متكررة، ولكن غير رسمية	يعتمد تنفيذ ضابط الأمن السيبراني على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.	توجد ضوابط متكررة للأمن السيبراني مطبقة. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي. هناك اعتبار محدود للمراجعة المُنظمة أو اختبار بعض الضوابط.
3 منظم وذو طابع رسمي	يتم تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها بطريقة منظمة ورسمية. يمكن إثبات تنفيذ ضوابط الأمن السيبراني.	يتم وضع سياسات ومعايير وإجراءات الأمن السيبراني. تتم مراقبة الامتثال لوثائق الأمن السيبراني، أي السياسات والمعايير والإجراءات، ويفضل استخدام أداة الحوكمة والمخاطر والامتثال. يتم تحديد مؤشرات الأداء الرئيسية ومراقبتها والإبلاغ عنها لتقييم التنفيذ.
4 مُدار وقابل للقياس	يتم تقييم فعالية ضوابط الأمن السيبراني بشكل دوري وتحسينها عند الضرورة. يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.	يتم قياس فعالية ضوابط الأمن السيبراني وتقييمها بشكل دوري. يتم استخدام مؤشرات المخاطر الرئيسية والإبلاغ عن الاتجاهات لتحديد مدى فعالية ضوابط الأمن السيبراني. يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط الأمن السيبراني.
5 متكيّف	تخضع ضوابط الأمن السيبراني لخطة التحسين المستمر.	يركز برنامج الأمن السيبراني المتبع في المؤسسة بأكملها على الامتثال المستمر وفعالية ضوابط الأمن السيبراني وتحسينها يتم دمج ضوابط الأمن السيبراني مع إطار وممارسات إدارة المخاطر في المؤسسة. يتم تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات النظراء والقطاعات.

الجدول 1 – نموذج نضج الأمن السيبراني

يتمثل الهدف من الدليل التنظيمي في إنشاء نهج فعال لمعالجة الأمن السيبراني وإدارة مخاطر الأمن السيبراني داخل القطاع المالي. ولتحقيق مستوى مناسب من النضج في مجال الأمن السيبراني، يجب على المؤسسات المالية أن تصل على الأقل إلى مستوى النضج 3 أو إلى مستوى أعلى على النحو الموضح أدناه.

1.4.2 مستوى النضج 3
لتحقيق مستوى النضج 3، يجب على أي من المؤسسات المالية تحديد ضوابط الأمن السيبراني واعتمادها وتنفيذها. إضافة إلى ذلك، يجب على المؤسسة مراقبة الامتثال لوثائق الأمن السيبراني.
ويجب أن تشير وثائق الأمن السيبراني بوضوح إلى "سبب" و"ماهية" و"كيفية" تنفيذ ضوابط الأمن السيبراني. وتتألف وثائق الأمن السيبراني من سياسات الأمن السيبراني ومعايير الأمن السيبراني وإجراءات الأمن السيبراني.

الشكل 3 – الهيكل الهرمي لوثائق الأمن السيبراني
يجب على مجلس إدارة المؤسسة المالية التصديق على سياسة الأمن السيبراني وفرضها مع ذكر "سبب" أهمية الأمن السيبراني للمؤسسة المالية. ويجب أن تركز السياسة على أصول المعلومات التي يجب حمايتها و"ماهية" مبادئ الأمن السيبراني وأهدافه التي يجب تحديدها.
ويجب تطوير معايير الأمن السيبراني استناداً إلى سياسة الأمن السيبراني. وتحدد هذه المعايير "ماهية" ضوابط الأمن السيبراني التي يجب تنفيذها، مثل معلمات الأمن والنظام، والفصل بين المهام، وقواعد كلمة المرور، ومراقبة الأحداث، وقواعد النسخ الاحتياطي والاسترداد. وتدعم هذه المعايير سياسة الأمن السيبراني وتعززها وتعتبر بمثابة مراجع أساسية للأمن السيبراني.
تسرد إجراءات الأمن السيبراني بالتفصيل المهام والأنشطة التي يجب أن يؤديها موظفو المؤسسة المالية، أو أطرافها الخارجية، أو عملائها خطوة بخطوة. وتصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة الأمن السيبراني في بيئة التشغيل ودعم حماية أصول المعلومات الخاصة بالمؤسسة المالية وفقًا لسياسة ومعايير الأمن السيبراني.
يتم تعريف العملية في سياق الدليل التنظيمي الماثل على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. وقد تتضمن العملية سياسات ومعايير وإرشادات وإجراءات وأنشطة وتعليمات عمل، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات والضوابط الإدارية المطلوبة لتقديم المخرجات بشكل موثوق.
وتجب مراقبة التقدم الفعلي في تنفيذ وأداء والامتثال لضوابط الأمن السيبراني وتقييمه بشكل دوري باستخدام مؤشرات الأداء الرئيسية.

2.4.2 مستوى النضج 4
متطلبات إضافية للبنوك بموجب التعميم رقم (67/29814) وتاريخ 1440/05/15 هـ (الموافق 2020/06/11 م).
لتحقيق مستوى النضج 4، يجب على المؤسسة المالية قياس فعالية ضوابط الأمن السيبراني المنفذة وتقييمها بشكل دوري. من أجل قياس وتقييم مدى فعالية ضوابط الأمن السيبراني ، يجب تحديد مؤشرات المخاطر الرئيسية. يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية للإبلاغ عن الاتجاهات وتحديد التحسينات المحتملة.

3.4.2 مستوى النضج 5
يركز مستوى النضج 5 على التحسين المستمر لضوابط الأمن السيبراني. ويتحقق التحسين المستمر من خلال التحليل المستمر لأهداف الأمن السيبراني وإنجازاته وتحديد التحسينات الهيكلية. ويجب دمج ضوابط الأمن السيبراني مع ممارسات إدارة المخاطر المؤسسية ودعمها بالمراقبة الآلية في الوقت الفعلي. ويقع على عاتق مالكي العمليات التجارية المسؤولية عن مراقبة الامتثال لضوابط الأمن السيبراني، وقياس فعالية ضوابط الأمن السيبراني ودمج ضوابط الأمن السيبراني ضمن الدليل التنظيمي إدارة مخاطر المؤسسة. إضافة إلى ذلك، يجب تقييم أداء ضوابط الأمن السيبراني باستخدام بيانات النظراء والقطاعات.

3 مجالات التحكم

1.3 قيادة وحوكمة الأمن السيبراني
تقع المسؤولية النهائية عن الأمن السيبراني على عاتق مجلس إدارة المؤسسة المالية. ويجوز لمجلس إدارة المؤسسة المالية تفويض مسؤولياته المتعلقة بالأمن السيبراني إلى لجنة الأمن السيبراني (أو إلى أحد كبار المديرين بإحدى وظائف التحكم). وقد تتحمل لجنة الأمن السيبراني المسؤولية عن تحديد حوكمة الأمن السيبراني ووضع استراتيجية الأمن السيبراني للمؤسسة المالية. كما قد تتحمل لجنة الأمن السيبراني المسؤولية عن تحديد سياسة الأمن السيبراني وضمان الفعالية التشغيلية لسياسة الأمن السيبراني المحددة.
ويجب إنشاء وظيفة مستقلة للأمن السيبراني لوضع سياسة الأمن السيبراني وصونها وتنفيذ أنشطة الأمن السيبراني داخل المؤسسة المالية.

1.1.3 حوكمة الأمن السيبراني

المبدأ

يجب تحديد هيكل حوكمة الأمن السيبراني وتنفيذه، ويجب أن يعتمده مجلس الإدارة.

الهدف

توجيه النهج العام للأمن السيبراني والتحكم فيه داخل المؤسسة المالية.

اعتبارات التحكم

1.	يشكل مجلس الإدارة لجنة للأمن السيبراني ويكلفها بهذه الوظيفة.
2.	يرأس أحد كبار المديرين المستقلين من إحدى وظائف التحكم لجنة الأمن السيبراني.
3.	يجب تمثيل المناصب التالية في لجنة الأمن السيبراني:
	أ.	كبار المديرين من جميع الإدارات ذات الصلة (على سبيل المثال، الرئيس التنفيذي للعمليات، الرئيس التنفيذي للمعلومات، ومسؤول الامتثال، ورؤساء أقسام الأعمال ذات الصلة)؛
	ب.	الرئيس التنفيذي لأمن المعلومات؛
	ج.	ويجوز أن يحضر المدقق الداخلي بصفته "مراقب".
4.	تجب صياغة ميثاق لجنة الأمن السيبراني واعتماده وأن يتضمن ما يلي:
	أ.	أهداف اللجنة؛
	ب.	الأدوار والمسؤوليات؛
	ج.	الحد الأدنى لعدد المشاركين في الاجتماع؛
	د.	تواتر انعقاد الاجتماعات (الحد الأدنى على أساس ربع سنوي).
5.	يجب إنشاء وظيفة للأمن السيبراني.
6.	يجب أن تكون وظيفة الأمن السيبراني مستقلة عن وظيفة تقنية المعلومات. ولتجنب أي تضارب في المصالح، يجب فصل وظيفة الأمن السيبراني عن وظيفة تقنية المعلومات من حيث التسلسلات الإدارية والميزانيات والتقييمات للموظفين.
7.	ترفع وظيفة الأمن السيبراني تقاريرها مباشرة إلى الرئيس التنفيذي/العضو المنتدب للمؤسسة المالية أو إلى المدير العام لإحدى وظائف التحكم.
8.	يجب تعيين أحد كبار المديرين بدوام كامل في وظيفة الأمن السيبراني، يشار إليه باسم الرئيس التنفيذي لأمن المعلومات، على مستوى الإدارة العليا.
9.	يجب على المؤسسة المالية:
	أ.	التأكد من أن الرئيس التنفيذي لأمن المعلومات يحمل الجنسية السعودية؛
	ب.	التأكد من أن الرئيس التنفيذي لأمن المعلومات مؤهل بشكل كافٍ؛
	ج.	الحصول على عدم ممانعة من البنك المركزي لتعيين الرئيس التنفيذي لأمن المعلومات.
10.	يجب على مجلس إدارة المؤسسة المالية تخصيص ميزانية كافية لتنفيذ أنشطة الأمن السيبراني المطلوبة.

2.1.3 استراتيجية الأمن السيبراني

المبدأ

يجب تحديد استراتيجية الأمن السيبراني ومواءمتها مع الأهداف الاستراتيجية للمؤسسة المالية، وكذلك مع استراتيجية الأمن السيبراني للقطاع المصرفي.

الهدف

ضمان أن مبادرات ومشاريع الأمن السيبراني داخل المؤسسة المالية تساهم في الأهداف الإستراتيجية للمؤسسة المالية وتتوافق مع استراتيجية الأمن السيبراني للقطاع المصرفي.

اعتبارات التحكم

1.	يجب تحديد استراتيجية الأمن السيبراني واعتمادها وصونها وتنفيذها.
2.	يجب أن تتماشى استراتيجية الأمن السيبراني مع يلي :
	أ.	الأهداف العامة للمؤسسة المالية؛
	ب.	متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية؛
	ج.	استراتيجية الأمن السيبراني للقطاع المصرفي.
3.	يجب أن تتناول استراتيجية الأمن السيبراني ما يلي:
	أ.	أهمية الأمن السيبراني وفوائده للمؤسسة المالية؛
	ب.	الحالة المستقبلية المتوقعة للأمن السيبراني للمؤسسة المالية لكي تصبح وتظل مرنة في مواجهة تهديدات الأمن السيبراني (الناشئة)؛
	ج.	ما هي مبادرات ومشاريع الأمن السيبراني الواجب تنفيذها لتحقيق الحالة المستقبلية المتوقعة ومتى يجب تنفيذها.

3.1.3 سياسة الأمن السيبراني

المبدأ

يجب تحديد سياسة الأمن السيبراني واعتمادها والإبلاغ بها.

الهدف

توثيق التزام المؤسسة المالية وأهدافها المتعلقة بالأمن السيبراني، وإبلاغ أصحاب المصلحة المعنيين بذلك.

اعتبارات التحكم

1.	يجب تحديد سياسة الأمن السيبراني واعتمادها والإبلاغ بها.
2.	يجب مراجعة سياسة الأمن السيبراني بشكل دوري وفقًا لعملية مراجعة منظمة ومحددة مسبقًا.
3.	يجب أن تكون سياسة الأمن السيبراني:
	أ.	بمثابة مدخلات للسياسات المؤسسية الأخرى للمؤسسة المالية (على سبيل المثال، سياسة الموارد البشرية، والسياسة المالية، وسياسة تقنية المعلومات)؛
	ب.	مدعومة بمعايير أمنية مفصلة (على سبيل المثال، معيار كلمة المرور، ومعيار جدار الحماية) والإجراءات؛
	ج.	قائمة على أفضل الممارسات والمعايير الوطنية (الدولية)؛
	د.	تم تبليغها إلى أصحاب المصلحة المعنيين.
4.	يجب أن تتضمن سياسة الأمن السيبراني ما يلي:
	أ.	تعريف الأمن السيبراني؛
	ب.	أهداف ونطاق الأمن السيبراني بوجه عام للمؤسسة المالية؛
	ج.	بيان مقصد مجلس الإدارة بما يدعم أهداف الأمن السيبراني؛
	د.	تعريف المسؤوليات العامة والخاصة للأمن السيبراني؛
	هـ.	الإشارة إلى دعم معايير وإجراءات الأمن السيبراني؛
	و.	تضمن متطلبات الأمن السيبراني الآتي:
		1.	تصنيف المعلومات بطريقة تشير إلى أهميتها بالنسبة للمؤسسة المالية؛
		2.	حماية المعلومات فيما يتعلق بمتطلبات الأمن السيبراني، بما يتماشى مع قابلية المخاطر؛
		3.	تعيين مالكي جميع أصول المعلومات؛
		4.	إجراء تقييمات مخاطر الأمن السيبراني لأصول المعلومات؛
		5.	توعية أصحاب المصلحة المعنيين بالأمن السيبراني وسلوكهم المتوقع (برنامج التوعية بالأمن السيبراني)؛
		6.	الوفاء بالالتزامات التنظيمية والتعاقدية؛
		7.	الإبلاغ عن انتهاكات الأمن السيبراني ونقاط ضعف الأمن السيبراني المشكوك فيها؛
		8.	انعكاس الأمن السيبراني على إدارة استمرارية الأعمال.

4.1.3 أدوار ومسؤوليات الأمن السيبراني

المبدأ

يجب تحديد مسؤوليات تنفيذ وصون ودعم وتعزيز الأمن السيبراني في المؤسسة المالية بأكملها. إضافة إلى ذلك، يجب على جميع الأطراف المشاركة في الأمن السيبراني أن تفهم الأدوار والمسؤوليات المنوطة بها.

الهدف

التأكد من أن أصحاب المصلحة المعنيين على دراية بالمسؤوليات المتعلقة بالأمن السيبراني وتطبيق ضوابط الأمن السيبراني في المؤسسة المالية بأكملها.

اعتبارات التحكم

1.	يتحمل مجلس الإدارة المسؤولية النهائية عن الأمن السيبراني، بما في ذلك:
	أ.	ضمان تخصيص ميزانية كافية للأمن السيبراني؛
	ب.	اعتماد ميثاق لجنة الأمن السيبراني؛
	ج.	المصادقة (بعد اعتماده من لجنة الأمن السيبراني):
		1.	حوكمة الأمن السيبراني؛
		2.	استراتيجية الأمن السيبراني؛
		3.	سياسة الأمن السيبراني.
2.	تتولى لجنة الأمن السيبراني المسؤولية عن:
	أ.	مراقبة ومراجعة وإبلاغ مدى قابلية المؤسسة المالية لمخاطر الأمن السيبراني بشكل دوري أو عند حدوث تغيير جوهري في مقدار قابلية المخاطر؛
	ب.	مراجعة استراتيجية الأمن السيبراني للتأكد من أنها تدعم أهداف المؤسسة المالية؛
	ج.	الاعتماد، والتبليغ، والدعم، والمراقبة:
		1.	حوكمة الأمن السيبراني؛
		2.	استراتيجية الأمن السيبراني؛
		3.	سياسة الأمن السيبراني؛
		4.	برامج الأمن السيبراني (على سبيل المثال، برنامج التوعية، برنامج تصنيف البيانات، خصوصية البيانات، منع تسريب البيانات، تحسينات الأمن السيبراني الرئيسية)؛
		5.	عملية إدارة مخاطر الأمن السيبراني؛
		6.	مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية للأمن السيبراني.
3.	تتولى الإدارة العليا المسؤولية عن:
	أ.	التأكد من أن المعايير والعمليات والإجراءات تفي بالمتطلبات الأمنية (إن وجدت)؛
	ب.	التأكد من قبول الأفراد لسياسة الأمن السيبراني والامتثال لها، ودعم المعايير والإجراءات عند إصدارها وتحديثها؛
	ج.	التأكد من تضمين مسؤوليات الأمن السيبراني في التوصيفات الوظيفية للمناصب الرئيسية ولموظفي الأمن السيبراني.
4.	يتولى الرئيس التنفيذي لأمن المعلومات المسؤولية عن:
	أ.	صياغة وصون:
		1.	استراتيجية الأمن السيبراني؛
		2.	سياسة الأمن السيبراني؛
		3.	هيكلية الأمن السيبراني؛
		4.	عملية إدارة مخاطر الأمن السيبراني؛
	ب.	التأكد من وضع المعايير والإجراءات الأمنية التفصيلية واعتمادها وتنفيذها؛
	ج.	تقديم حلول الأمن السيبراني القائمة على المخاطر والتي تتناول الأشخاص والعمليات والتقنية؛
	د.	تطوير مهارات موظفي الأمن السيبراني لتقديم حلول الأمن السيبراني في سياق الأعمال؛
	هـ.	مباشرة أنشطة الأمن السيبراني في المؤسسة المالية بأكملها، بما في ذلك:
		1.	مراقبة أنشطة الأمن السيبراني (مراقبة مركز العمليات الأمنية)؛
		2.	مراقبة الامتثال للوائح وسياسات ومعايير وإجراءات الأمن السيبراني؛
		3.	الإشراف على التحقيق في حوادث الأمن السيبراني؛
		4.	جمع وتحليل استخبارات التهديدات من المصادر الداخلية والخارجية؛
		5.	إجراء مراجعات الأمن السيبراني؛
	و.	إجراء تقييمات لمخاطر الأمن السيبراني على أصول المعلومات الخاصة بالمؤسسات المالية؛
	ز.	الدعم الاستباقي للوظائف الأخرى المعنية بالأمن السيبراني، بما في ذلك:
		1.	إجراء تصنيفات للمعلومات وللأنظمة؛
		2.	تحديد متطلبات الأمن السيبراني للمشاريع المهمة؛
		3.	إجراء مراجعات الأمن السيبراني.
	ح.	تحديد برامج التوعية بالأمن السيبراني وتنفيذها؛
	ط.	قياس مؤشرات المخاطر الرئيسية ومؤشرات الأداء الرئيسية والإبلاغ عنها بشأن:
		1.	استراتيجية الأمن السيبراني؛
		2.	الامتثال لسياسة الأمن السيبراني؛
		3.	معايير الأمن السيبراني وإجراءاته؛
		4.	برامج الأمن السيبراني (مثل برنامج التوعية، برنامج تصنيف البيانات، تحسينات الأمن السيبراني الرئيسية).
5.	تتولى وظيفة التدقيق الداخلي المسؤولية عن:
	أ.	إجراء عمليات تدقيق الأمن السيبراني.
6.	يتولى جميع موظفي المؤسسة المالية المسؤولية عن:
	أ.	الامتثال لسياسة ومعايير وإجراءات الأمن السيبراني.

5.1.3 الأمن السيبراني في إدارة المشاريع

المبدأ

يجب تناول موضوع الأمن السيبراني في مجالي إدارة المشاريع وحوكمة المشاريع.

الهدف

التأكد من أن جميع مشاريع المؤسسة المالية تلبي متطلبات الأمن السيبراني.

اعتبارات التحكم

1.	يجب دمج الأمن السيبراني في منهجية إدارة مشاريع المؤسسة المالية لضمان تحديد مخاطر الأمن السيبراني ومعالجتها باعتبارها جزء من المشروع.
2.	يجب أن تضمن منهجية إدارة المشاريع في المؤسسة المالية تحقيق الآتي:
	أ.	تضمين أهداف الأمن السيبراني في أهداف المشروع؛
	ب.	اعتبار وظيفة الأمن السيبراني جزءًا من جميع مراحل المشروع؛
	ج.	إجراء تقييم للمخاطر في بداية المشروع لتحديد مخاطر الأمن السيبراني والتأكد من تلبية متطلبات الأمن السيبراني إما من خلال ضوابط الأمن السيبراني الحالية (استنادًا إلى معايير الأمن السيبراني) أو من خلال الضوابط التي سيتم وضعها؛
	د.	تسجيل مخاطر الأمن السيبراني في سجل مخاطر المشروع ومتابعة سيرها؛
	هـ.	تحديد مسؤوليات الأمن السيبراني وتوزيعها؛
	و.	إجراء مراجعة الأمن السيبراني على يد طرف داخلي أو خارجي مستقل.

6.1.3 التوعية بالأمن السيبراني

المبدأ

يجب تحديد وتنفيذ برنامج للتوعية بالأمن السيبراني لموظفي المؤسسة المالية وأطرافها الخارجية وعملائها.

الهدف

تكوين ثقافة واعية بمخاطر الأمن السيبراني بما يتيح لموظفي المؤسسة المالية وأطرافها الخارجية وعملائها اتخاذ قرارات فعالة قائمة على تحليل المخاطر والتي تحمي معلومات المؤسسة المالية.

اعتبارات التحكم

1.	يجب تحديد برامج التوعية بالأمن السيبراني واعتمادها وتنفيذها لتعزيز الوعي بالأمن السيبراني وخلق ثقافة إيجابية للأمن السيبراني.
2.	يجب تحديد برنامج للتوعية بالأمن السيبراني وتنفيذه لصالح:
	أ.	موظفي المؤسسة المالية؛
	ب.	الأطراف الخارجية للمؤسسة المالية؛
	ج.	عملاء المؤسسة المالية.
3.	يجب أن يستهدف برنامج التوعية بالأمن السيبراني سلوكيات الأمن السيبراني من خلال تصميم البرنامج لمعالجة المجموعات المستهدفة المختلفة من خلال قنوات متعددة.
4.	يجب تنفيذ أنشطة برنامج التوعية بالأمن السيبراني بشكل دوري وعلى مدار العام.
5.	يجب أن يتضمن برنامج التوعية بالأمن السيبراني المتطلبات التالية كحد أدنى:
	أ.	توفير شرح لتدابير الأمن السيبراني؛
	ب.	الأدوار والمسؤوليات المتعلقة بالأمن السيبراني؛
	ج.	معلومات عن أحداث الأمن السيبراني الناشئة ذات الصلة والتهديدات السيبرانية (مثل التصيد الالتكروني الموجه، والاحتيال على كبار المسؤولين).
6.	يجب تقييم برنامج التوعية بالأمن السيبراني بهدف:
	أ.	قياس فعالية أنشطة التوعية؛
	ب.	صياغة توصيات لتحسين برنامج التوعية بالأمن السيبراني.
7.	يجب أن تتناول توعية العملاء عملاء التجزئة، والعملاء التجاريين على حد سواء، وأن تتضمن على أقل تقدير قائمة بآليات الأمن السيبراني المقترحة التي قد يفكر العملاء في تنفيذها للتخفيف من الخطر (المخاطر) الخاصة بهم.

7.1.3 التدريب على الأمن السيبراني

المبدأ

يجب تزويد موظفي المؤسسة المالية بالتدريب على طريقة تشغيل أنظمة المؤسسة المالية بشكل آمن والتعامل مع ضوابط الأمن السيبراني وتطبيقها.

الهدف

التأكد من أن موظفي المؤسسة المالية لديهم المهارات والمعرفة اللازمة لحماية أصول معلومات المؤسسة المالية والوفاء بمسؤولياتهم في مجال الأمن السيبراني.

اعتبارات التحكم

1.	يجب توفير التدريب على المهارات المتخصصة أو المتعلقة بالأمن للموظفين بالمؤسسة المالية حسب فئات مجالات عملهم ذات الصلة بما يتماشى مع توصيفاتهم الوظيفية، بما في ذلك:
	أ.	الأدوار الرئيسية داخل المؤسسة؛
	ب.	موظفو وظيفة الأمن السيبراني؛
	ج.	الموظفون المشاركون في تطوير أصول المعلومات وصونها (تقنيًا)؛
	د.	الموظفون المشاركون في تقييم المخاطر.
2.	يجب توفير التثقيف لتزويد الموظفين بالمهارات والمعرفة المطلوبة لتشغيل أصول المعلومات الخاصة بالمؤسسة المالية بشكل آمن.

2.3 إدارة مخاطر الأمن السيبراني والامتثال
إدارة المخاطر هي العملية المستمرة لتحديد المخاطر وتحليلها والاستجابة لها ومراقبتها ومراجعتها. وتركز عملية إدارة مخاطر الأمن السيبراني بشكل خاص على إدارة المخاطر المتعلقة بالأمن السيبراني. وليتسنى للمؤسسات المالية إدارة مخاطر الأمن السيبراني، يجب عليها القيام بالآتي:
- تحديد مخاطر الأمن السيبراني الخاصة بها - تحديد مخاطر الأمن السيبراني؛
- تحديد احتمالية حدوث مخاطر الأمن السيبراني والتأثير الناتج عنها - تحليل مخاطر الأمن السيبراني؛
- تحديد الاستجابة المناسبة لمخاطر الأمن السيبراني واختيار الضوابط ذات الصلة - الاستجابة لمخاطر الأمن السيبراني؛
- مراقبة التعامل مع مخاطر الأمن السيبراني ومراجعة فعالية التحكم - مراقبة ومراجعة مخاطر الأمن السيبراني.
يجب أن يخضع الامتثال لضوابط الأمن السيبراني للمراجعة والتدقيق الدوري.

1.2.3 إدارة مخاطر الأمن السيبراني

المبدأ

يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها، ويجب أن تتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.

الهدف

ضمان إدارة مخاطر الأمن السيبراني على نحو صحيح لحماية سرية وسلامة وتوافر أصول المعلومات الخاصة بالمؤسسة المالية، وضمان توافق عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية للمؤسسة المالية.

اعتبارات التحكم

1.	يجب تحديد عملية إدارة مخاطر الأمن السيبراني واعتمادها وتنفيذها.
2.	يجب أن تركز عملية إدارة مخاطر الأمن السيبراني على حماية سرية وسلامة وتوافر أصول المعلومات.
3.	يجب أن تتماشى عملية إدارة مخاطر الأمن السيبراني مع عملية إدارة المخاطر المؤسسية الحالية.
4.	يجب توثيق عملية إدارة مخاطر الأمن السيبراني ويجب أن تشمل:
	أ.	تحديد المخاطر؛
	ب.	تحليل المخاطر؛
	ج.	الاستجابة للمخاطر؛
	د.	مراقبة المخاطر ومراجعتها.
5.	يجب أن تتناول عملية إدارة مخاطر الأمن السيبراني أصول المعلومات الخاصة بالمؤسسة المالية، بما في ذلك (على سبيل المثال لا الحصر):
	أ.	العمليات التجارية؛
	ب.	تطبيقات الأعمال؛
	ج.	مكونات البنية التحتية.
6.	يجب البدء في عملية إدارة مخاطر الأمن السيبراني:
	أ.	في مرحلة مبكرة من المشروع؛
	ب.	قبل التغيير الحرج؛
	ج.	عند النظر في اسناد المهام إلى طرف ثالث؛
	د.	عند إطلاق منتجات وتقنيات جديدة.
7.	يجب أن تخضع أصول المعلومات الموجودة بشكل دوري لتقييم مخاطر الأمن السيبراني بناءً على تصنيفها أو على طبيعة المخاطر الخاصة بها.
8.	يجب أن تتضمن أنشطة إدارة مخاطر الأمن السيبراني ما يلي:
	أ.	مالكي الأعمال؛
	ب.	متخصصي تقنية المعلومات؛
	ج.	متخصصي الأمن السيبراني؛
	د.	ممثلي المستخدمين الرئيسيين.
9.	يجب إبلاغ مالك العمل المعني (أي مالك المخاطر) بنتيجة تقييم المخاطر داخل المؤسسة المالية؛
10.	يجب على مالك العمل المعني (أي مالك المخاطر) داخل المؤسسة المالية قبول نتائج تقييم المخاطر واعتمادها.
11.	يجب تحديد مدى قابلية المؤسسة المالية لمخاطر الأمن السيبراني وتحملها للمخاطر بشكل واضح واعتمادها رسميًا.

1.1.2.3 تحديد مخاطر الأمن السيبراني
المبدأ
يجب تحديد مخاطر الأمن السيبراني وأن يشمل التحديد الأصول والتهديدات والضوابط الحالية والثغرات الأمنية الخاصة بالمؤسسة المالية.
الهدف
العثور على مخاطر الأمن السيبراني التي تواجهها المؤسسة المالية والتعرف عليها ووصفها.
اعتبارات التحكم
1. يجب تحديد مخاطر الأمن السيبراني.
2. يجب توثيق مخاطر الأمن السيبراني المحددة (في سجل مركزي).
3. يجب أن يتناول تحديد مخاطر الأمن السيبراني أصول المعلومات ذات الصلة، والتهديدات، والثغرات الأمنية، وضوابط الأمن السيبراني الرئيسية الحالية.

2.1.2.3 تحليل مخاطر الأمن السيبراني
المبدأ
يجب إجراء تحليل لمخاطر الأمن السيبراني بناءً على احتمالية حدوث مخاطر الأمن السيبراني المحددة والتأثير الناتج عنها.
الهدف
تحليل وتحديد طبيعة ومستوى مخاطر الأمن السيبراني المحددة.
اعتبارات التحكم
1. يجب إجراء تحليل لمخاطر الأمن السيبراني.
2. يجب أن يتناول تحليل مخاطر الأمن السيبراني مستوى التأثير المحتمل على الأعمال واحتمالية وقوع أحداث تهديد للأمن السيبراني.

3.1.2.3 الاستجابة لمخاطر الأمن السيبراني

المبدأ

تجب معالجة مخاطر الأمن السيبراني لأي من المؤسسات المالية.

الهدف

ضمان معالجة مخاطر الأمن السيبراني (أي قبولها، أو تجنبها، أو نقلها، أو تخفيفها).

اعتبارات التحكم

1.	تجب معالجة مخاطر الأمن السيبراني المحددة ذات الصلة حسب قابلية المؤسسة المالية للمخاطر وحسب متطلبات الأمن السيبراني.
2.	يجب أن تضمن الاستجابة لمخاطر الأمن السيبراني توثيق قائمة خيارات معالجة المخاطر (أي قبول المخاطر، أو تجنبها، أو نقلها، أو تخفيفها من خلال تطبيق ضوابط الأمن السيبراني).
3.	يجب أن يشمل قبول مخاطر الأمن السيبراني ما يلي:
	أ.	النظر في الحدود المحددة مسبقًا لمستويات مخاطر الأمن السيبراني؛
	ب.	اعتماد مالك العمل وتوقيعه مما يضمن ما يلي:
		1.	أن يكون خطر الأمن السيبراني المقبول ضمن حدود القدرة على تحمل المخاطر ويتم إبلاغه إلى لجنة الأمن السيبراني؛
		2.	ألا يتعارض خطر الأمن السيبراني المقبول مع لوائح البنك المركزي.
4.	يجب أن يتضمن تجنب مخاطر الأمن السيبراني قرارًا من مالك العمل بإلغاء أو تأجيل نشاط أو مشروع معين يمثل خطرًا غير مقبول على الأمن السيبراني.
5.	لنقل مخاطر الأمن السيبراني أو مشاركتها يجب أن:
	أ.	تشتمل على مشاركة مخاطر الأمن السيبراني مع مقدمي الخدمات ذوي الصلة (الداخليين أو الخارجيين)؛
	ب.	يقبلها مقدم (مقدمو) الخدمات (الداخليون أو الخارجيون) المتلقون لها؛
	ج.	تؤدي في نهاية المطاف إلى النقل الفعلي أو المشاركة لمخاطر الأمن السيبراني.
6.	يجب أن يشمل تطبيق ضوابط الأمن السيبراني للتخفيف من مخاطر الأمن السيبراني ما يلي:
	أ.	تحديد ضوابط الأمن السيبراني المناسبة؛
	ب.	تقييم نقاط القوة والضعف في ضوابط الأمن السيبراني؛
		1.	تقييم تكلفة تطبيق ضوابط الأمن السيبراني؛
		2.	تقييم مدى جدوى تطبيق ضوابط الأمن السيبراني؛
		3.	مراجعة متطلبات الامتثال ذات الصلة بضوابط الأمن السيبراني؛
	ج.	اختيار ضوابط الأمن السيبراني؛
	د.	تحديد أي مخاطر متبقية وتوثيقها والحصول على توقيع مالك العمل عليها.
7.	يجب توثيق إجراءات معالجة مخاطر الأمن السيبراني في خطة معالجة المخاطر.

4.1.2.3 مراقبة المخاطر السيبرانية ومراجعتها

المبدأ

تجب مراقبة التقدم المحرز في معالجة مخاطر الأمن السيبراني وتجب مراجعة فعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.

الهدف

التأكد من تنفيذ معالجة مخاطر الأمن السيبراني وفقًا لخطط المعالجة. التأكد من فعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.

اعتبارات التحكم

1.	تجب مراقبة معالجة الأمن السيبراني، بما في ذلك:
	أ.	تتبع التقدم وفقًا لخطة المعالجة؛
	ب.	يجري تنفيذ ضوابط الأمن السيبراني المختارة والمتفق عليها.
2.	تجب مراجعة تصميم وفعالية ضوابط الأمن السيبراني المنقحة أو المطبقة حديثًا.

2.2.3 الامتثال التنظيمي

المبدأ

يجب أن تضع المؤسسة المالية عملية لتحديد تداعيات الأمن السيبراني على اللوائح ذات الصلة وتبليغها والامتثال لها.

الهدف

الامتثال للوائح التي تؤثر على الأمن السيبراني للمؤسسة المالية.

اعتبارات التحكم

1.	يجب إنشاء عملية لضمان الامتثال للمتطلبات التنظيمية ذات الصلة التي تؤثر على الأمن السيبراني في المؤسسة المالية بأكملها. يجب أن تستوفي عملية ضمان الامتثال الآتي:
	أ.	يتم تنفيذها بشكل دوري أو عندما تصبح المتطلبات التنظيمية الجديدة سارية المفعول؛
	ب.	يشترك فيها ممثلين من المجالات الرئيسية للمؤسسة المالية؛
	ج.	تؤدي إلى تحديث سياسة ومعايير وإجراءات الأمن السيبراني لاستيعاب أي تغييرات ضرورية (إن اقتضى الأمر).

3.2.3 الامتثال لمعايير الصناعة الوطنية (الدولية)

المبدأ

يجب على المؤسسة المالية الامتثال لمعايير الصناعة الوطنية الإلزامية (الدولية).

الهدف

الامتثال لمعايير الصناعة الوطنية الإلزامية (الدولية).

اعتبارات التحكم

1.	يجب على المؤسسة المالية الامتثال للآتي:
	أ.	معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS)؛
	ب.	المعيار الفني لنظام الدفع الموحد ببطاقات (يورو باي، وماستر كارد، وفيزا)؛
	ج.	إطار عمل ضوابط أمن عملاء السويفت - مارس 2017.

4.2.3 مراجعة الأمن السيبراني

المبدأ

يجب أن تخضع حالة الأمن السيبراني لأصول معلومات المؤسسة المالية لمراجعة دورية للأمن السيبراني.

الهدف

التأكد مما إذا كانت ضوابط الأمن السيبراني مصممة ومنفذة بشكل آمن، وتجري مراقبة فعالية هذه الضوابط.

اعتبارات التحكم

1.	يجب إجراء مراجعات الأمن السيبراني بشكل دوري لأصول المعلومات الهامة.
2.	يجب أن تخضع خدمات العملاء والإنترنت للمراجعة السنوية واختبارات الاختراق.
3.	يجب تسجيل تفاصيل مراجعة الأمن السيبراني التي تم إجراؤها، بما في ذلك نتائج المراجعة والمشكلات المحددة والإجراءات الموصى بها.
4.	يجب إبلاغ مالك العمل بنتائج مراجعة الأمن السيبراني.
5.	يجب أن تخضع مراجعة الأمن السيبراني لمراجعات متابعة للتحقق مما يلي:
	أ.	تمت معالجة كافة المشاكل التي تم تحديدها؛
	ب.	تمت معالجة المخاطر الحرجة بشكل فعال؛
	ج.	تتم إدارة جميع الإجراءات المتفق عليها بشكل مستمر.

5.2.3 عمليات تدقيق الأمن السيبراني
المبدأ
يجب أن تخضع حالة الأمن السيبراني لأصول معلومات المؤسسة المالية لعمليات تدقيق شاملة ومستقلة ومنتظمة للأمن السيبراني يتم إجراؤها وفقًا لمعايير التدقيق المقبولة عمومًا والدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
الهدف
التأكد بدرجة معقولة مما إذا كانت ضوابط الأمن السيبراني مصممة ومنفذة بشكل آمن، وما إذا كانت فعالية هذه الضوابط خاضعة للمراقبة.
اعتبارات التحكم
1. يجب إجراء عمليات تدقيق الأمن السيبراني بشكل مستقل ووفقًا لمعايير التدقيق المقبولة عمومًا والدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
2. يجب إجراء عمليات تدقيق الأمن السيبراني وفقًا لدليل التدقيق وخطة التدقيق الخاصة بالمؤسسة المالية.

3.3 عمليات وتقنيات الأمن السيبراني
من أجل الحفاظ على حماية العمليات والتقنيات الخاصة بأصول المعلومات لدى المؤسسة المالية وموظفيها والأطراف الخارجية وعملائها، يجب على المؤسسات المالية التأكد من تحديد المتطلبات الأمنية لأصول المعلومات الخاصة بها والعمليات الداعمة واعتمادها وتنفيذها.
وتجب مراقبة الامتثال لمتطلبات الأمن السيبراني هذه، ويجب قياس فعالية ضوابط الأمن السيبراني وتقييمها بشكل دوري من أجل تحديد التنقيحات المحتملة للضوابط أو القياسات.

1.3.3 الموارد البشرية

المبدأ

يجب على المؤسسة المالية دمج متطلبات الأمن السيبراني في عمليات الموارد البشرية.

الهدف

التأكد من أن مسؤوليات الأمن السيبراني لموظفي المؤسسة المالية تم تضمينها في اتفاقيات الموظفين ويتم فحص الموظفين قبل وأثناء دورة حياتهم الوظيفية.

اعتبارات التحكم

1.	يجب أن تحدد عملية الموارد البشرية متطلبات الأمن السيبراني وتعتمدها وتنفذها.
2.	تجب مراقبة فعالية عملية الموارد البشرية وقياسها وتقييمها بشكل دوري.
3.	يجب أن تتضمن عملية الموارد البشرية ما يلي:
	أ.	مسؤوليات الأمن السيبراني وبنود عدم الإفصاح ضمن اتفاقيات الموظفين (أثناء وبعد التوظيف)؛
	ب.	يجب أن يتلقى الموظفون الوعي بالأمن السيبراني في بداية وأثناء عملهم؛
	ج.	توقيت تطبيق الإجراءات التأديبية؛
	د.	الفحص والتحقق من سيرهم الذاتية؛
	هـ.	أنشطة الأمن السيبراني بعد التوظيف، مثل:
		1.	إلغاء حقوق الوصول؛
		2.	إعادة أصول المعلومات المخصصة (على سبيل المثال، شارة الوصول، ورموز الأمان، والأجهزة المحمولة، وجميع المعلومات الإلكترونية والمادية).

2.3.3 الأمن المادي

المبدأ

يجب على المؤسسة المالية التأكد من أن جميع المرافق التي تستضيف أصول المعلومات محمية فعليًا ضد الأحداث الأمنية المقصودة وغير المقصودة.

الهدف

منع الوصول المادي غير المصرح به إلى أصول معلومات المؤسسة المالية وضمان حمايتها.

اعتبارات التحكم

1.	يجب تحديد عملية الأمن المادي واعتمادها وتنفيذها.
2.	تجب مراقبة فعالية عملية الأمن المادي وقياسها وتقييمها بشكل دوري.
3.	يجب أن تتضمن عملية الأمن المادي (على سبيل المثال لا الحصر):
	أ.	ضوابط الدخول المادي (بما في ذلك أمن الزائرين)؛
	ب.	الرصد والمراقبة (على سبيل المثال، الدوائر التلفزيونية المغلقة، وأجهزة الصراف الآلي، وتتبع نظام تحديد المواقع العالمي (GPS)، وأجهزة الاستشعار الحساسة)؛
	ج.	حماية مراكز البيانات وغرف البيانات؛
	د.	الحماية البيئية؛
	هـ.	حماية أصول المعلومات خلال دورة حياتها (بما في ذلك النقل والتخلص الآمن، وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود).

3.3.3 إدارة الأصول

المبدأ

يجب على المؤسسة المالية تحديد واعتماد وتنفيذ وتبليغ ومراقبة عملية إدارة الأصول، مما يساعد في إعداد سجل أصول دقيق وحديث وموحد.

الهدف

دعم المؤسسة المالية في إنشاء سجل دقيق وحديث ورؤية مركزية في الموقع الفعلي/الافتراضي والتفاصيل ذات الصلة لجميع أصول المعلومات المتاحة، من أجل دعم عملياتها، مثل العمليات المالية، والعمليات المتعلقة بالمشتريات وتقنية المعلومات والإنترنت والأمن السيبراني.

اعتبارات التحكم

1.	يجب تحديد عملية إدارة الأصول واعتمادها وتنفيذها.
2.	تجب مراقبة فعالية عملية إدارة الأصول وقياسها وتقييمها بشكل دوري.
3.	يجب أن تتضمن عملية إدارة الأصول ما يلي:
	أ.	سجل موحد؛
	ب.	ملكية ورعاية أصول المعلومات؛
	ج.	الإشارة إلى العمليات الأخرى ذات الصلة، اعتمادًا على إدارة الأصول؛
	د.	تصنيف أصول المعلومات، وتمييزها والتعامل معها؛
	هـ.	اكتشاف أصول المعلومات الجديدة.

4.3.3 هيكلية الأمن السيبراني

المبدأ

يجب على المؤسسة المالية تحديد ومتابعة ومراجعة هيكلية الأمن السيبراني، والتي تحدد متطلبات الأمن السيبراني في الهيكلية المؤسسية وأن تتناول مبادئ التصميم لتطوير قدرات الأمن السيبراني.

الهدف

دعم المؤسسة المالية في إنجاز هيكلية استراتيجية ومتسقة وفعالة من حيث التكلفة وشاملة للأمن السيبراني.

اعتبارات التحكم

1.	يجب تحديد هيكلية الأمن السيبراني واعتمادها وتنفيذها.
2.	تجب مراقبة الامتثال لهيكلية الأمن السيبراني.
3.	يجب أن تتضمن هيكلية الأمن السيبراني ما يلي:
	أ.	مخطط استراتيجي لقدرات وضوابط الأمن السيبراني بناءً على متطلبات العمل؛
	ب.	اعتماد هيكلية الأمن السيبراني المحددة؛
	ج.	ضرورة وجود مهندسين مؤهلين للأمن السيبراني؛
	د.	مبادئ التصميم لتطوير ضوابط الأمن السيبراني وتطبيق متطلبات الأمن السيبراني (أي: مبدأ الأمن حسب التصميم)؛
	هـ.	المراجعة الدورية لهيكلية لأمن السيبراني.

5.3.3 إدارة الهوية والوصول

المبدأ

يجب على المؤسسة المالية تقييد الوصول إلى أصول المعلومات الخاصة بها بما يتماشى مع متطلبات أعمالها بناءً على مبدأيّ الحاجة إلى الحصول على المعلومات أو الحاجة إلى المعرفة.

الهدف

التأكد من أن المؤسسة المالية لا تمنح امتيازات الوصول المصرح به والكافي إلا للمستخدمين المعتمدين.

اعتبارات التحكم

1.	يجب تحديد سياسة لإدارة الهوية والوصول، بما في ذلك المسؤوليات والمساءلات، واعتمادها وتنفيذها.
2.	يجب مراقبة الامتثال لسياسة الهوية والوصول.
3.	يجب قياس فعالية ضوابط الأمن السيبراني ضمن سياسة إدارة الهوية والوصول وتقييمها بشكل دوري.
4.	يجب أن تتضمن سياسة إدارة الهوية والوصول ما يلي:
	أ.	متطلبات العمل للتحكم في الوصول (أي الحاجة إلى الحيازة أو الحاجة إلى المعرفة)؛
	ب.	إدارة وصول المستخدمين (على سبيل المثال، الموظفين الجدد، والمنتقلين، المغادرين):
		1.	يجب تغطية جميع الأنواع المحددة للمستخدمين (أي: الموظفين الداخليين، والأطراف الخارجية)؛
		2.	يجب على قسم الموارد البشرية إجراء تغييرات في الحالة الوظيفية أو المناصب الوظيفية للموظفين الداخليين (مثل الموظفين الجدد، والمنتقلين، والمغادرين)؛
		3.	يجب على الطرف المسؤول المعين إجراء التغييرات على الموظفين الخارجيين أو الأطراف الخارجية؛
		4.	تُمنح الموافقة رسميًا على طلبات وصول المستخدم وفقًا لمتطلبات العمل والامتثال (أي الحاجة إلى الحيازة أو الحاجة إلى المعرفة لتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
		5.	تجب معالجة التغييرات في حقوق الوصول في الوقت المناسب؛
		6.	تجب مراجعة حقوق وصول المستخدم وملفاته الشخصية بشكل دوري؛
		7.	يجب إنشاء سجل تدقيق لطلبات وصول المستخدم وطلبات الإلغاء المقدمة والمعتمدة والمعالجة؛
	ج.	يجب دعم إدارة وصول المستخدم بالأتمتة؛
	د.	مركزية وظيفة إدارة الهوية والوصول؛
	هـ.	المصادقة متعددة العوامل للأنظمة والملفات الشخصية الحساسة والمهمة؛
	و.	إدارة الوصول المميز والوصول عن بعد، والتي يجب أن تتناول ما يلي:
		1.	تخصيص الوصول المميز والوصول عن بعد وتقييد استخدامهما، مع تحديد الآتي:
			أ.	المصادقة متعددة العوامل الواجب استخدامها لجميع عمليات الوصول عن بعد؛
			ب.	المصادقة متعددة العوامل الواجب استخدامها للوصول إلى الامتيازات على الأنظمة المهمة بناءً على تقييم المخاطر؛
		2.	المراجعة الدورية للمستخدمين أصحاب الحسابات المميزة والمستخدمة عن بعد؛
		3.	المساءلة الفردية؛
		4.	استخدام الحسابات المميزة غير الشخصية، بما في ذلك:
			أ.	التقييد والمراقبة؛
			ب.	سرية كلمات المرور؛
			ج.	تغيير كلمات المرور بشكل متكرر وفي نهاية كل جلسة.

6.3.3 أمن التطبيقات

المبدأ

يجب على المؤسسة المالية تحديد معايير الأمن السيبراني لأنظمة التطبيقات واعتمادها وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعالية هذه الضوابط وتقييمها بشكل دوري.

الهدف

ضمان توثيق وتنفيذ ضوابط الأمن السيبراني الكافية رسميًا لجميع التطبيقات، ومراقبة الامتثال وتقييم فعاليتها بشكل دوري داخل المؤسسة المالية.

اعتبارات التحكم

1.	يجب تحديد معايير الأمن السيبراني للتطبيقات واعتمادها وتنفيذها.
2.	تجب مراقبة الامتثال لمعايير أمن التطبيقات.
3.	يجب قياس فعالية ضوابط الأمن السيبراني للتطبيقات وتقييمها بشكل دوري.
4.	يجب أن يتم تطوير التطبيقات وفق منهجية دورة حياة تطوير النظام الآمن المعتمدة(SDLC).
5.	يجب أن يتضمن معيار أمان التطبيق ما يلي:
	أ.	المعايير الآمنة للتشفير؛
	ب.	ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، ومراقبة الأحداث والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، وإدارة الهوية والوصول)؛
	ج.	الفصل بين المهام داخل التطبيق (مدعوم بمصفوفة تفويض موثقة)؛
	د.	حماية البيانات المتوافقة مع نظام التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء، وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
	هـ.	إدارة الثغرات الأمنية وحزم التحديثات والإصلاحات؛
	و.	إجراءات النسخ الاحتياطي والاسترداد؛
	ز.	المراجعة الدورية للامتثال للأمن السيبراني.

7.3.3 إدارة التغيير

المبدأ

يجب على المؤسسة المالية تحديد واعتماد وتنفيذ عملية إدارة التغيير التي تتحكم في جميع التغييرات في أصول المعلومات. وتجب مراقبة الامتثال للعملية ويجب قياس الفعالية وتقييمها بشكل دوري.

الهدف

التأكد من أن جميع التغييرات في أصول المعلومات داخل المؤسسة المالية تجري وفق عملية صارمة للتحكم في التغييرات.

اعتبارات التحكم

1.	يجب تحديد عملية إدارة التغيير واعتمادها وتنفيذها.
2.	تجب مراقبة الامتثال لعملية إدارة التغيير.
3.	يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة التغيير وتقييمها بشكل دوري.
4.	يجب أن تتضمن عملية إدارة التغيير ما يلي:
	أ.	متطلبات الأمن السيبراني للتحكم في التغييرات المدخلة على أصول المعلومات، مثل تقييم تأثير التغييرات المطلوبة وتصنيف التغييرات ومراجعة التغييرات؛
	ب.	الاختبار الأمني، والذي يجب أن يشمل (عند الاقتضاء):
		1.	اختبار الاختراق؛
		2.	مراجعة الأكواد إذا تم تطوير التطبيقات داخليًا؛
		3.	مراجعة الأكواد الخاصة بالتطبيقات المطورة خارجيًا ومعرفة ما إذا كان كود المصدر متاحة أم لا
		4.	تقرير مراجعة الأكواد (أو ما يعادله، مثل بيان الضمان المستقل) في حالة عدم إمكانية توفير كود المصدر؛
	ج.	موافقة مالك العمل على التغييرات؛
	د.	الحصول على موافقة من وظيفة الأمن السيبراني قبل تقديمها إلى المجلس الاستشاري للتغيير (المجلس)؛
	هـ.	موافقة المجلس؛
	و.	مراجعة ما بعد التنفيذ لضوابط الأمن السيبراني ذات الصلة؛
	ز.	يتم فصل التطوير والاختبار والتنفيذ لكل من البيئة (الفنية) والأفراد المشاركين؛
	ح.	إجراءات التغييرات والإصلاحات الطارئة؛
	ط.	الإجراءات الاحتياطية وإجراءات التراجع.

8.3.3 أمن البنية التحتية

المبدأ

يجب على المؤسسة المالية تحديد معايير الأمن السيبراني لمكونات البنية التحتية الخاصة بها واعتماد هذه المعايير وتنفيذها. وتجب مراقبة الامتثال لهذه المعايير وقياس فعاليتها وتقييمها بشكل دوري.

الهدف

دعم توثيق جميع ضوابط الأمن السيبراني داخل البنية التحتية رسميًا ومراقبة الامتثال وتقييم فعالية هذه الضوابط بشكل دوري داخل المؤسسة المالية.

اعتبارات التحكم

1.	يجب تحديد معايير أمن البنية التحتية واعتمادها وتنفيذها.
2.	تجب مراقبة الامتثال لمعايير أمن البنية التحتية.
3.	يجب قياس فعالية ضوابط الأمن السيبراني للبنية التحتية وتقييمها بشكل دوري.
4.	يجب أن تشمل معايير أمن البنية التحتية جميع حالات البنية التحتية المتاحة في مركز (مراكز) البيانات الرئيسية وموقع (مواقع) بيانات التعافي من الكوارث والمساحات المكتبية.
5.	يجب أن تشمل معايير أمان البنية التحتية جميع حالات البنية التحتية (على سبيل المثال، أنظمة التشغيل، والخوادم، والأجهزة الافتراضية، وجدران الحماية، وأجهزة الشبكة، ونظام كشف التسلل، ونظام منع التسلل، والشبكة اللاسلكية، وخوادم البوابة، والخوادم الوكيلة، وبوابات البريد الإلكتروني، والاتصالات الخارجية، وقواعد البيانات، ومشاركات الملفات، ومحطات العمل، وأجهزة الكمبيوتر المحمولة، والأجهزة اللوحية، والأجهزة المحمولة، ونظام السنترال الداخلي PBX).
6.	يجب أن يشمل معيار أمان البنية التحتية ما يلي:
	أ.	ضوابط الأمن السيبراني المطبقة (على سبيل المثال، معلمات التكوين، والأحداث التي تجب مراقبتها والاحتفاظ بها [بما في ذلك الوصول إلى النظام والبيانات]، ومنع تسريب البيانات[DLP]، وإدارة الهوية والوصول، والصيانة عن بعد)؛
	ب.	الفصل بين المهام داخل مكون البنية التحتية (مدعوم بمصفوفة تفويض موثقة)؛
	ج.	حماية البيانات المتوافقة مع مخطط التصنيف (المتفق عليه) (بما في ذلك خصوصية بيانات العملاء وتجنب الوصول غير المصرح به وتسريب البيانات المقصود (وغير المقصود))؛
	د.	استخدام البرامج المعتمدة والبروتوكولات الآمنة؛
	هـ.	تجزئة الشبكات؛
	و.	الحماية من الأكواد/البرامج الضارة والفيروسات (واستخدام قائمة تطبيقات مصرح بها والحماية من التهديدات المستعصية المتقدمة)؛
	ز.	إدارة الثغرات الأمنية والتصحيحات؛
	ح.	الحماية من هجمات حجب الخدمة الموزعة (إن اقتضى الأمر)؛ ويجب أن يشمل ذلك:
		1.	استخدام خدمات التنقية؛
		2.	مواصفات عرض النطاق المتفق عليه؛
		3.	المراقبة على مدار اليوم طوال أيام الأسبوع بواسطة مركز التشغيل الأمني، ومقدم الخدمة، ومقدم خدمة التنقية؛
		4.	اختبار تنظيف هجمات حجب الخدمة الموزعة(DDOS) (مرتين في السنة على الأقل)؛
		5.	يجب تنفيذ خدمات الحماية من هجوم حجب الخدمة (DDOS) لمركز (مراكز) البيانات الرئيسية بالإضافة إلى موقع (مواقع) التعافي من الكوارث؛
	ط.	إجراءات النسخ الاحتياطي والاسترداد؛
	ي.	المراجعة الدورية للامتثال للأمن السيبراني.

9.3.3 التشفير

المبدأ

يجب تحديد واعتماد وتنفيذ استخدام حلول التشفير داخل المؤسسات المالية.

الهدف

ضمان الحماية من الوصول إلى المعلومات الحساسة وسلامتها وإمكانية التأكد من منشئ الاتصال أو المعاملات.

اعتبارات التحكم

1.	يجب تحديد معيار أمان التشفير واعتماده وتنفيذه.
2.	تجب مراقبة الامتثال لمعايير أمان التشفير.
3.	يجب قياس فعالية ضوابط أمن التشفير وتقييمها بشكل دوري.
4.	يجب أن يتضمن معيار أمان التشفير ما يلي:
	أ.	نظرة عامة على حلول التشفير المعتمدة والقيود ذات الصلة (على سبيل المثال، الجوانب الفنية والقانونية)؛
	ب.	الظروف التي يجب فيها تطبيق حلول التشفير المعتمدة؛
	ج.	إدارة مفاتيح التشفير، بما في ذلك إدارة دورة الحياة والأرشفة والاسترداد.

10.3.3 أحضر جهازك الخاص (BYOD)

المبدأ

عندما تسمح المؤسسة المالية باستخدام الأجهزة الشخصية (مثل الهواتف الذكية، والأجهزة اللوحية، والحواسيب المحمولة) لأغراض العمل، يجب أن يكون الاستخدام مدعومًا بمعايير الأمن السيبراني المحددة والمعتمدة والمنفذة، واتفاقيات الموظفين الإضافية والتدريب على التوعية بالأمن السيبراني.

الهدف

التأكد من تعامل الموظفين مع المعلومات المتعلقة بالأعمال وذات الطبيعة الحساسة الخاصة بالمؤسسة المالية بطريقة آمنة مع حمايتها أثناء النقل والتخزين، عند استخدام الأجهزة الشخصية.

اعتبارات التحكم

1.	يجب تحديد معيار الأمن السيبراني "أحضر جهازك الخاص" واعتماده وتنفيذه.
2.	تجب مراقبة الامتثال لمعيار الأمن السيبراني "أحضر جهازك الخاص" .
3.	يجب قياس فعالية ضوابط الأمن السيبراني المعنية بمعيار "أحضر جهازك الخاص" وتقييمها بشكل دوري.
4.	يجب أن يتضمن معيار "أحضر جهازك الخاص" ما يلي:
	أ.	مسؤوليات المستخدم (بما في ذلك التدريب التوعوي)؛
	ب.	المعلومات المتعلقة بالقيود والعواقب المترتبة على الموظفين عندما تنفذ المؤسسة المالية ضوابط الأمن السيبراني على أجهزتهم الشخصية؛ على سبيل المثال، عند استخدام الأجهزة المعدلة (تجاوز قيود الأجهزة)، أو عند إنهاء توظيفهم، أو في حالة فقدان أو سرقة الجهاز الشخصي؛
	ج.	فصل المعلومات المتعلقة بالأعمال عن المعلومات الشخصية (على سبيل المثال، التعبئة في الحاويات)؛
	د.	تنظيم تطبيقات الهاتف المحمول الخاصة بالشركات أو تطبيقات الهاتف المحمول "العامة" المعتمدة؛
	هـ.	استخدام إدارة الأجهزة المحمولة؛ تطبيق ضوابط الوصول إلى الجهاز وحاوية الأعمال وآليات التشفير على الجهاز الشخصي (لضمان النقل والتخزين الآمن).

11.3.3 التخلص الآمن من أصول المعلومات
المبدأ
يجب التخلص من أصول المعلومات الخاصة بالمؤسسة المالية بطريقة آمنة عندما تنتهي الحاجة إلى أصول المعلومات.
الهدف
ضمان حماية أعمال المؤسسة المالية وعملائها والمعلومات الحساسة الأخرى من التسريب أو الكشف غير المصرح به عند التخلص منها.
اعتبارات التحكم
1. يجب تحديد معيار وإجراء التخلص الآمن واعتماده وتنفيذه.
2. تجب مراقبة الامتثال لمعيار وإجراء التخلص الآمن.
3. يجب قياس فعالية ضوابط الأمن السيبراني للتخلص الآمن وتقييمها بشكل دوري.
4. يجب التخلص من أصول المعلومات وفقًا للمتطلبات القانونية والتنظيمية، عندما تنتهي الحاجة إليها (أي الالتزام بلوائح خصوصية البيانات لتجنب الوصول غير المصرح به وتجنب تسريب البيانات المقصود (وغير المقصود)).
5. يجب إتلاف المعلومات الحساسة باستخدام تقنيات تجعل المعلومات غير قابلة للاسترجاع (على سبيل المثال، الحذف الآمن، المحو الآمن، والحرق، والتقطيع المزدوج، والتمزيق)
6. يجب على المؤسسة المالية التأكد من أن مقدمي الخدمات الخارجيين المستخدَمين للتخلص الآمن والنقل والتخزين يلتزمون بمعايير وإجراءات التخلص الآمن ويتم قياس وتقييم الفعالية بشكل دوري.

12.3.3 أنظمة الدفع
المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ ومراقبة معيار الأمن السيبراني المتبع في أنظمة الدفع. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية تحمي سرية وسلامة الأنظمة المصرفية المشتركة.
اعتبارات التحكم
- للحصول على معلومات عن النظام السعودي للتحويلات المالية السريعة (سريع)، يرجى الرجوع إلى سياسة أمن المعلومات المتبعة في نظام (سريع)، الإصدار 1.0 – يونيو 2016.
- للحصول على معلومات حول نظام المدفوعات الوطني (مدى)، يرجى الرجوع إلى الأقسام التالية في الكتاب التقني لقواعد ومعايير نظام "مدى" (راجع الملحق "أ"):
- الجزء 3 أ – إطار العمل الأمني، عدد الإصدار 6.0.0 – مايو 2016
- الجزء 3 ب – متطلبات وحدات أمان الأجهزة، عدد الإصدار 6.0.0 – مايو 2016
- إجراءات ساما المعنية بشهادات المفتاح العام المقدمة من هيئة إصدار الشهادات، الإصدار 6.0.1 – أكتوبر 2016

13.3.3 الخدمات المصرفية الإلكترونية

المبدأ

يجب على المؤسسة المالية تحديد معيار الأمن السيبراني للخدمات المصرفية الإلكترونية واعتماده وتنفيذه ومراقبته. ويجب قياس فعالية هذا المعيار وتقييمها بشكل دوري.

الهدف

التأكد من أن المؤسسة المالية تحافظ على سرية وسلامة معلومات العملاء ومعاملاتهم.

اعتبارات التحكم

1.	يجب تحديد معايير الأمن السيبراني للخدمات المصرفية الإلكترونية واعتمادها وتنفيذها.
2.	تجب مراقبة الامتثال لمعايير الأمن السيبراني المتعبة في الخدمات المصرفية الإلكترونية.
3.	يجب قياس مدى فعالية معيار الأمن السيبراني المتبع في الخدمات المصرفية الإلكترونية وتقييمها بشكل دوري.
4.	يجب أن يشمل معيار أمن الخدمات المصرفية الإلكترونية ما يلي:
	أ.	استخدام تدابير حماية العلامة التجارية لحماية الخدمات المتوفرة على الإنترنت بما في ذلك وسائل التواصل الاجتماعي.
	ب.	الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول والهاتف الأرضي:
		1.	استخدام متاجر التطبيقات والمواقع الرسمية (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
		2.	استخدام تدابير الكشف وإزالة التطبيقات والمواقع الضارة (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
		3.	استخدام تقنية البيئة التجريبية (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
		4.	استخدام تقنيات عدم التخزين المؤقت (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
		5.	استخدام تقنيات الاتصال لتجنب وقوع "الهجوم الوسيط" (ينطبق على الخدمات المصرفية المقدمة عبر الإنترنت والهاتف المحمول)؛
		6.	استخدام آليات المصادقة متعددة العوامل:
			أ.	يجب استخدام المصادقة متعددة العوامل أثناء عملية التسجيل للعميل من أجل استخدام الخدمات المصرفية الإلكترونية؛
			ب.	يجب تنفيذ المصادقة متعددة العوامل لجميع الخدمات المصرفية الإلكترونية المتاحة للعملاء؛
			ج.	يجب أن يكون استخدام أجهزة وتطبيقات رموز الأمان محميًا بكلمة مرور؛
			د.	إلغاء وصول العملاء بعد إدخال كلمات مرور غير صحيحة أو أرقام تعريف شخصي غير صالحة لثلاث مرات متتالية؛
			هـ.	يجب ألا تتم عملية تغيير رقم الهاتف المتحرك للعميل إلا من أحد الفروع أو أجهزة الصراف الآلي؛
			و.	يجب أن تتم عمليات طلب وتفعيل المصادقة متعددة العوامل من خلال قنوات التسليم المختلفة؛
			ز.	يجب تنفيذ المصادقة متعددة العوامل للعمليات التالية:
				1.	تسجيل الدخول؛
				2.	إضافة أو تعديل المستفيدين؛
				3.	إضافة خدمات الدفع للجهات الحكومية والمرافق؛
				4.	المعاملات عالية المخاطر (عندما تتجاوز الحدود المحددة مسبقاً)؛
				5.	إعادة تعيين كلمة المرور؛
		7.	يجب أن تتم عمليات إضافة وتفعيل المستفيدين من خلال قنوات التوصيل المختلفة (ينطبق على الخدمات المصرفية المقدمة عبر الهاتف المحمول والإنترنت)؛
		8.	يجب التأكد من توفر الخدمات المصرفية الإلكترونية بكثرة؛
		9.	يجب إبلاغ البنك المركزي والعملاء بفترة التعطيل المقررة للخدمات المصرفية الإلكترونية في الوقت المناسب؛
		10.	.الاتفاقيات التعاقدية بين المؤسسة المالية والعميل التي تنص على الأدوار والمسؤوليات والالتزامات لكل من المؤسسة المالية والعملاء؛
		11.	الحصول على موافقة البنك المركزي قبل إطلاق الخدمة المصرفية الإلكترونية الجديدة.
	ج.	أجهزة الصراف الآلي ونقاط البيع:
		1.	منع استغلال الثغرات الأمنية في تطبيقات الصرافات الآلية/نقاط البيع وفي البنية التحتية واكتشافها (على سبيل المثال، الكابلات، منافذ أجهزة (USB)، إعادة التشغيل) ؛
		2.	تدابير الأمن السيبراني، مثل تقوية أنظمة التشغيل، والحماية من البرامج الضارة، وشاشات حماية الخصوصية، وإخفاء كلمات المرور أو أرقام الحسابات (على سبيل المثال، من الشاشات والإيصالات)، والحظر الجغرافي (على سبيل المثال، تعطيل البطاقات افتراضيًا خارج دول مجلس التعاون الخليجي، وتعطيل المعاملات التي تتم بالشريط المغناطيسي)، والمراقبة بالفيديو (الدائرة التليفزيونية المغلقة)، وإلغاء البطاقات بعد إدخال أرقام تعريف شخصية غير صالحة لثلاث مرات متتالية، وحلول مكافحة النسخ الاحتيالي (الأجهزة/البرامج)، وحماية لوحة رقم التعريف الشخصي؛
		3.	إيقاف أجهزة الصراف الآلي عن بعد في حالة اكتشاف أنشطة ضارة.
	د.	خدمات الإشعارات الفورية عبر الرسائل النصية القصيرة:
		1.	يجب ألا تحتوي الرسائل النصية القصيرة على بيانات حساسة (على سبيل المثال، رصيد الحساب – باستثناء بطاقات الائتمان)؛
		2.	يجب إرسال تنبيه عبر الرسائل النصية القصيرة إلى رقمي الجوال (القديم والجديد) عند تغيير رقم الجوال الخاص بالعميل؛
		3.	يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل عند طلب آلية مصادقة متعددة العوامل جديدة.
		4.	يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل بجميع المعاملات المالية الخاصة ببيع التجزئة وبالأشخاص.
		5.	يجب إرسال إشعار عبر الرسائل النصية القصيرة إلى رقم جوال العميل عند إضافة المستفيدين وتعديلهم وتفعيلهم.

14.3.3 إدارة أحداث الأمن السيبراني

المبدأ

يجب على المؤسسة المالية تحديد واعتماد وتنفيذ عملية لإدارة الأحداث الأمنية لتحليل التسجيلات التشغيلية والأمنية والاستجابة للأحداث الأمنية. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.

الهدف

ضمان التحديد والاستجابة في الوقت المناسب للحالات غير المألوفة أو الأحداث المشتبه فيها فيما يتعلق بأصول المعلومات.

اعتبارات التحكم

1.	يجب تحديد عملية إدارة الأحداث الأمنية واعتمادها وتنفيذها.
2.	يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة الأحداث الأمنية وتقييمها بشكل دوري.
3.	لدعم هذه العملية، يجب تحديد معيار مراقبة الأحداث الأمنية واعتماده وتنفيذه.
	أ.	يجب أن يتناول المعيار، في جميع أصول المعلومات، الأحداث الإلزامية التي تجب مراقبتها بناءً على التصنيف أو ملف المخاطر الخاص بأصل المعلومات.
4.	يجب أن تتضمن عملية إدارة الأحداث الأمنية متطلبات لما يلي:
	أ.	تشكيل فريق معين مسؤول عن المراقبة الأمنية (أي مركز العمليات الأمنية)؛
	ب.	الموظفين المهرة والمدرَّبين (على نحو مستمر)؛
	ج.	منطقة محظورة لتسهيل أنشطة مركز العمليات الأمنية ومساحات العمل؛
	د.	الموارد المطلوبة لأنشطة مراقبة الأحداث الأمنية المستمرة (24 ساعة طوال أيام الأسبوع)؛
	هـ.	اكتشاف ومعالجة الأكواد البرمجية والبرامج الضارة؛
	و.	اكتشاف الأحداث الأمنية أو الأحداث المشبوهة أو غير المألوفة والتعامل معها؛
	ز.	نشر حل تحليل حزم الشبكة الأمنية؛
	ح.	سجلات محمية بشكل كاف؛
	ط.	مراقبة الامتثال الدورية للتطبيقات ومعايير الأمن السيبراني للبنية التحتية
	ي.	التحليل الآلي والمركزي لتسجيلات الأمان وارتباط الأحداث أو الأنماط (أي: إدارة المعلومات والأحداث الأمنية)؛
	ك.	الإبلاغ عن حوادث الأمن السيبراني؛
	ل.	اختبار دوري مستقل لفعالية مركز العمليات الأمنية (على سبيل المثال، فريق محاكاة الاختراق).

15.3.3 إدارة حوادث الأمن السيبراني

المبدأ

يجب على المؤسسة المالية تحديد واعتماد وتنفيذ إدارة حوادث الأمن السيبراني بما يتماشى مع عملية إدارة حوادث المؤسسة، لتحديد حوادث الأمن السيبراني والاستجابة لها والتعافي منها. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.

الهدف

ضمان تحديد حوادث الأمن السيبراني والتعامل معها في الوقت المناسب من أجل الحد من التأثير التجاري (المحتمل) على المؤسسة المالية.

اعتبارات التحكم

1.	يجب تحديد عملية إدارة حوادث الأمن السيبراني واعتمادها وتنفيذها ومواءمتها مع عملية إدارة الحوادث المؤسسية.
2.	يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة حوادث الأمن السيبراني وتقييمها بشكل دوري.
3.	يجب أن يتناول المعيار الأحداث الأمنية المفروضة والمشبوهة التي يجب الاستجابة لها.
4.	يجب أن تتضمن عملية إدارة الحوادث الأمنية متطلبات:
	أ.	تشكيل فريق مخصص مسؤول عن إدارة الحوادث الأمنية؛
	ب.	الموظفين المهرة والمدرَّبين (على نحو مستمر)؛
	ج.	القدرة الكافية المتاحة لطاقم التحقيق الجنائي المعتمد للتعامل مع الحوادث الكبرى (على سبيل المثال، الموظفين الداخليين أو التعاقد مع فريق تحقيق جنائي خارجي)؛
	د.	منطقة محظورة لإتاحة مساحات عمل لفريق الاستجابة لطوارئ الحاسوب؛
	هـ.	تصنيف حوادث الأمن السيبراني؛
	و.	التعامل مع حوادث الأمن السيبراني في الوقت المناسب، وتسجيل التقدم المحرز ومراقبته؛
	ز.	حماية الأدلة والتسجيلات ذات الصلة؛
	ح.	أنشطة ما بعد الحادث، مثل التحقيقات الجنائية، وتحليل الأسباب الجذرية للحوادث؛
	ط.	الإبلاغ عن التحسينات المقترحة إلى الرئيس التنفيذي لأمن المعلومات واللجنة المعنية؛
	ي.	إنشاء مستودع رقمي لحفظ حوادث الأمن السيبراني.
5.	يجب على المؤسسة المالية إبلاغ " قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" فورًا عند وقوع حادث أمني متوسط أو عالي التصنيف وتحديده.
6.	يجب على المؤسسة المالية الحصول على "عدم ممانعة" من "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" قبل أي تفاعل إعلامي يتعلق بالحادث.
7.	يجب على المؤسسة المالية تقديم تقرير رسمي عن الحادث إلى "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" بعد استئناف العمليات، بما في ذلك تفاصيل الحادث التالية:
	أ.	عنوان الحادث؛
	ب.	تصنيف الحادث (متوسط أو مرتفع)؛
	ج.	تاريخ ووقت وقوع الحادث؛
	د.	تاريخ ووقت الحادث المكتشف؛
	هـ.	أصول المعلومات المشمولة؛
	و.	التفاصيل (الفنية) للحادث؛
	ز.	تحليل السبب الجذري؛
	ح.	الأنشطة التصحيحية المنفذة والمخطط لها؛
	ط.	وصف التأثير (على سبيل المثال، فقدان البيانات، وتعطل الخدمات، والتعديل غير المصرح به للبيانات، وتسريب البيانات المقصود (وغير المقصود)، وعدد العملاء المتأثرين بالحادث)؛
	ي.	إجمالي التكلفة المقدرة للحادث؛
	ك.	التكلفة المقدرة للإجراءات التصحيحية.

16.3.3 إدارة التهديدات

المبدأ

يجب على المؤسسة المالية تحديد عملية إدارة استخبارات التهديدات، واعتمادها، وتنفيذها لتحديد التهديدات التي تتعرض لها أصول معلومات المؤسسة المالية وتقييمها وفهمها باستخدام مصادر متعددة موثوقة. ويجب قياس فعالية هذه العملية وتقييمها بشكل دوري.

الهدف

الحصول على فهم مناسب لوضع التهديد الناشئ في المؤسسة المالية.

اعتبارات التحكم

1.	يجب تحديد عملية إدارة استخبارات التهديدات واعتمادها وتنفيذها.
2.	يجب قياس فعالية عملية إدارة استخبارات التهديدات وتقييمها بشكل دوري.
3.	يجب أن تشمل عملية إدارة استخبارات التهديدات ما يلي:
	أ.	الاستعانة بمصادر داخلية، مثل التحكم في الوصول، وسجلات التطبيقات والبنية التحتية، ونظام كشف التسلل، ونظام منع التسلل، وأدوات الأمان، إدارة المعلومات والأحداث الأمنية، ووظائف الدعم (مثل الشؤون القانونية، والتدقيق، ومكتب مساعدة تقنية المعلومات، والتحقيق الجنائي، وإدارة الاحتيال، وإدارة المخاطر والامتثال)؛
	ب.	الاستعانة بمصادر خارجية موثوقة وذات صلة، مثل البنك المركزي، والهيئات الحكومية، والمنتديات الأمنية، وبائعي (المنتجات الأمنية)، والمؤسسات الأمنية والجهات الإعلامية المتخصصة؛
	ج.	منهجية محددة لتحليل معلومات التهديد بشكل دوري؛
	د.	التفاصيل ذات الصلة بالتهديدات المحددة أو المجمعة، مثل طريقة العمل، والجهات الفاعلة، ودوافع التهديدات وأنواعها؛
	هـ.	الصلة بين الاستخبارات المستقاة والقدرة على المتابعة (على سبيل المثال، مركز العمليات الأمنية، وإدارة المخاطر)؛
	و.	تبادل الاستخبارات ذات الصلة مع أصحاب المصلحة المعنيين (مثل أعضاء البنك المركزي، واللجنة المصرفية لأمن المعلومات).

17.3.3 إدارة الثغرات الأمنية

المبدأ

يجب على المؤسسة المالية تحديد عملية إدارة الثغرات الأمنية، واعتمادها، وتنفيذها لتحديد الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية والحد من تأثيرها. ويجب قياس فعالية هذه العملية ويجب تقييم الفعالية بشكل دوري.

الهدف

ضمان التحديد في الوقت المناسب والتخفيف الفعال من الثغرات الأمنية الموجودة في التطبيقات والبنية التحتية من أجل تقليل احتمالية التعرض لها والحد من التأثير على أعمال المؤسسة المالية.

اعتبارات التحكم

1.	يجب تحديد عملية إدارة الثغرات الأمنية واعتمادها وتنفيذها.
2.	يجب قياس فعالية عملية إدارة الثغرات الأمنية وتقييمها بشكل دوري.
3.	يجب أن تتضمن عملية إدارة الثغرات الأمنية ما يلي:
	أ.	جميع أصول المعلومات؛
	ب.	تكرار إجراء فحص الثغرات الأمنية (القائم على المخاطر)؛
	ج.	تصنيف الثغرات الأمنية؛
	د.	جداول زمنية محددة للتخفيف المخاطر (حسب التصنيف)؛
	هـ.	تحديد الأولويات لأصول المعلومات المصنفة؛
	و.	إدارة حزم التحديثات والإصلاحات وطريقة النشر.

4.3 الأمن السيبراني للأطراف الخارجية
عندما تعتمد المؤسسات المالية على خدمات من أطراف خارجية، أو تضطر إلى التعامل معها، فمن الضروري ضمان تنفيذ نفس المستوى من الحماية الأمنية السيبرانية لدى الطرف الخارجي، كما هو الحال داخل المؤسسة المالية.
وتبين هذه الفقرة كيفية تنظيم وتنفيذ ومراقبة متطلبات الأمن السيبراني بين المؤسسة المالية والأطراف الخارجية. تعرَّف الأطراف الخارجية في الدليل التنظيمي الماثل على أنها مقدمي الخدمات المعلوماتية، ومقدمي خدمات التعهيد، ومقدمي خدمات الحوسبة السحابية، والبائعين، والموردين، والوكالات الحكومية، وما إلى ذلك.

1.4.3 إدارة العقود والبائعين

المبدأ

يجب على المؤسسة المالية تحديد ضوابط الأمن السيبراني المطلوبة واعتمادها وتنفيذها ومراقبتها ضمن عمليات إدارة العقود والبائعين.

الهدف

التأكد من استيفاء متطلبات الأمن السيبراني المعتمدة للمؤسسة المالية على النحو المناسب قبل توقيع العقد، ومراقبة وتقييم الامتثال لمتطلبات الأمن السيبراني خلال دورة حياة العقد.

اعتبارات التحكم

1.	يجب تحديد متطلبات الأمن السيبراني واعتمادها وتنفيذها وتبليغها ضمن عمليات إدارة العقود والبائعين.
2.	تجب مراقبة الامتثال لعملية إدارة العقود والموردين.
3.	يجب قياس فعالية ضوابط الأمن السيبراني ضمن عملية إدارة العقود والبائعين وتقييمها بشكل دوري.
4.	يجب أن تشمل عمليات إدارة العقود والبائعين ما يلي:
	أ.	ما إذا كانت مشاركة وظيفة الأمن السيبراني مطلوبة بشكل فعال (على سبيل المثال، في حالة العناية الواجبة)؛
	ب.	متطلبات الأمن السيبراني الأساسية التي يجب تطبيقها في جميع الحالات؛
	ج.	الحق في إجراء مراجعات وتدقيقات للأمن السيبراني بشكل دوري.
5.	يجب أن تشمل عملية إدارة العقد متطلبات:
	أ.	تنفيذ تقييم مخاطر الأمن السيبراني باعتباره جزء من عملية الشراء؛
	ب.	تحديد متطلبات الأمن السيبراني المحددة باعتبارها جزء من عملية المناقصة؛
	ج.	تقييم ردود البائعين المحتملين بشأن متطلبات الأمن السيبراني المحددة؛
	د.	اختبار متطلبات الأمن السيبراني المتفق عليها (القائم على المخاطر)؛
	هـ.	تحديد عملية الاتصال أو التصعيد في حالة وقوع حوادث الأمن السيبراني؛
	و.	التأكد من تحديد متطلبات الأمن السيبراني للخروج من العقد، أو إنهائه، أو تجديده (بما في ذلك اتفاقيات الضمان إن وجدت)؛
	ز.	تحديد اتفاقية السرية المتبادلة.
6.	يجب أن تشمل عملية إدارة البائعين (أي: إدارة مستوى الخدمة) متطلبات:
	أ.	إعداد التقارير الدورية ومراجعة وتقييم متطلبات الأمن السيبراني المتفق عليها تعاقديًا (في اتفاقيات مستوى الخدمة).

2.4.3 إسناد المهام إلى طرف ثالث

المبدأ

يجب على المؤسسة المالية تحديد وتنفيذ ومراقبة ضوابط الأمن السيبراني المطلوبة ضمن سياسة إسناد المهام وعملية إسناد المهام. يجب قياس فعالية ضوابط الأمن السيبراني المحددة وتقييمها بشكل دوري.

الهدف

التأكد من معالجة متطلبات الأمن السيبراني للمؤسسة المالية بشكل مناسب قبل وأثناء وعند الخروج من عقود إسناد المهام إلى طرف ثالث.

اعتبارات التحكم

1.	يجب تحديد متطلبات الأمن السيبراني ضمن سياسة وعملية إسناد المهام واعتمادها وتنفيذها وتبليغها داخل المؤسسة المالية.
2.	يجب قياس متطلبات الأمن السيبراني فيما يتعلق بسياسة وعملية إسناد المهام وتقييمها بشكل دوري.
3.	يجب أن تتضمن عملية إسناد المهام ما يلي:
	أ.	الاعتماد من البنك المركزي قبل إسناد الأعمال الجوهرية؛
	ب.	مشاركة وظيفة الأمن السيبراني؛
	ج.	الالتزام بتعميم البنك المركزي بشأن إسناد المهام إلى طرف ثالث.

3.4.3 الحوسبة السحابية

المبدأ

يجب على المؤسسة المالية تحديد وتنفيذ ومراقبة ضوابط الأمن السيبراني المطلوبة ضمن سياسة وعملية الحوسبة السحابية للخدمات السحابية الهجينة والعامة. يجب قياس فعالية ضوابط الأمن السيبراني المحددة وتقييمها بشكل دوري.

ترجى ملاحظة أن هذا المتطلب لا ينطبق على الخدمات السحابية الخاصة (= السحابة الداخلية).

الهدف

التأكد من أن جميع الوظائف والعاملين داخل المؤسسة المالية على دراية بالاتجاه والموقف المتفق عليهما بشأن الخدمات السحابية المختلطة والعامة، والعملية المطلوبة لطلب الحصول على الخدمات السحابية المختلطة والعامة، والقدرة على تحمل المخاطر بشأن الخدمات السحابية المختلطة والعامة، ومتطلبات الأمن السيبراني المحددة للخدمات السحابية المختلطة والعامة.

اعتبارات التحكم

1.	يجب تحديد ضوابط الأمن السيبراني ضمن سياسة الحوسبة السحابية للخدمات السحابية المختلطة والعامة واعتمادها وتنفيذها وتبليغها داخل المؤسسة المالية.
2.	تجب مراقبة الامتثال لسياسة الحوسبة السحابية.
3.	يجب قياس وتقييم ضوابط الأمن السيبراني المتعلقة بسياسة الحوسبة السحابية وعملية الخدمات السحابية المختلطة والعامة بشكل دوري.
4.	يجب أن تتناول سياسة الحوسبة السحابية للخدمات السحابية المختلطة والعامة متطلبات ما يلي:
	أ.	عملية اعتماد الخدمات السحابية، بما في ذلك:
		1.	يجب إجراء تقييم لمخاطر الأمن السيبراني والعناية الواجبة على مقدم الخدمة السحابية وخدماته السحابية؛
		2.	يجب على المؤسسة المالية الحصول على اعتماد ساما قبل استخدام الخدمات السحابية أو توقيع العقد مع مقدم الخدمة السحابية؛
		3.	يجب إبرام عقد ينص متطلبات الأمن السيبراني قبل استخدام الخدمات السحابية؛
	ب.	موقع البيانات، بما في ذلك ما:
		1.	من حيث المبدأ، يجب استخدام الخدمات السحابية الموجودة في المملكة العربية السعودية فقط، أو عند استخدام الخدمات السحابية خارج المملكة العربية السعودية، يجب على المؤسسة المالية الحصول على موافقة صريحة من ساما؛
	ج.	قيود استخدام البيانات، بما في ذلك ما يلي:
		1.	لا يجوز لمقدم الخدمة السحابية استخدام بيانات المؤسسة المالية لأغراض ثانوية؛
	د.	الأمن، بما في ذلك:
		1.	يجب على مقدم الخدمة السحابية تنفيذ ومراقبة ضوابط الأمن السيبراني على النحو المحدد في تقييم المخاطر لحماية سرية وسلامة وتوافر بيانات المؤسسة المالية؛
	هـ.	فصل البيانات، بما في ذلك ما يلي:
		1.	يتم فصل بيانات المؤسسة المالية بشكل منطقي عن البيانات الأخرى التي يحتفظ بها مقدم الخدمة السحابية، بما في ذلك وجوب أن يكون مقدم الخدمة السحابية قادرًا على تحديد بيانات المؤسسة المالية وأن يكون قادرًا في جميع الأوقات على تمييزها عن البيانات الأخرى.
	و.	استمرارية الأعمال، بما في ذلك:
		1.	استيفاء متطلبات استمرارية الأعمال وفقًا لسياسة استمرارية الأعمال الخاصة بالمؤسسة المالية؛
	ز.	التدقيق والمراجعة والمراقبة، بما في ذلك:
		1.	يحق للمؤسسة المالية إجراء مراجعة للأمن السيبراني لدى مقدم الخدمة السحابية؛
		2.	يحق للمؤسسة المالية إجراء تدقيق للأمن السيبراني لدى مقدم الخدمة السحابية؛
		3.	يحق للمؤسسة المالية إجراء فحص الأمن السيبراني لدى مقدم الخدمة السحابية؛
	ح.	الخروج، بما في ذلك ما يلي:
		1.	تتمتع المؤسسة المالية بحقوق الإنهاء؛
		2.	يجب على مقدم الخدمة السحابية إعادة بيانات المؤسسة المالية عند الإنهاء؛
		3.	يجب على مقدم الخدمة السحابية حذف بيانات المؤسسة المالية حذفا لا رجعة فيه عند الإنهاء.

الملاحق

الملحق أ - نظرة عامة على تعاميم البنك المركزي السعودي الصادرة سابقًا
يحل الدليل التنظيمي لأمن المعلومات الماثل محل تعاميم البنك المركزي الصادرة مسبقًا التالية:
يشير الدليل التنظيمي الماثل إلى تعاميم أو وثائق البنك المركزي التالية فيما يتعلق بأنظمة الدفع:
- للحصول على معلومات عن النظام السعودي للتحويلات المالية السريعة (سريع)، يرجى الرجوع إلى سياسة أمن المعلومات المتبعة في نظام (سريع)، الإصدار 1.0 – يونيو 2016.
- للحصول على معلومات حول نظام المدفوعات الوطني (مدى)، يرجى الرجوع إلى الأقسام التالية في الكتاب التقني لقواعد ومعايير نظام "مدى" (راجع الملحق "أ"):
- الجزء 3 أ – إطار العمل الأمني، عدد الإصدار 6.0.0 – مايو 2016
- الجزء 3 ب – متطلبات وحدات أمان الأجهزة، عدد الإصدار 6.0.0 – مايو 2016
- إجراءات البنك المركزي المعنية بشهادات المفتاح العام المقدمة من هيئة إصدار الشهادات، الإصدار 6.0.1 – أكتوبر 2016
يشير الدليل التنظيمي إلى تعاميم أو وثائق البنك المركزي التالية فيما يتعلق بإسناد المهام وإدارة استمرارية الأعمال:
- تعليمات إسناد مهام لطرف ثالث ، 424/م أ ش/34720, 2008/7/20 ؛
- الدليل التنظيمي لإدارة استمرارية الأعمال، 381000058504، 1438/06/01هـ

الملحق "ب" - كيفية طلب تحديث الدليل التنظيمي
يبين الرسم التوضيحي الوارد أدناه خطوات عملية طلب تحديث الدليل التنظيمي.
- معلومات تفصيلية مدعمة بالإيجابيات والسلبيات حول التحديث المقترح.
- يجب أولاً اعتماد الطلب من قبل الرئيس التنفيذي لأمن المعلومات قبل تقديمه إلى لجنة الأمن السيبراني.
- يجب اعتماد الطلب من قبل اللجنة الإشرافية للأمن السيبراني بالمؤسسة المالية.
- يجب إرسال الطلب كتابيًا رسميًا إلى البنك المركزي عن طريق الرئيس التنفيذي أو العضو المنتدب العام للمؤسسة المالية إلى نائب المحافظ لشؤون الإشراف.
- سوف يقيّم قسم "الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" الطلب ويبلغ المؤسسة المالية بالنتيجة.
- يظل الدليل الحالي قابلاً للتطبيق أثناء دراسة التحديث المطلوب ومعالجته والموافقة عليه ثم الشروع في تنفيذه إن أمكن.

الملحق "ج" - نموذج طلب تحديث الدليل التنظيمي

طلب تحديث الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي

تقديم الطلب إلى نائب محافظ البنك المركزي لشؤون الإشراف على مخاطر تقنية المعلومات

سوف ينظر البنك المركزي في الطلبات التي تقدمها أي من المؤسسات المالية لتحديث الدليل التنظيمي لأمن المعلومات الخاص بها بناءً على المعلومات المقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل تحديث مطلوب. وترجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة على النحو الصحيح قبل أن يبدأ البنك المركزي عملية المراجعة.

معلومات مقدم الطلب

توقيع مقدم الطلب* x	منصب مقدم الطلب*	التاريخ*
اسم مقدم الطلب*	المؤسسة المالية التي ينتمي إليها مقدم الطلب*

قسم الإطار*:

الغرض من التحديث المطلوب (بما في ذلك المعلومات التفصيلية عن إيجابياته وسلبياته)*:

المقترح*:

الموافقات

1.اعتماد الرئيس التنفيذي لأمن المعلومات بالمؤسسة المالية*	التاريخ*
2. اعتماد لجنة الأمن السيبراني التابعة للمؤسسة المالية*	منصب المعتمد*	التاريخ*

* تشير إلى الحقول الإلزامية

الملحق "د" - كيفية طلب الإعفاء من الدليل التنظيمي
يبين الرسم التوضيحي الوارد أدناه عملية طلب الإعفاء من الدليل التنظيمي.
- وصف تفصيلي لأسباب عدم قدرة البنك على الوفاء بالضابط المطلوب.
- بيان تفاصيل الضوابط البديلة المتاحة أو المقترحة.
- يجب أولاً اعتماد طلب الإعفاء من قبل الرئيس التنفيذي لأمن المعلومات قبل تقديمه إلى لجنة الأمن السيبراني.
- يجب اعتماد طلب الأعفاء من قبل أعضاء لجنة الأمن السيبراني التابعة للمؤسسة المالية.
- يجب أن يوقع الرئيس التنفيذي لأمن المعلومات ومالك (العمل) المعني على طلب الإعفاء.
- يجب رسميًا إصدار طلب الإعفاء كتابيًا إلى البنك المركزي عن طريق الرئيس التنفيذي أو العضو المنتدب للمؤسسة المالية أو إلى نائب المحافظ لشؤون الإشراف.
- سوف يقيّم "قسم الإشراف على مخاطر تقنية المعلومات التابع للبنك المركزي" طلب الإعفاء ويبلّغ المؤسسة المالية بالنتيجة.
- يظل الدليل التنظيمي الحالي سارياً أثناء تقييم ومعالجة الأعفاء المطلوب، حتى لحظة منح الإعفاء.

الملحق "هـ" - نموذج طلب الإعفاء من الدليل التنظيمي

طلب الإعفاء من الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي

تقديم الطلب إلى نائب محافظ البنك المركزي لشؤون الإشراف على مخاطر تقنية المعلومات

سوف ينظر البنك المركزي في الطلبات التي تقدمها أي من المؤسسات المالية للإعفاء من الدليل التنظيمي لأمن المعلومات الخاص بها بناءً على المعلومات المقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل إعفاء مطلوب. يُرجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة بشكل صحيح قبل أن يبدأ البنك المركزي في المراجعة.

معلومات مقدم الطلب

توقيع مقدم الطلب* x	منصب مقدم الطلب*	التاريخ*
اسم مقدم الطلب*	المؤسسة المالية التي ينتمي إليها مقدم الطلب*

مراقبة الإطار*:

وصف تفصيلي لسبب عدم إمكانية تنفيذ عنصر الرقابة*:

وصف تفصيلي لضوابط التعويض المتاحة أو المقترحة*:

الموافقات

1. اعتماد الرئيس التنفيذي لأمن المعلومات بالمؤسسة المالية*	التاريخ*
2. اعتماد لجنة الأمن السيبراني التابعة للمؤسسة المالية*	منصب المعتمد*	التاريخ*

* تشير إلى الحقول الإلزامية

الملحق "و" – قائمة المصطلحات

المصطلح	الوصف
إدارة الوصول	إدارة الوصول تُعرف على أنها عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول من جانب المستخدمين غير المصرح لهم.
حل عدم نسخ البطاقات	حل يراقب بيئة جهاز الصراف الآلي أو نقطة البيع بحثًا عن آليات التسلل المثبتة بشكل غير قانوني (سواء كانت في صورة أجهزة أو برمجيات).
القائمة البيضاء للتطبيقات	قائمة بالتطبيقات ومكوناتها (المكتبات، وملفات التكوين، وما إلى ذلك) المصرح بوجودها أو تنشيطها على المضيف وفقًا لخط أساس محدد جيدًا. وتهدف تقنيات القائمة البيضاء للتطبيقات إلى إيقاف تنفيذ البرمجيات الخبيثة والبرامج الأخرى غير المصرح بها. وعلى عكس تقنيات الأمان، مثل برامج مكافحة الفيروسات، التي تستخدم القوائم السوداء لحظر الأنشطة السيئة المعروفة والسماح بجميع الأنشطة الأخرى، تم تصميم تقنيات القائمة البيضاء للتطبيقات للسماح بالأنشطة المعروفة وحظر جميع الأنشطة الأخرى. (دليل القوائم البيضاء للتطبيقات الواردة في المنشور رقم 800-167 الصادر من المعهد الوطني للمعايير والتقنية)
التهديد المستمر المتقدم	التهديد المستمر المتقدم عدو يمتلك مستويات متطورة من الخبرة والموارد الكبيرة التي تسمح له بخلق فرص لتحقيق أهدافه باستخدام ناقلات هجوم متعددة (على سبيل المثال، بالأساليب السيبرانية والمادية، وبالخداع). وتتضمن هذه الأهداف عادةً ترسيخ وضع التهديد وتوسعه داخل البنية التحتية لتقنية المعلومات للمؤسسات المستهدفة لأغراض إخراج المعلومات، أو تقويض الجوانب الحساسة أوعرقلتها لإحدى المهام أو البرامج أو المؤسسات؛ أو الاستعداد لتنفيذ هذه الأهداف في المستقبل. التهديد المستمر المتقدم: (1) يسعى لتحقيق أهدافه بشكل متكرر على مدى فترة طويلة من الزمن؛ (2) يتكيف مع جهود المدافعين لمقاومتها؛ (3) لديه إصرار على الحفاظ على مستوى التفاعل اللازم لتنفيذ أهدافه. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الأصول	العملية المنهجية لنشر الأصول وتشغيلها وصونها وتحديثها والتخلص منها بطريقة آمنة ومأمونة وفعالة من حيث التكلفة.
الثقة	أسباب الثقة في أن الأهداف الأمنية الأربعة الأخرى (النزاهة والتوافر والسرية والمساءلة) قد تم استيفائها على النحو المناسب من خلال تنفيذ محدد. تتضمن عبارة "تم استيفائها بشكل مناسب" (1) الوظيفة التي تعمل بشكل صحيح، (2) الحماية الكافية ضد الأخطاء غير المقصودة (من قبل المستخدمين أو البرامج)، و(3) المقاومة الكافية للاختراق المتعمد أو التجاوز. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
سجل تدقيق	سجل يوضح من قام بالوصول إلى نظام تقنية المعلومات وماهي العمليات التي نفذها المستخدم خلال فترة معينة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
مصفوفة التفويض	مصفوفة تحدد الحقوق والتصاريح التي يحتاجها دور وظيفي محدد للحصول على المعلومات. وتسرد المصفوفة كل مستخدم، ومهام العملية التجارية التي يقوم بها، والأنظمة المتأثرة بها.
التوفر	ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تطبيقات الأعمال	أي برنامج أو مجموعة من البرامج الحاسوبية التي يستخدمها مستخدمو الأعمال لأداء وظائف الأعمال المختلفة.
استمرارية الأعمال	قدرة المؤسسة على مواصلة تقديم خدمات تقنية المعلومات والأعمال بمستويات مقبولة محددة مسبقًا بعد وقوع حادث تخريبي. (معيار ISO 22301:2012 للأمن المجتمعي -- أنظمة إدارة استمرارية الأعمال)
أحضر جهازك الخاص	يشير مصطلح "أحضر جهازك الخاص" إلى الأجهزة التي يملكها الأشخاص (الحواسيب المحمولة، والأجهزة اللوحية، والهواتف الذكية) والتي يُسمح للموظفين والمقاولين باستخدامها لتنفيذ وظائف العمل.
دائرة تلفزيونية مغلقة	الدائرة التلفزيونية المغلقة هو استخدام كاميرات الفيديو لنقل إشارة إلى مكان معين، على مجموعة محدودة من الشاشات.
الرئيس التنفيذي	الرئيس التنفيذي هو المسؤول التنفيذي الذي يتمتع بسلطة اتخاذ القرارات الرئيسية في المؤسسة.
فريق الاستجابة لطوارئ الحاسوب	فريق الاستجابة لطوارئ الحاسوب هو مجموعة من الخبراء الذين يتعاملون مع حوادث أمان الحاسوب.
إدارة التغيير	التحديد والتنفيذ المحكم للتغييرات المطلوبة داخل الأعمال أو نظم المعلومات.
الرئيس التنفيذي للمعلومات	الرئيس التنفيذي للمعلومات. مسؤول تنفيذي رفيع المستوى مسؤول عن تقنية المعلومات وأنظمة الحاسوب التي تدعم أهداف المؤسسة.
الرئيس التنفيذي لأمن المعلومات	الرئيس التنفيذي لأمن المعلومات مسؤول تنفيذي رفيع المستوى تكون مسؤوليته إنشاء وصيانة رؤية واستراتيجية وبرنامج الأمن السيبراني للمؤسسة لضمان حماية الأصول المعلوماتية والتقنيات بشكل كاف.
مخطط تصنيف	راجع "تصنيف البيانات".
حوسبة سحابية	نموذج يُستخدم لإتاحة وصول الشبكة عند الطلب إلى مجموعة مشتركة من إمكانات/موارد تقنية المعلومات القابلة للتكوين (مثل الشبكات، والخوادم، والتخزين، والتطبيقات، والخدمات) والتي يمكن توفيرها وإصدارها بسرعة بأقل جهد إداري أو تفاعل مع مقدم الخدمة. وبذلك يسمح للمستخدمين بالوصول إلى الخدمات القائمة على تقنية المعلومات من خلال سحابة الشبكة دون الحاجة إلى اكتساب معرفة أو خبرة في البنية التحتية لتقنية المعلومات التي تدعم هذه الخدمات أو إلى التحكم فيها. ويتألف هذا النموذج السحابي من خمس خصائص أساسية (الخدمة الذاتية عند الطلب، والوصول إلى الشبكة في كل مكان، وتجميع الموارد ذات الموقع المستقل، والمرونة مع السرعة، والخدمة المقاسة)؛ ويشمل ثلاثة نماذج لتقديم الخدمات: (البرمجيات السحابية كخدمة، والمنصة السحابية كخدمة، والبنية التحتية السحابية كخدمة)؛ وأربعة نماذج للوصول المؤسسي (السحابة الخاصة، والسحابة المجتمعية، والسحابة العامة، والسحابة الهجينة). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
ضابط أمني بديل	ضابط إداري، و/أو تشغيلي، و/أو فني (مثل الإجراءات الوقائية أو التدابير المضادة) التي تستخدمها مؤسسة بدلاً من الضوابط الأمنية الموصى بها في خطوط الأساس الدنيا أو المتوسطة أو المرتفعة بما يوفر حماية مكافئة أو قابلة للمقارنة لنظام المعلومات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
السرية	الاحتفاظ بقيود مصرح بها على الوصول إلى المعلومات و الإفصاح عنها ، بما في ذلك وسائل حماية معلومات الخصوصية والملكية الشخصية. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
التعبئة في الحاويات	طريقة افتراضية لنشر وتشغيل التطبيقات الموزعة دون تشغيل جهاز افتراضي لكل تطبيق. وبدلاً من ذلك، تعمل أنظمة معزولة متعددة على مضيف تحكم واحد وتصل إلى نواة واحدة.
فعالية التحكم	قياس صحة التنفيذ (أي مدى توافق تنفيذ التحكم مع الخطة الأمنية) ومدى تلبية الخطة الأمنية لاحتياجات المؤسسة حسب القدرة على تحمل المخاطر في الوقت الحالي. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الرئيس التنفيذي للعمليات	الرئيس التنفيذي للعمليات. مسؤول تنفيذي رفيع المستوى مسؤول عن التشغيل اليومي للمؤسسة.
حلول التشفير	الحلول المتعلقة بالتشفير. الرجوع إلى "التشفير".
التشفير	مجال يشتمل على مبادئ ووسائل وأساليب تحويل البيانات من أجل إخفاء محتواها الدلالي أو منع الاستخدام غير المصرح به أو اكتشاف التعديل عليها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الإشراف	المسؤولية عن التحكم في الوصول إلى المعلومات وإجراء المحاسبة وحمايتها وإتلافها وفقًا للسياسة الأمنية المتبعة في المؤسسة.
المخاطر السيبرانية	الخطر الذي يهدد عمليات المؤسسة (بما في ذلك رسالتها، ووظائفها، وصورتها، وسمعتها) وأصول المؤسسة، والأفراد، والمؤسسات الأخرى والوطن، بسبب احتمالية الوصول غير المصرح به إلى المعلومات و/أو إلى أنظمة المعلومات، و/أو استخدامها، أو الكشف عنها، أو تعطيلها، أو تعديلها، أو إتلافها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الأمن السيبراني	يعرَّف الأمن السيبراني على أنه مجموعة من الأدوات، والسياسات، والمفاهيم الأمنية، وتدابير الوقاية الأمنية، والمبادئ التوجيهية، وأساليب إدارة المخاطر، والإجراءات، والتدريبات، وأفضل الممارسات والضمانات، والتقنيات التي يمكن استخدامها لحماية أصول معلومات المؤسسة المالية ضد التهديدات الداخلية والخارجية.
هيكلية الأمن السيبراني	جزء لا يتجزأ من هيكلية المؤسسة ويصف هيكل وسلوك العمليات الأمنية للمؤسسة، وأنظمة الأمن السيبراني والموظفين والوحدات الفرعية المؤسسية، مما يوضح توافقها مع رسالة المؤسسة وخططها الإستراتيجية. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تدقيق الأمن السيبراني	المراجعة والفحص المستقلان للسجلات والأنشطة المتعلقة بالأمن لتوفير ضمان إلى حد معقول بأن ضوابط النظام كافية وأن السياسات المعمول بها والإجراءات التشغيلية متوافقة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الوعي بالأمن السيبراني	الأنشطة التي تسعى إلى تركيز انتباه الفرد على قضايا الأمن السيبراني. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
برنامج التوعية بالأمن السيبراني	برنامج يشرح قواعد السلوك المناسبة للاستخدام الآمن لأنظمة ومعلومات تقنية المعلومات. ويقوم البرنامج بتبليغ سياسات وإجراءات الأمن السيبراني التي يجب اتباعها.
ضوابط الأمن سيبراني	الضوابط الإدارية و/أو التشغيلية و/أو الفنية (مثل الإجراءات الوقائية أو التدابير المضادة) المقررة لنظام المعلومات لحماية سرية وسلامة وتوافر النظام ومعلوماته. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
فحص الأمن السيبراني	مراجعة السجلات والأنشطة المتعلقة بالأمن للسجلات والأنشطة لتقييم مدى كفاية ضوابط النظام، ولضمان الامتثال للسياسات المعمول بها والإجراءات التشغيلية. لا يوفر الفحص بمفرده الضمان الكامل.
وظيفة الأمن السيبراني	وظيفة مستقلة عن وظيفة تقنية المعلومات، يرأسها الرئيس التنفيذي لأمن المعلومات وترفع تقاريرها مباشرة إلى الرئيس التنفيذي / العضو المنتدب للمؤسسة المالية أو المدير العام لإحدى وظائف التحكم. تتولى وظيفة أمن المعلومات المسؤولية عن:
	–	دعم سياسات أمن المعلومات، وتحديد أدوار أمن المعلومات ومسؤولياته، وتحديد أهداف أمن المعلومات للتنفيذ؛
	–	توفير أطر عمل أمن المعلومات وإدارة مخاطر المعلومات؛
	–	تحديد مشاكل أمن المعلومات المعروفة والناشئة؛
	–	تحديد التحولات في مدى قدرة تحمل المؤسسات لمخاطر المعلومات ضمنيا؛
	–	مساعدة الإدارة في تطوير عمليات وضوابط أمن المعلومات لإدارة مخاطر أمن المعلومات ومشاكل أمن المعلومات؛
	–	توفير التوجيه والتدريب بشأن عمليات أمن المعلومات وإدارة مخاطر المعلومات؛
	–	تسهيل ومراقبة تنفيذ الممارسات الفعالة لأمن المعلومات وإدارة مخاطر المعلومات من خلال الإدارة التشغيلية؛
	–	تنبيه الإدارة التشغيلية إلى قضايا أمن المعلومات الناشئة وسيناريوهات المخاطر التنظيمية والمعلوماتية المتغيرة؛
	–	مراقبة مدى كفاية وفعالية الرقابة الداخلية، ودقة واكتمال التقارير، والامتثال للقوانين واللوائح المتعلقة بأمن المعلومات، ومعالجة أوجه القصور في الوقت المناسب.
حوكمة الأمن السيبراني	مجموعة من المسؤوليات والممارسات التي يمارسها مجلس الإدارة والإدارة التنفيذية بهدف توفير التوجيه الاستراتيجي للأمن السيبراني، وضمان تحقيق أهداف الأمن السيبراني، والتأكد من إدارة المخاطر السيبرانية بشكل مناسب والتحقق من استخدام موارد المؤسسة على نحو مسؤول.
حادث الأمن السيبراني	حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة حوادث الأمن السيبراني	مراقبة واكتشاف الأحداث الأمنية على أنظمة المعلومات وتنفيذ الاستجابات المناسبة لتلك الأحداث.
سياسة الأمن السيبراني	مجموعة معايير لتقديم الخدمات الأمنية. وتحدد هذه السياسة أنشطة مرفق معالجة البيانات وتقيدها من أجل الحفاظ على الحالة الأمنية للأنظمة والبيانات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
برنامج الأمن السيبراني	هيكل إداري تنازلي وآلية لتنسيق الأنشطة الأمنية في المؤسسة بأكملها.
مراجعة الأمن السيبراني	المراجعة والفحص المستقلان للسجلات والأنشطة المتعلقة بالأمن لتوفير ضمان محدود بأن ضوابط النظام كافية وأن السياسات المعمول بها والإجراءات التشغيلية متوافقة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تقييم مخاطر الأمن السيبراني	عملية تحديد المخاطر التي تهدد العمليات المؤسسية، والأصول المؤسسية ، والأفراد، المؤسسات الأخرى، والوطن، والتي تنشأ من خلال تشغيل نظام المعلومات. وهي جزء من إدارة المخاطر، وتتضمن تحليلات التهديدات والثغرات الأمنية وتأخذ في الاعتبار عمليات التخفيف من المخاطر التي توفرها الضوابط الأمنية المخطط لها أو المعمول بها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة مخاطر الأمن السيبراني	عملية إدارة المخاطر التي تهدد العمليات المؤسسية، والأصول المؤسسية، والأفراد، والمؤسسات الأخرى، والوطن، الناتجة عن تشغيل نظام المعلومات، وتتكون من (1) تقييم المخاطر؛ (2) تنفيذ استراتيجية تخفيف المخاطر؛ و(3) استخدام التقنيات والإجراءات للمراقبة المستمرة للحالة الأمنية لنظام المعلومات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
استراتيجية الأمن السيبراني	خطة رفيعة المستوى، تتألف من مشاريع ومبادرات للتخفيف من مخاطر الأمن السيبراني مع الامتثال للمتطلبات القانونية والتشريعية والتعاقدية والداخلية المقررة.
تهديد الأمن السيبراني	أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
تصنيف البيانات	القرار الواعي بتحديد مستوى من الحساسية للبيانات أثناء إنشائها، أو تعديلها، أو تحسينها، أو تخزينها، أو نقلها. ويجب أن يحدد تصنيف البيانات بعد ذلك مدى احتياج البيانات إلى التحكم/الأمن، كما يشير أيضًا إلى قيمتها من حيث أصول الأعمال.
تقطيع مزدوج	تقنية تستخدم أدوات التقطيع أو الشفرات لتقطيع الوسائط إلى قطع بحجم قصاصات الورق.
هيكلية المؤسسة	وصف مجموعة أنظمة المعلومات الكاملة للمؤسسة: كيفية تكوينها، وكيفية تكاملها، وكيفية تفاعلها مع البيئة الخارجية على حدود المؤسسة، وكيفية تشغيلها لدعم رسالة المؤسسة، وكيفية مساهمتها في الوضع الأمني العام للمؤسسة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة المخاطر المؤسسية	الأساليب والعمليات التي تستخدمها المؤسسة لإدارة المخاطر التي تهدد رسالتها وإنشاء الثقة اللازمة للمؤسسة لدعم المهام المشتركة. وتشتمل على تحديد اعتمادية الرسالة في تحقيق أهدافها على قدرات المؤسسة، وتحديد المخاطر وترتيب أولوياتها بسبب التهديدات المحددة، وتنفيذ التدابير المضادة لتوفير وضع خطر ثابت واستجابة ديناميكية فعالة للتهديدات النشطة؛ وتقوم بتقييم أداء المؤسسة ضد التهديدات وتعديل الإجراءات المضادة حسب الضرورة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
خطة بديلة	إجراءات وتدابير العمل، التي يتم اتخاذها عندما تؤدي الأحداث إلى تنفيذ خطة استمرارية الأعمال أو خطة الطوارئ.
التحقيقات الجنائية	ممارسة جمع البيانات المتعلقة بالحاسوب، والاحتفاظ بها، وتحليلها لأغراض التحقيق بطريقة تحافظ على سلامة البيانات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
موثقة رسمياً	الوثائق التي يتم كتابتها والموافقة عليها من قبل القيادة العليا ونشرها على الأطراف المعنية.
خادم البوابة	واجهة توفر التوافق بين الشبكات عن طريق تحويل سرعات النقل، أو البروتوكولات، أو الأكواد، أو التدابير الأمنية. ويقوم بتوجيه الاتصالات بين الشبكات، لكنه لا يقوم بتصفيتها. انظر أيضًا "الخادم الوكيل".
دول مجلس التعاون الخليجي	أعضاء مجلس التعاون الخليجي، وهو تحالف سياسي واقتصادي يضم مملكة البحرين، ودولة الكويت، وسلطنة عمان، ودولة قطر، والمملكة العربية السعودية، ودولة الإمارات العربية المتحدة.
الحجب الجغرافي	شكل من أشكال الرقابة على الإنترنت حيث يتم تقييد الوصول إلى المحتوى بناءً على الموقع الجغرافي للمستخدم.
جهاز التحقق من الهوية	جهاز التحقق من الهوية (المعروف أيضًا باسم "جهاز المصادقة") هو جهاز أمان للأجهزة يُستخدم للتصريح للمستخدم باستخدام النظام. ويتم استخدام بعض أجهزة رموز الأمان مع إجراءات أمنية أخرى لزيادة تعزيز الأمان (المعروفة باسم المصادقة متعددة العوامل). انظر أيضًا "برنامج التحقق من الهوية".
الخدمات السحابية الهجينة	خدمة حوسبة سحابية تتكون من مجموعة من الخدمات السحابية الخاصة، والعامة، والمجتمعية، من مقدمي خدمات مختلفين. (غارتنر-Gartner)
إدارة الهوية	عملية التحكم في المعلومات المتعلقة بالمستخدمين على أجهزة الكمبيوتر، بما في ذلك كيفية مصادقتهم والأنظمة المصرح لهم بالوصول إليها و/أو الإجراءات المصرح لهم بتنفيذها. كما تتضمن أيضًا إدارة المعلومات الوصفية عن المستخدم وكيفية الوصول إلى تلك المعلومات وتعديلها ومن قبل الذين يمكنهم الوصول إليها وتعديلها. وعادة ما تتضمن الكيانات المُدارة المستخدمين، والأجهزة وموارد الشبكة، وحتى التطبيقات.
نظام كشف التسلل	نظام كشف التسلل أحد منتجات الأجهزة أو البرامج التي تقوم بجمع وتحليل المعلومات من مناطق مختلفة داخل الحاسوب أو الشبكة لتحديد الخروقات الأمنية المحتملة، والتي تشمل كلاً من عمليات التسلل (الهجمات من خارج المؤسسات) وإساءة الاستخدام (الهجمات من داخل المؤسسات). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الحوادث	راجع "إدارة حوادث الأمن السيبراني".
خطة إدارة الحوادث	توثيق مجموعة محددة مسبقًا من التعليمات أو الإجراءات للكشف عن عواقب الهجوم السيبراني الضار على نظام (أنظمة) معلومات المؤسسة والاستجابة لها والحد منها. راجع أيضًا "إدارة حوادث الأمن السيبراني". (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حرق	طريقة لإتلاف الوسائط والأجهزة باستخدام الحرارة العالية.
مؤشر الاختراق	أحد العناصر أو البقايا الجنائية الدالة على التسلل التي يمكن التعرف عليها على مضيف أو شبكة. مؤتمر (RSA)
السلامة	الحماية من التعديل، أو الإتلاف غير الصحيح للمعلومات، وتتضمن ضمان عدم إنكار المعلومات وصحتها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
نظام منع التسلل	يمكن لنظام منع التسلل اكتشاف نشاط متسلل ويمكنه أيضًا محاولة إيقاف النشاط، وحبذا لو كان قبل وصول هذا النشاط إلى أهدافه. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حذف لا رجعة فيه	راجع "المسح الآمن"
تجاوز القيود	أحد أشكال تصعيد الامتيازات الذي يزيل قيود البرامج التي تفرضها الشركة المصنعة للبرنامج، وغالبًا ما يؤدي إلى الحصول على امتيازات غير محدودة على الجهاز.
مؤشر الأداء الرئيسي	نوع من أنواع قياس الأداء الذي يقيم نجاح مؤسسة ما أو نشاط معين تشارك فيه. ويستخدم الحد العددي عادةً لتصنيف الأداء.
مؤشر المخاطر الرئيسي	مقياس يستخدم للإشارة إلى احتمالية تجاوز النشاط أو المؤسسة لمدى قدرتها على تحمل المخاطر المحددة. وتستخدم المؤسسات مؤشرات المخاطر الرئيسية لتعطيها إشارة مبكرة لزيادة التعرض للمخاطر في المجالات الوظيفية المختلفة للمؤسسة.
احتمالية	عامل مرجح يعتمد على تحليل احتمالية قدرة تهديد معين على استغلال ثغرة أمنية معينة.
البرمجيات الخبيثة	برنامج يتم إدراجه في النظام، بشكل سري عادةً، بهدف انتهاك سرية أو سلامة أو توفر بيانات الضحية أو تطبيقاتها أو نظام التشغيل أو إزعاج الضحية أو تعطيل عملها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الأجهزة المحمولة	إدارة الأجهزة المحمولة هو مصطلح من مصطلحات الصناعة لإدارة الأجهزة المحمولة.
مؤسسة مالية	المؤسسات المالية التابعة للبنك المركزي.
جهاز محمول	وسائط تخزين محمولة قابلة للإزالة تعتمد على خراطيش الأقراص/الأقراص (مثل الأقراص المرنة، والأقراص المدمجة، وأجهزة تتخزين USB، ومحركات الأقراص الصلبة الخارجية، وبطاقات الذاكرة الوميضية الأخرى أو المحركات التي تحتوي على ذاكرة غير متطايرة). جهاز حوسبة واتصالات محمول مزود بقدرة تخزين المعلومات (مثل أجهزة الحاسوب (الدفترية/بوك)/أجهزة الحاسوب المحمولة، وأجهزة المساعدة الرقمية الشخصية، والجوالات، والكاميرات الرقمية، وأجهزة تسجيل الصوت). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
المصادقة متعددة العوامل	المصادقة باستخدام عاملين أو أكثر لتحقيق المصادقة. تشمل العوامل ما يلي: (1) شيء تعرفه (مثل كلمة المرور/رقم التعريف الشخصي)؛ (2) أو شيء تملكه (على سبيل المثال، جهاز تعريف التشفير، جهاز رمز الأمان)؛ أو (3) شيء تتميز به (على سبيل المثال، القياسات الحيوية). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
نيست (NIST)	المعهد الوطني للمعايير والتكنولوجيا (الأمريكي) (nist.gov)
عدم التنصل	الحماية ضد أي فرد ينكر زوراً أنه قام بعمل معين. يوفر القدرة على تحديد ما إذا كان فرد معين قد اتخذ إجراءً معينًا مثل إنشاء معلومات، وإرسال الرسائل، والموافقة على المعلومات، وتلقي الرسائل. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حزمة تحديث إصلاح	تحديث لنظام التشغيل، أو التطبيق، أو أي برنامج آخر تم إصداره خصيصًا لتصحيح مشكلات معينة في البرنامج. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة حزم التحديثات والإصلاحات	الإعلان عن تنقيحات نظام التشغيل والأكواد البرمجية، وتحديدها، ونشرها، وتثبيتها، والتحقق منها بطريقة منتظمة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
نظام سنترال داخلي	نظام السنترال الداخلي هو بدالة هاتفية أو نظام تحويل يخدم مؤسسة خاصة ويكثف عمله في خطوط المكتب المركزي ويتيح الاتصال الداخلي بين عدد كبير من المحطات الهاتفية داخل المؤسسة.
معيار أمان بيانات صناعة بطاقات الدفع	يعد معيار أمان بيانات صناعة بطاقات الدفع معيارًا خاصًا للأمن السيبراني للمؤسسات التي تتعامل مع بطاقات الائتمان ذات العلامات التجارية المتوفرة من منظومات البطاقات الرئيسية بما في ذلك بطاقات فيزا، وماستر كارد، وأمريكان اكسبريس، وديسكفر، وجي سي بي.
اختبار الاختراق	منهجية اختبار يحاول من خلالها المقيِّمون، الذين يعملون في ظل قيود محددة ويستخدمون بشكل اختياري جميع الوثائق المتاحة (على سبيل المثال، تصميم النظام، وكود المصدر، والأدلة التشغيلية)، التحايل على الخصائص الأمنية لنظام المعلومات. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
الأجهزة الشخصية	الأجهزة التي لا تملكها أو تصدرها المؤسسة مثل الهواتف الذكية.
الأمن المادي	الحماية المادية للمنشآت التي تستضيف أصول المعلومات ضد الأحداث الأمنية المقصودة وغير المقصودة.
رقم التعريف الشخصي	كلمة مرور مكونة من أرقام عشرية فقط. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
حساب / وصول مميز	حساب نظام معلومات يتمتع بصلاحيات معتمدة لأداء المهام المتعلقة بالأمن والتي لا يجوز للمستخدمين العاديين القيام بها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
خادم وكيل	خادم يخدم طلبات عملائه عن طريق إعادة توجيه تلك الطلبات إلى خوادم أخرى. ويقوم بتوجيه وتصفية الاتصالات بين الشبكات. انظر أيضًا "خادم البوابة".
الخدمة السحابية العامة	الخدمات التي يتم تقديمها عبر شبكة مفتوحة للجمهور. يمتلك مقدمو الخدمات السحابية العامة البنية التحتية في مركز البيانات الخاص بهم ويقومون بتشغيلها ويتم الوصول إليها بشكل عام عبر الإنترنت.
محاكاة الهجمات السيبرانية	تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام.
المرونة	القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة.
المخاطرة	مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
القدرة على تحمل المخاطر	مقدار ونوع المخاطر التي ترغب المؤسسة في تحملها من أجل تحقيق أهدافها الإستراتيجية. راجع أيضًا "تحمل المخاطر". (المواصفة ISO/Guide 73:2009 إدارة المخاطر –المصطلحات)
ملف المخاطر	وصف لأي مجموعة من المخاطر التي تتعلق بالمؤسسة بأكملها، أو جزء منها، أو كما تم تعريفه بطريقة أخرى. وسوف يحدد ملف تعريف المخاطر عدد المخاطر، ونوع المخاطر، والآثار المحتملة للمخاطر. (المواصفة ISO/Guide 73:2009 إدارة المخاطر –المصطلحات)
سجل المخاطر	سجل المخاطر جدول يُستخدم كمستودع لجميع المخاطر التي تم تحديدها ويتضمن معلومات إضافية حول كل خطر، مثل فئة المخاطر، ومالك المخاطر، وإجراءات التخفيف المتخذة.
تحمل المخاطر	التباين المقبول بين الأداء وتحقيق الأهداف. يشار اليه أيضًا "القدرة على تحمل المخاطر". (الإطار المتكامل للرقابة الداخلية الصادر عن لجنة المنظمات الراعية)
علاج المخاطر	عملية تعديل المخاطر التي يمكن أن تتضمن تجنب المخاطر من خلال اتخاذ قرار بعدم البدء أو الاستمرار في النشاط الذي يؤدي إلى المخاطرة؛ أو المخاطرة أو زيادة المخاطرة من أجل متابعة فرصة ما؛ أو إزالة مصدر المخاطرة؛ أو تغيير الاحتمالية؛ أو تغيير العواقب؛ أو مشاركة المخاطرة مع طرف أو أطراف أخرى؛ أو الاحتفاظ بالمخاطرة بقرار مستنير. يُشار أحيانًا إلى علاجات المخاطر التي تتعامل مع العواقب السلبية باسم "تخفيف المخاطر" و"القضاء على المخاطر" و"منع المخاطر" و"تقليل المخاطر". يمكن أن تؤدي معالجات المخاطر إلى خلق مخاطر جديدة أو تعديل المخاطر الحالية. (المواصفة ISO/Guide 73:2009 إدارة المخاطر –المصطلحات)
ثقافة الوعي بالمخاطر	القيم المشتركة، والمعتقدات، والمعرفة، والمواقف، والفهم، فيما يتعلق بالمخاطر داخل المؤسسة. في ثقافة المخاطر القوية، يقوم الأشخاص بتحديد المخاطر ومناقشتها وتحمل المسؤولية عنها بشكل استباقي. (معهد إدارة المخاطر)
تحليل السبب الجذري	نهج خاص بالأنظمة قائم على المبادئ لتحديد الأسباب الأساسية المرتبطة بمجموعة معينة من المخاطر. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
البيئة التجريبية	بيئة تنفيذ مقيدة وخاضعة للتحكم تمنع البرامج الضارة المحتملة، مثل رمز الهاتف المحمول، من الوصول إلى أي موارد خاصة بالأنظمة باستثناء تلك التي تم ترخيص البرنامج لها. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
خدمات التنقية	خدمة تحلل حركة مرور شبكة المؤسسة وتزيل حركة المرور الضارة (هجمات حجب الخدمات، والثغرات الأمنية وعمليات الاستغلال).
دورة حياة تطوير النظام	تصف دورة حياة تطوير النظام نطاق الأنشطة المرتبطة بالنظام، والتي تشمل بدء النظام وتطويره واقتناءه وتنفيذه وتشغيله وصيانته، وفي النهاية التخلص منه مما يؤدي إلى بدء نظام آخر. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
معيار التطوير الآمن للبرامج	وثيقة تصف مجموعة موحدة من القواعد والإرشادات لتطوير البرامج الحاسوبية التي تحمي من إدخال الثغرات الأمنية بلا قصد. وتتضمن الأمثلة ممارسات التطوير الآمن للبرامج الخاصة بمشروع أمان تطبيقات الويب المفتوح ومعايير الترميز الآمنة الخاصة بمعهد هندسة البرمجيات.
التخلص الآمن	التخلص من المعدات والوسائط مما يقلل من مخاطر الكشف غير المرغوب فيه.
الحذف الآمن	تقنية الكتابة الفوقية باستخدام عملية قائمة على البرامج الثابتة للكتابة فوق محرك الأقراص الثابتة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
المحو الآمن	راجع "الحذف الآمن".
هيكلية الأمن	راجع "هيكلية الأمن السيبراني".
ضابط أمني	راجع "ضوابط الأمن السيبراني"
اختبار أمني	فحص وتحليل التدابير الوقائية المطلوبة لحماية نظام المعلومات، تطبيقها في بيئة تشغيلية، لتحديد الوضع الأمني لذلك النظام. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
معلومات حساسة	المعلومات أو فقدانها أو إساءة استخدامها أو الوصول إليها أو تعديلها بشكل غير مصرح به، مما قد يؤثر سلبًا على الشؤون المؤسسية، أو الخصوصية التي يحق للأفراد التمتع بها. إضافة إلى ذلك، المعلومات الحساسة هي المعلومات التي تعتبر حساسة وفقًا لسياسة تصنيف البيانات المؤسسية (راجع "تصنيف البيانات"). (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة المعلومات الأمنية والأحداث	أداة إدارة المعلومات الأمنية والأحداث هي نظام يوفر القدرة على جمع بيانات الأمان من مكونات نظام المعلومات ويقدم تلك البيانات كمعلومات قابلة للتنفيذ عبر واجهة واحدة. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
اتفاقية مستوى الخدمة	تحدد اتفاقية مستوى الخدمة المسؤوليات المحددة لمقدم الخدمة وتحدد توقعات العملاء. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
مركز العمليات الأمنية	مركز العمليات الأمنية هو موقع (وفريق) متخصص يتم من خلاله مراقبة البيانات المتعلقة بالأمان من أنظمة معلومات المؤسسة (على سبيل المثال، مواقع الإنترنت والتطبيقات وقواعد البيانات والخوادم والشبكات وأجهزة الكمبيوتر المكتبية والأجهزة الأخرى) وتقييمها واتخاذ إجراءات بشأنها. غالبا ما يكون مركز العمليات الأمنية متفرغ لرصد والتحقيق في والاستجابة لأي مؤشرات تفيد بوجود اختراق محتمل. يعمل مركز العمليات الأمنية بشكل وثيق مع إدارات أخرى داخل المؤسسة (على سبيل المثال، قسم الأمن السيبراني وفريق إدارة الحوادث ومالكي خدمات تقنية المعلومات) ويطلعهم على المعلومات الأمنية المجمعة.
برنامج رمز التحقق من الهوية	برنامج رمز التحقق من الهوية (المعروف أيضًا باسم برنامج رمز الأمان الافتراضي) هو النسخة البرمجية من جهاز رمز التحقق من الهوية. وعادةً ما يتم إنشاء برامج رمز التحقق من الهوية بواسطة خادم مركزي يقوم بتشغيل برامج الأمان وإرسالها إلى أجهزة المستخدمين. ويتم استخدام بعض أجهزة رموز الأمان مع إجراءات أمنية أخرى لزيادة تعزيز الأمان (المعروفة باسم المصادقة متعددة العوامل). راجع أيضًا "جهاز رمز التحقق من الهوية".
إستراتيجية	راجع "استراتيجية الأمن السيبراني".
تهديد	راجع "تهديد الأمن السيبراني"
استخبارات التهديدات	استخبارات التهديدات هي معلومات قائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والمشورة القابلة للتنفيذ، حول خطر ناشئ أو خطر قائم على الأصول، كما تساعدنا هذه المعلومات في اتخاذ قرارات حول كيفية التعامل مع التهديد بشكل فعال. (غارتنر-Gartner)
مشهد التهديد	1. نظرة عامة حول التهديدات، بالإضافة إلى الاتجاهات الحالية والناشئة. 2. مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. (وكالة الاتحاد الأوروبي للأمن السيبراني)
رمز التحقق من الهوية (Token)	شيء يمتلكه المستخدم ويتحكم فيه (عادةً ما يكون مفتاحًا أو كلمة مرور) يُستخدم للتحقق من هوية المستخدم. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة البائعين	ممارسة التأكد من التزام مقدمي الخدمات الخارجيين بنفس معايير أمن المعلومات التي يجب على المؤسسة الالتزام بها وتتضمن تقييمات أمنية دورية.
الثغرة الأمنية	ضعف في نظام المعلومات أو إجراءات أمان النظام أو وسائل الرقابة الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها بواسطة مصدر تهديد. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
إدارة الثغرات الأمنية	إدارة الثغرات الأمنية ممارسة دورية لتحديد الثغرات الأمنية وتصنيفها ومعالجتها والتخفيف من آثارها. راجع أيضًا "ثغرة أمنية".

مبادئ تحليل التهديدات السيبرانية للقطاع المالي
الرقم: 43065348 التاريخ (م): 2022/2/27 | التاريخ (هـ): 1443/7/26 الحالة:نافذ
أشير إلى استراتيجية الأمن السيبراني للقطاع المالي الهادفة إلى خلق قطاع مالي آمن وموثوق يُمكّن من النمو والازدهار، ومن خلال متابعة التغير في نماذج الأعمال للمؤسسات المالية، والاعتماد على التقنية في المعاملات المالية، واستقطاب تقنيات ناشئة وحديثة.
عليه؛ فقد لوحظ تغير في مستوى التهديدات السيبرانية (Threat Landscape) للقطاع المالي والذي نتج عنه تطور سريع وملحوظ من قبل مجموعات الاختراق المتقدمة ("Advance Persistence Threats "APT) التي تستهدف القطاع المالي لأغراض مختلفة وذلك على عدة أصعدة وأساليب وأدوات وإجراءات مستخدمة من قبلهم، مما يُحتم تطوير قدرات الرصد والتقصي للمؤسسات المالية للعمل بشكل استباقي يواكب تطور مجموعات الاختراق،
بناءً عليه، وانطلاقاً من دور البنك المركزي الرقابي والإشرافي على القطاع المالي، نحيطكم باعتماد (Financial Sector Cyber Threat Intelligence Principles) مبادئ تحليل التهديدات السيبرانية للقطاع المالي والتي تهدف إلى وضع أسس علمية وعملية للرصد والتقصي عن التهديدات السيبرانية وتعزيز ممارسات المؤسسات المالية في استقصاء التهديدات السيبرانية (Threat Landscape) لأخذ الإجراءات الاحترازية وتغذية مختلف الإدارات التقنية والتشغيلية وإدارات الأعمال بمعلومات استباقية (Threat Intelligence) تلائم عمل هذه الإدارات، حيث تم تقسيم المبادئ على عدة مستويات كالآتي:
- مبادئ أساسية - والتي يتطلب العمل بها كأساس لجميع عمليات الرصد والتقصي عن التهديدات السيبرانية.
- مبادئ استراتيجية - تركز على الجوانب الإستراتيجية للمعلومة المتقصَّى عنها مثل أهداف ودوافع مجموعات الاختراق وتحديد سيناريوهات الاختراق والهجوم المتوقعة حسب مستوى التهديدات السيبرانية للجهة والقيام بالتقييمات اللازمة،
- مبادئ تشغيلية - تستهدف تحليل الأنماط والأساليب التشغيلية لمجموعات الاختراق مثل البرامج الخبيئة والإجراءات المتبعة وتصنيف المراحل المختلفة للهجمات (Taxonomization).
- مبادئ تقنية - وهي المبادئ المتعارف عليها في تحليل الهديدات السيبرانية للخروج بمؤشرات الاختراق وضوابط الكشف والتصدي عن الهجمات السيبرانية.
عليه، ولتعزيز المرونة السيبرانية للقطاع المالي ورفع مستوى النضج للرصد والتصدي الاستباقي للتهديدات السيبرانية؛ فقد تقرر الآتي:
1. عمل تقييم دقيق للوضع الحالي لإدارة التهديدات الأمنية (Threat Intelligence) في المؤسسة المالية مقارنة بما ورد في المبادئ (Gap Assessment) بمختلف تصنيفاتها لتحديد الفجوات.
2. وضع خطة عمل (Roadmap) للالتزام التام بالمبادئ اعتباراً من تاريخه، وذلك حسب المدد التالية:
  أ. ستة أشهر للمبادئ الأساسية والتشغيلية والتقنية.
  ب. اثنا عشر شهراً للمبادئ الإستراتيجية.
3. يتوجب على المؤسسة المالية عرض الخطة المعدة (Roadmap) على مجلس الإدارة واطلاعهم عليها وأخذ الموافقة على الخطة والدعم اللازم لتطبيقها.
4. على لجنة الأمن السيبراني في المؤسسة المالية متابعة تطبيق المبادئ ومدى الالتزام بالخطة المعتمدة وتقديم الدعم الكامل لحل العقبات والتحديات التي تواجه الفرق المختصة في المؤسسة المالية والتصعيد الداخلي لصاحب الصلاحية عن كل ما من شأنه أن يؤثر أو يعيق تطبيق المبادئ.
5. يتعين على المؤسسة المالية تقديم الدعم اللازم لإدارة الأمن السيبراني لتطبيق كل ما ورد في الدليل وتعزيز دور تحليل التهديدات السيبرانية والتأكيد على تزويدهم بالكفاءات والكوادر الوطنية المدربة والأدوات التقنية والتدريب الملائم للقيام بمهامهم على أكمل وجه.
  كما نود الإحاطة بأن البنك المركزي سيقوم بعمل زيارات إشرافية للتحقق من الالتزام التام بهذه المبادئ، وفي حال وجود استفسارات بهذا الخصوص يمكن التواصل مع الإدارة العامة للرقابة على المخاطر السيبرانية ممثلةً بالمركز الاستشرافي للأمن السيبراني على البريد الإلكتروني: (CFC@SAMA.GOV.SA).

مقدمة
مع الرقمنة التدريجية للخدمات المالية، أصبحت حماية البيانات الحساسة والمعاملات وإتاحة الخدمات من أولويات القطاع المالي في المملكة العربية السعودية. ولا تعد هذه الخدمات أساسية للاقتصاد العالمي والوطني فحسب، بل إنها حيوية أيضًا للابتكار الرقمي والأمن القومي.
وتشكل الهجمات السيبرانية تحدياً كبيراً للمؤسسات بشكل متزايد، حيث أصبحت الجهات الفاعلة في مجال التهديد أكثر تقدماً وتطور باستمرار أساليب عملها ونواقل الهجوم. وتُمكِّن استخبارات التهديدات السيبرانية المؤسسات من جمع وتحليل ومشاركة البيانات المتعلقة بالتهديدات السيبرانية. إن الفهم الأفضل لهذه التهديدات السيبرانية، الحالية والناشئة على حد سواء، يمكّن المؤسسات من استباق الهجمات السيبرانية وحماية أصول المعلومات الهامة.
تعد الوثيقة امتدادًا للدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي، وتحديدًا في المجال الفرعي "إدارة التهديدات" المرتبط به. ووضع البنك المركزي مبادئ استخبارات التهديدات السيبرانية بهدف توسيع نطاق ممارسات استخبارات التهديدات السيبرانية في القطاع المالي الذي ينظمه البنك المركزي.

نطاق التطبيق
هذه الوثيقة إلزامية لجميع المؤسسات المالية الخاضعة لرقابة البنك المركزي.
وهي مخصصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات والرؤساء التنفيذيين لأمن المعلومات والأفراد المسؤولين عن تحديد وتنفيذ ومراجعة معلومات التهديدات السيبرانية داخل المؤسسات المالية.

المسؤوليات
تم إصدار هذه الوثيقة بتكليف من البنك المركزي، وهو الجهة المالكة للوثيقة والمسؤولة عن تحديثاتها الدورية. تتحمل المؤسسات المالية مسؤولية اعتماد وتنفيذ المبادئ الواردة في هذه الوثيقة.

المراجعة والتحديثات والحفظ
سيقوم البنك المركزي بمراجعة الوثيقة دوريًا لتقييم مدى انطباقها على سياق القطاع المالي في المملكة العربية السعودية والمؤسسات المالية. إذا لزم الأمر، سيقوم البنك المركزي بتحديث الوثيقة بناءً على نتائج المراجعة. بمجرد تطبيق التغييرات، سيقوم البنك المركزي بإلغاء الإصدار السابق وإصدار الإصدار الجديد وإبلاغه إلى جميع المؤسسات المالية.

مبادئ استخبارات التهديدات السيبرانية
تصف مبادئ استخبارات التهديدات السيبرانية أفضل الممارسات التي تركز على إنتاج ومعالجة ونشر استخبارات التهديدات لتعزيز تحديد التهديدات السيبرانية ذات الصلة بالقطاع المالي في المملكة العربية السعودية والتخفيف من حدتها من خلال استخبارات التهديدات القابلة للتنفيذ.
تم وضع هيكل الوثيقة بناءً على أنواع مختلفة من استخبارات التهديدات السيبرانية. إن المبادئ الواردة في كل قسم من الأقسام (الأساسية والاستراتيجية والتشغيلية والتقنية والتكتيكية) لها أغراض مختلفة تهدف إلى ممارسة شاملة لاستخبارات التهديدات السيبرانية. على وجه التحديد:
تُعد مبادئ استخبارات التهديدات السيبرانية الأساسية شرطًا أساسيًا لممارسة استخبارات التهديدات السيبرانية والإبلاغ بالأنواع الأخرى من استخبارات التهديدات السيبرانية. وهي تتضمن الأنشطة المطلوب تنفيذها لتخطيط وإنتاج ونشر استخبارات التهديدات السيبرانية.
تشتمل مبادئ استخبارات التهديدات السيبرانية الإستراتيجية ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد الهدف والدوافع والنوايا للجهات الفاعلة في مجال التهديد.
تشتمل مبادئ استخبارات التهديدات السيبرانية التشغيلية ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد طريقة العمل والسلوك والتقنيات المستخدمة من قبل جهات التهديد.
تشتمل مبادئ استخبارات التهديدات السيبرانية الفنية والتكتيكية على ممارسة متخصصة لاستخبارات التهديدات السيبرانية حيث تضم الأنشطة المطلوب تنفيذها لتحديد المكونات والمؤشرات الفنية للهجمات السيبرانية.
يجب أن تطبق المؤسسات المالية جميع المبادئ. إن اعتماد نهج تدريجي للتنفيذ الكامل للمبادئ أمر متروك لتقدير المؤسسات المالية. تنطبق المبادئ الواردة في هذه الوثيقة أيضًا على المؤسسات المالية التي تستعين بمصادر خارجية من أجل قدرات استخبارات التهديدات السيبرانية الخاصة بها.
تم تنظيم هذه الوثيقة في أربعة مجالات بما في ذلك استخبارات التهديدات السيبرانية الأساسية، واستخبارات التهديدات السيبرانية الإستراتيجية، واستخبارات التهديدات السيبرانية التشغيلية، واستخبارات التهديدات السيبرانية الفنية والتكتيكية كما هو مفصل في الرسم البياني أدناه:

شكل 1. مبادئ استخبارات التهديدات السيبرانية

المجال 1: مبادئ استخبارات التهديدات السيبرانية الأساسية
تضع مبادئ استخبارات التهديدات السيبرانية الأساسية خط أساس لتخطيط وجمع ومعالجة وتحليل ونشر استخبارات التهديدات السيبرانية استناداً إلى إطار عمل دورة حياة المعلومات الاستخباراتية.
يستند قسم مبادئ استخبارات التهديدات الأساسية إلى المراحل الرئيسية لدورة حياة المعلومات الاستخباراتية، بما في ذلك نشر استخبارات التهديدات والتحسين المستمر لقدرات وأداء المؤسسات المالية في مجال استخبارات التهديدات.
تسمح دورة حياة الاستخبارات لفرق الأمن بتحليل المعلومات وفهمها ومنعها والدفاع عن شبكاتهم من الهجمات السيبرانية. وهي العملية التي يتم من خلالها تحديد البيانات والمعلومات الأولية وجمعها وتحليلها. بعد ذلك، يتم تحويل البيانات والمعلومات الأولية إلى استخبارات لاستخدامها واتخاذ إجراءات بشأنها من قبل المؤسسات المالية. تتمثل دورة حياة الاستخبارات بشكل كامل في المبادئ الأساسية التالية.

المبدأ 1: تحديد الأدوار والمسؤوليات
يجب على المؤسسات المالية تحديد الأدوار والمسؤوليات داخل المؤسسة لإنتاج استخبارات التهديدات مع توقع إنشاء قدرة خاصة بها في مجال استخبارات التهديدات السيبرانية. ويجب أن يشمل ذلك فريقاً مخصصاً مسؤولاً عن إنتاج ونشر استخبارات التهديدات السيبرانية. إضافة إلى ذلك، يجب أن يكون فريق استخبارات التهديدات السيبرانية مدعوماً بموارد ماهرة مزودة بأدوات متطورة محددة الغرض وميزانية محددة. يجب على المؤسسات المالية تحديد قنوات الاتصال داخل المؤسسة بين فريق استخبارات التهديدات السيبرانية والفرق الأخرى، بما في ذلك مع أصحاب المصلحة (مثل فرق الأمن السيبراني وقادة الأعمال وفريق المخاطر، إلخ) ومع المؤسسات الخارجية.

المبدأ 2: تحديد متطلبات تخطيط وجمع استخبارات التهديدات
يجب على المؤسسات المالية وضع مجموعة من متطلبات استخبارات التهديدات لتوجيه جهود إنتاج الاستخبارات بكفاءة وتحديد ماهية الاستخبارات التي ينبغي إنتاجها لتلبية أهدافها الأمنية والتجارية. ولتحديد هذه المتطلبات، يجب على المؤسسات المالية تحديد نطاق التحليل (على سبيل المثال، التنظيمي والقطاعي والوطني، وما إلى ذلك) والنظر في مجالات التحليل المختلفة ذات الصلة بأولويات أعمالها (مثل التقنية، وجهات التهديد، وما إلى ذلك). إضافة إلى ذلك، يجب على المؤسسات المالية ضمان المراجعة الدورية للمتطلبات المحددة. ويتوفر المزيد من الشرح لمجالات التحليل في "الملحق ب. مجالات التحليل".

المبدأ 3: تحديد المصادر ذات الصلة والتحقق من صحتها
يجب على المؤسسات المالية اختيار المصادر بما يتماشى مع متطلبات استخبارات التهديدات المحددة. علاوة على ذلك، يجب على المؤسسات المالية تحديد نوع المصادر التي يجب استخدامها، وفهم المصادر التي من المحتمل أن تنتج المعلومات المطلوبة، والنظر في مجموعة كبيرة من المصادر المختلفة لتمكينها من بناء فهم شامل للتهديدات ذات الصلة بالقطاع المالي. إضافة إلى ذلك، يجب على المؤسسات المالية تقييم موثوقية وسمعة كل مصدر مع مراعاة معايير محددة. وتشمل هذه المعايير جودة المعلومات ودقتها، والتوقيت المناسب فيما يتعلق بالإبلاغ، والمعلومات التقنية المتضمنة، وشمولية تغذية التهديدات، ونوع المعلومات التي تتماشى مع متطلبات استخبارات التهديدات المحددة.
ويجب على المؤسسات المالية اختيار المصادر التي توفر معلومات ذات صلة بأعمالها وتتماشى مع متطلبات استخبارات التهديدات المحددة. ويمكن أن تكون هذه المصادر خارجية أو داخلية للمؤسسة. تتوفر أمثلة للمصادر الداخلية والخارجية في "الملحق ج. أنواع المصادر".

المبدأ 4: جمع البيانات من خلال مصادر الاستخبارات
يجب على المؤسسات المالية جمع البيانات من خلال مصادر استخباراتية مختلفة (مثل استخبارات المصادر المفتوحة والاستخبارات الفنية واستخبارات وسائل التواصل الاجتماعي والاستخبارات البشرية واستخبارات شبكة الإنترنت العميق وشبكة الإنترنت المظلم). وسيؤدي جمع المعلومات من مجموعة متنوعة من المصادر إلى إجراء تقييمات شاملة للتهديدات التي تواجهها المؤسسة. وتتوفر أمثلة على أنواع الاستخبارات في "الملحق د. أنواع الاستخبارات". ويجب اتباع إجراءات التشغيل القياسية المحددة لإجراء الاستخبارات على النحو المحدد في "الملحق و. إجراءات التشغيل القياسية للاستخبارات".

المبدأ 5: تحديد إجراءات التشغيل القياسية المحددة
يجب على المؤسسات المالية تحديد إجراءات تشغيل قياسية محددة عند إجراء أنواع محددة من الاستخبارات على النحو المفصل في "المبدأ 4: جمع البيانات من خلال مصادر الاستخبارات". ويجب على المؤسسات المالية وضع مجموعة من التعليمات للأفراد داخل المؤسسات لأداء استخبارات التهديدات السيبرانية لضمان الإجراءات الوظيفية، مع تقليل سوء الفهم والغموض في نفس الوقت. ويجب أن تكون إجراءات التشغيل الموحدة موجهة نحو التفاصيل وتوفر تعليمات خطوة بخطوة حول كيفية قيام المحللين داخل المؤسسات المالية باستكمال المهام والعمليات المتعلقة بـ استخبارات التهديدات السيبرانية. وتتوفر أمثلة على إجراءات التشغيل القياسية في "الملحق و. إجراءات التشغيل القياسية للاستخبارات".

المبدأ 6: معالجة المعلومات وتصنيفها
يجب على المؤسسات المالية معالجة وتصنيف الاستخبارات التي تم جمعها - إما يدوياً أو آلياً أو مزيجاً من الاثنين - من المصادر المختارة وتخزينها بشكل آمن. علاوة على ذلك، يجب على المؤسسات المالية الرجوع إلى "بروتوكولات اتصالات الأمن السيبراني الخاصة بالبنك المركزي" عند استخدام مخطط التصنيف حسب بروتوكول الإشارات الضوئية لجمع المعلومات ومعالجتها.

المبدأ 7: تحليل المعلومات
يجب على المؤسسات المالية تطبيق مجموعة متنوعة من الأساليب التحليلية الكمية والنوعية لتحليل أهمية المعلومات المعالجة وآثارها، وبالتالي إنتاج استخبارات قابلة للتنفيذ. وعلاوة على ذلك، ستقوم المؤسسات المالية بدمج وتحليل مختلف المعلومات التي يتم جمعها من مصادر متنوعة لتحديد الأنماط والاتجاهات والتطورات الجديدة ذات الصلة بالمؤسسة المالية.
ويجب على المؤسسات المالية اعتماد مناهج تحليلية ملائمة (على سبيل المثال: النهج التحليلي القائم على الفرضيات، و/أو التحليل، و/أو التحليلات المتناقضة) للتأكد من أن الاستخبارات المنتجة تلبي متطلبات الاستخبارات على النحو المحدد في "المبدأ 2: تحديد متطلبات استخبارات التهديد". وترد أمثلة على أنواع مختلفة من الأساليب التحليلية في "الملحق ز. النهج التحليلي".

المبدأ 8: مشاركة الاستخبارات
يجب على المؤسسات المالية وضع معايير مشاركة محددة لنشر استخبارات التهديدات. وتتوفر أمثلة على طرق تسليم استخبارات التهديدات في "الملحق هـ، طرق تسليم استخبارات التهديدات".
ويجب على المؤسسات المالية إرساء ممارسة لغوية متسقة ودقيقة في جميع أنحاء المؤسسة لضمان إمكانية تطبيق استخبارات التهديدات على نطاق واسع. ولإيصال استخبارات التهديدات بشكل واضح، ينبغي على المؤسسات المالية أن تعتمد على سبيل المثال على دليل الكتابة (مثل دليل أسلوب الإيكونوميست). كما يجب عليهم استخدام نظام "الاحتمالات التقديرية" أثناء الانخراط في التحليل على النحو المحدد في "نموذج استشارات التهديدات الصادر عن البنك المركزي".
ويجب على المؤسسات المالية نشر استخبارات التهديدات بطريقة فعالة ودقيقة وفي الوقت المناسب. ويجب تقديمها بطريقة واضحة وموجزة ومتسقة عند مشاركتها مع أصحاب المصلحة الداخليين المعنيين. وعند مشاركة الاستخبارات مع البنك المركزي، يجب على المؤسسات المالية تحديد الإجراءات التي تساعد على التحكم في نشر وتوزيع المعلومات المتعلقة بالتهديدات.
ويجب أن يتم تصنيف جميع المعلومات التي تنتجها المؤسسات المالية وفقًا لمخطط تصنيف بروتوكول الإشارات الضوئية وفقًا لـ "بروتوكولات اتصالات الأمن السيبراني الصادرة عن البنك المركزي".

المبدأ 9: تقديم استخبارات التهديدات القابلة للتنفيذ
يجب على المؤسسات المالية تنفيذ القرارات والإجراءات ذات الصلة بناءً على الاستخبارات التي تم إنتاجها للمساعدة في بناء مرونة القطاع المالي في المملكة العربية السعودية. ويجب على المؤسسات المالية أن تأخذ بعين الاعتبار ماهية الإجراءات اللازمة، ومن سيتخذ هذه الإجراءات، والإطار الزمني لتوقع الهجوم أو الرد عليه. واستنادًا إلى استخبارات التهديدات المتحصل عليها، يحب على المؤسسات المالية اتخاذ إجراءات أو تدابير التخفيف ذات الصلة من أجل تحسين البنية التحتية الدفاعية والقدرة على المرونة اعتمادًا على معرفتها بالتهديدات ذات الصلة (على سبيل المثال، معرفة التقنيات التي تعتمدها جهات التهديد على الشبكة يمكن أن تساعد المؤسسات المالية على تحديد أولويات ضوابط التخفيف).
ويجب أن يقوم فريق استخبارات التهديدات في المؤسسة المالية بمشاركة الاستخبارات ذات الصلة مع الإدارات الأخرى ذات الصلة مثل مركز العمليات الأمنية وتقنية المعلومات وما إلى ذلك، وينبغي أن تتم مشاركة هذه المعلومات وفقًا لـ "المبدأ 8: مشاركة الاستخبارات". ويجب على هذه الإدارات أيضًا مشاركة المعلومات التي تعتبر ذات صلة بقدرة استخبارات التهديدات السيبرانية حتى يتسنى تغذية تقييمات استخبارات التهديدات واستكمالها.

المبدأ 10: التحسين المستمر لأساليب الاستخبارات
يجب على المؤسسات المالية المحافظة باستمرار على إنتاج ومعالجة وتحليل ونشر استخبارات التهديدات وتحديثها وتحسينها بهدف زيادة نضج القطاع المالي في المملكة العربية السعودية بشكل مستمر. إضافةً إلى ذلك، يجب على المؤسسات المالية أيضًا تحديث متطلبات استخبارات التهديدات الحالية بانتظام استنادًا إلى الملاحظات الواردة من أصحاب المصلحة الداخليين والخارجيين، ومستخدمي استخبارات التهديدات، والتغيرات في الصناعة، والتطورات في مشهد التهديد السيبراني العالمي.
ويجب على المؤسسات المالية إجراء تحليل دوري للمعلومات المتعلقة بالتهديدات التي يتم جمعها والتحقق من ملاءمتها (على سبيل المثال من حيث الدافع والهدف وطريقة العمل والقدرة وما إلى ذلك) وفقًا للأصول والبيانات التي تتم معالجتها من قبلها. كما يجب على المؤسسات المالية النظر في الاستعانة بخدمات مزود متخصص في مجال استخبارات التهديدات، والذي يمكنه تقديم رؤى ذات صلة لاستكمال فهم المؤسسة الحالي للتهديدات.
يجب أن تنظر المؤسسات المالية في استخدام مؤشرات الأداء الرئيسية ومؤشرات المخاطر الرئيسية والأهداف والنتائج الرئيسية لقياس التقدم المحرز وتحديث ممارسات وبروتوكولات الاستخبارات بما يتماشى مع إجراءاتها الداخلية.

المبدأ 11: دمج استخبارات التهديدات السيبرانية
يجب على المؤسسات المالية النظر في دمج استخبارات تقنية المعلومات في تقييمات الوعي الظرفي واختبارات فريق محاكاة الاختراق بما يتماشى مع "إطار عمل محاكاة الهجمات السيبرانية الأخلاقية للمؤسسات المالية".
وسيساعد الدمج ضمن أنشطة الوعي الظرفي في بناء فهمًا استراتيجيًا للحوادث السيبرانية، على سبيل المثال، تحديد جهات التهديد، والاتجاهات في أنشطتها، وأهدافها. إضافةً إلى ذلك، سيوفر فهمًا تكتيكيًا للأحداث أو المواقف في الفضاء السيبراني وسيسهل اتخاذ القرارات الفعالة والكفؤة في أوقات الأزمات.
يجب على المؤسسات المالية أيضًا أن تأخذ في الاعتبار أن دمج استخبارات التهديدات السيبرانية في أنشطة تقييمات فريق محاكاة الاختراق من شأنه أن يساعد في الحصول على فهم أفضل لكيفية وصول المهاجمين السيبرانيين إلى الشبكات والبيانات الحساسة. ويمكن أن يساعد ذلك في التحقق من صحة الوضع الأمني للمؤسسة والمساعدة وفي وضع تحسينات العمليات في سياقها عبر تسليم المزيد من الاستخبارات حول المخاطر السيبرانية وتأثيرها المحتمل وخيارات المعالجة.

المجال 2: استخبارات التهديدات السيبرانية الاستراتيجية
بالنظر إلى الطبيعة المتغيرة لبيئة مشهد التهديدات، تسمح استخبارات التهديدات السيبرانية الاستراتيجية بمراقبة النظام البيئي السيبراني باستمرار ومنع التهديدات.
وتساعد استخبارات التهديدات السيبرانية الاستراتيجية على وجه التحديد في تحديد وفهم التهديدات التي يتعرض لها القطاع المالي. فهي توفر مستوى معلومات التهديد التي تركز على أهداف ودوافع ونوايا جهات التهديد السيبرانية، وتهدف استخبارات التهديدات السيبرانية الاستراتيجية إلى فحص الإسناد، والتحقيق في الدوافع الحقيقية والروابط بين الأحداث السيبرانية، وفهم النظام البيئي للقطاع المالي.
وتضمن مشهد التهديد معلومات عن جهات التهديد الأكثر صلة بالمؤسسات المالية، وخصائصها الرئيسية، والاتجاهات السيبرانية الرئيسية في القطاع المالي في جميع أنحاء العالم.
وتم توجيه هذه المعلومات إلى الإدارة التنفيذية ذات الصلة (مثل الرئيس التنفيذي لأمن المعلومات) الذي سيقوم بنقل المعلومات إلى الأطراف الأخرى ذات الصلة (مثل إدارة تقنية المعلومات وقادة الأعمال، وما إلى ذلك). تساعد تقنية استخبارات التهديدات السيبرانية الإستراتيجية في فهم المؤسسة للتهديدات السيبرانية الحالية، والتهديدات المستقبلية غير المعروفة، وجهات التهديد، وإسناد الهجمات. وهذا الفهم أمرًا أساسيًا لاتباع نهج استباقي للأمن السيبراني من أجل بناء مرونة القطاع المالي في المملكة العربية السعودية.

المبدأ 12: تحديد مشهد التهديدات السيبرانية
يجب على المؤسسات المالية أن تحدد مشهد التهديدات السيبرانية ذات الصلة بمؤسساتها وعملياتها، مع معلومات عن الأصول والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. ويشمل ذلك تحديد الأحداث التي يمكن أن تؤثر على مشهد التهديدات في القطاع المالي.
وعلاوة على ذلك، يجب على المؤسسات المالية تحديد جهات التهديد التي قد تنوي استهدافها، وخصائصها الرئيسية بما في ذلك مصدرها ونواياها ودوافعها وقدراتها. ويجب على المؤسسات المالية، بعد تحديد مشهد التهديدات التي تواجهها، إجراء تقييم للتهديدات التي تم تحديدها لتحديد الأولويات الأكثر صلة. إضافةً إلى ذلك، يجب على المؤسسات المالية أيضاً تحديد الاتجاهات السيبرانية الرئيسية التي من المرجح أن تؤثر على التطورات المستقبلية لمشهد التهديدات السيبرانية.

المبدأ 13: تحديد سيناريوهات الهجوم السيبراني الاستراتيجي
يجب أن تحدد المؤسسات المالية سيناريوهات الهجمات السيبرانية الاستراتيجية التي توفر تمثيلاً واقعياً للهجمات السيبرانية المحتملة ضدها. ويجب أن تشتمل هذه السيناريوهات على جهة تهديد أو أكثر، وتتناول هدفًا واحدًا أو أكثر، والتأثيرات المحتملة للسيناريوهات.
ولوضع سيناريوهات الهجمات السيبرانية الاستراتيجية، يجب على المؤسسات المالية تحديد أوجه التشابه في سمات جهات التهديد أو الحملات المهددة ضمن مشهد التهديدات المبين في "المبدأ 12: تحديد مشهد تهديد سيبراني" (على سبيل المثال، أسلوب مماثل، نوع هجوم مماثل، وما إلى ذلك). إضافةً إلى ذلك، يجب على المؤسسات المالية إجراء تقييمًا للسيناريوهات المحددة من أجل تحديد أولويات السيناريوهات الأكثر احتمالاً وتأثيراً، ويجب أن تتخذ الإجراءات التصحيحية ذات الصلة بناءً على التهديدات والسيناريوهات المحددة. ويجب تحديد دورية تقييم السيناريوهات المحددة من قبل المؤسسات المالية بناءً على عملياتها الداخلية الخاصة بها.

المبدأ 14: تفصيل طلبات الحصول على المعلومات وتقييمات التهديدات المخصصة
يجب أن تكون المؤسسات المالية قادرة على توفير، عند الطلب، معلومات مفصلة (مثل التهديدات السيبرانية والاتجاهات والأحداث والبرمجيات الخبيثة أو الأدوات) المتعلقة بالهجمات السيبرانية المحتملة التي يمكن أن تستهدفها. ويمكن أن تكون تلك المعلومات، على سبيل المثال، في صورة ملفات تعريفية عن جهات التهديد، أو ملفات تعريفية عن البلدان، أو تحليلات للبرمجيات الخبيثة أو الأدوات، أو دراسات الاتجاهات السيبرانية.
ويجب أن تكون المؤسسات المالية، استناداً إلى الاستخبارات التي يتم إنتاجها، قادرة على إجراء تقييمات مخصصة للتهديدات لتحديد مدى صلة التهديدات المحتملة ومستواها، فضلاً عن احتمالية وقوع هجمات.
ويتحمل الرئيس التنفيذي لأمن المعلومات مسؤولية التحقق من جودة المعلومات ومدى ملاءمتها. ويمكن أن تكون هذه المعلومات ذات أهمية خاصة للإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات وغيرهم. وتتمتع هذه المعلومات بقيمة خاصة على سبيل المثال عند تحديد استراتيجيات العمل، أو التخطيط للتدخلات الأمنية، أو في أعقاب الحوادث السيبرانية الكبيرة في القطاع أو في الدولة.

المجال 3: استخبارات التهديدات السيبرانية التشغيلية
تساعد استخبارات التهديدات السيبرانية التشغيلية المؤسسات المالية على فهم طبيعة ونية وتوقيت هجوم معين، وتوفر نظرة ثاقبة لسلوك جهة التهديد على الشبكة.
كما أنه توفر معلومات مفصّلة حول سلوك وطريقة عمل جهات التهديد المستخدمة لتنفيذ الهجمات السيبرانية. وبشكل عام، يتم تصنيف هذه المعلومات عادةً في التكتيكات والتقنيات والإجراءات.

المبدأ 15: تحديد سلسلة الهجوم
يجب على المؤسسات المالية تحديد وتصنيف المراحل المختلفة للهجوم الذي تنفذه جهات التهديد استنادًا إلى المعايير أو الأطر الصناعية (مثل سلسلة القتل، وسلسلة القتل الموحدة، وما إلى ذلك). علاوة على ذلك، يجب على المؤسسات المالية تحليل المعلومات وطريقة عمل جهات التهديد بناءً على نهج منظم للهجمات (على سبيل المثال، يعتمد إطار عمل MITRE نسخة معدلة من سلسلة القتل الموحدة).

المبدأ 16: تحديد التكتيكات والتقنيات والإجراءات
يجب على المؤسسات المالية تحليل المعلومات التي تم جمعها من المصادر المتعلقة بجهات التهديد أو الأدوات أو البرمجيات الخبيثة ذات الصلة لتحديد التقنيات والتكتيكات والإجراءات ذات الصلة. إضافة إلى ذلك، ينبغي أن تعتمد المؤسسات المالية تصنيفاً للهجمات وتصنيفاً لهذه التكتيكات والتقنيات والإجراءات (مثل MITRE ATT&CK). واستناداً إلى التصنيف المحدد، يجب أن يقوموا بوضع ملفات تعريف لسلوكيات جهات التهديد وتحديد الأساليب التي تستخدمها جهات التهديد. كما يجب أن تعتمد المؤسسات المالية أيضاً على مؤشرات الاختراق لتحديد هذه التكتيكات والتقنيات والإجراءات.

المبدأ 17: تحديد البرمجيات الخبيثة والأدوات
يجب على المؤسسات المالية تحديد البرمجيات الخبيثة والأدوات أثناء الهجوم، بالإضافة إلى إجراء تصنيف عام لها لاستخدامها على المستوى المؤسسي (مثل حصان طروادة المصرفي، برمجيات الفدية، إلخ). ويمكن للمؤسسات المالية الحصول على معلومات بشأن الأنواع المختلفة من البرمجيات الخبيثة والأدوات التي تستخدمها جهات التهديد باستخدام مصادر مختلفة، مثل مؤشرات الاختراق وشبكة الإنترنت المظلمة، وشبكة الإنترنت العميقة، والاستخبارات مفتوحة المصدر، ومستودعات الشيفرات البرمجية، ومنصات مشاركة المعلومات، وما إلى ذلك.

المجال 4: استخبارات التهديدات السيبرانية الفنية والتكتيكية
توفر استخبارات التهديدات الفنية والتكتيكية معلومات فنية وتكتيكية عن هجمات محددة تنفذها جهات تهديد مثل مؤشرات الاختراق وقواعد يارا وغيرها.
ويتم جمع مؤشرات معلومات استخبارات التهديدات الفنية من الحملات النشطة والسابقة التي تم الحصول عليها من مصادر عامة و/أو المؤشرات الفنية التي تم جمعها داخل المؤسسة و/أو موجزات البيانات المقدمة من أطراف خارجية.

المبدأ 18: جمع مؤشرات الاختراق
يجب على المؤسسات المالية تحديد وجمع وتجميع مؤشرات الاختراق وتنفيذها في بنيتها التحتية الدفاعية. ويجب أن تكون المؤسسات المالية قادرة على جمع تفاصيل حول التنفيذ المحدد للبرمجيات الخبيثة والأدوات من أجل فهم كيفية احتمال تعرض المؤسسة للهجوم وتحديد ما إذا كانت آليات الكشف والتخفيف المناسبة موجودة أو ما إذا كانت هناك حاجة إلى تنفيذها. إضافةً إلى ذلك، ينبغي على المؤسسات المالية أن تأخذ بعين الاعتبار مختلف منصات ومصادر استخبارات التهديدات للحصول على هذه المعلومات الفنية.

المبدأ 19: مراقبة الثغرات الأمنية والإبلاغ عنها
يجب على المؤسسات المالية أن تراقب باستمرار الإعلانات عن الثغرات الأمنية الجديدة التي يتم اكتشافها، بالإضافة إلى ثغرات اليوم - صفر التي تستغلها جهات التهديد. ويجب عليهم الإبلاغ عن هذه الثغرات الأمنية إلى الأطراف المعنية داخل المؤسسة (مثل المسؤولين عن إدارة حزم التحديثات والإصلاحات). ويجب أن تتم هذه الاتصالات وفقًا للإجراءات الداخلية للمؤسسات المالية (مثل اتفاقية مستوى الخدمة ومؤشر الأداء الرئيسي).
ويجب على المؤسسة المالية اعتماد نهج قائم على المخاطر يربط بين قيمة الأصول وشدة الثغرات الأمنية ونشاط جهات التهديد من خلال استخدام معلومات وتحليلات التهديدات بهدف حساب تصنيف واقعي للمخاطر. ويجب استخدام هذا التصنيف لتحديد أولويات أنشطة الإصلاح. إضافةً إلى ذلك، يجب على المؤسسة المالية استخدام نهج قائم على المخاطر لتوظيف ضوابط التخفيف، مثل نظام منع التطفل عند عدم القدرة على تصحيح الثغرات الأمنية لتقليل مساحة الهجوم ومنع استغلال الثغرات الأمنية.

الملاحق

الملحق أ. قائمة المصطلحات

تحتوي القائمة التالية على تعريف للمصطلحات الرئيسية المستخدمة في هذه الوثيقة.

قائمة المصطلحات
المصطلح	الوصف
التطبيق	برنامج يستضيفه نظام المعلومات. المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
أصل	البيانات والموظفين والأجهزة والأنظمة والمرافق التي تمكّن المؤسسة من تحقيق أغراض العمل. المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
جهة الهجوم	راجع "جهة التهديد".
قدرة (جهة التهديد)	موارد ومهارات جهة التهديد.
المخاطر السيبرانية	المخاطر التي تتعرض لها العمليات المؤسسية (بما في ذلك المهمة والوظائف والصورة والسمعة) والأصول المؤسسية والأفراد والمؤسسات الأخرى والأمة بسبب احتمال الوصول غير المصرح به إلى المعلومات و/أو نظم المعلومات أو استخدامها أو الكشف عنها أو تعطيلها أو تعديلها أو تدميرها. المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
الأمن السيبراني	يُعرّف الأمن السيبراني بأنه مجموعة الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات التي يمكن استخدامها لحماية أصول المعلومات الخاصة بالمؤسسة المالية من التهديدات الداخلية والخارجية.
استخبارات التهديدات السيبرانية	المعلومات المتعلقة بالتهديدات التي تم تجميعها أو تحويلها أو تحليلها أو تفسيرها أو إثراؤها لتوفير السياق اللازم لعمليات صنع القرار. المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
حادث (الأمن السيبراني)	حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول. المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
مؤشرات الاختراق	تُستخدم مؤشرات الاختراق كدليل جنائي على الاختراقات المحتملة للنظام المضيف أو الشبكة.
النية (جهة التهديد)	رغبة جهة التهديد في استهداف مؤسسة معينة. عادةً ما تكون جهات التهديد جهات عقلانية تعمل لغرض واضح (مثل التجسس، وسرقة البيانات/التسلل، والابتزاز، والتدمير، والتعطيل، واختراق سلسلة التوريد).
سلسة القتل	طورت شركة لوكهيد مارتن سلسلة القتل واعتمدها الجيش الأمريكي لتحديد وتصنيف المراحل المختلفة للهجوم السيبراني (الاستطلاع، التسليح، التسليم، الاستغلال، التثبيت، القيادة والسيطرة، الإجراءات عند الأهداف).
البرمجيات الخبيثة	الأجهزة أو البرامج الثابتة أو البرامج التي يتم تضمينها أو إدخالها عمداً في النظام لغرض ضار. المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
إطار عمل MITRE ATT&CK	إطار عمل مفتوح المصدر تم تطويره بواسطة MITRE لتصنيف التكتيكات والأساليب والإجراءات التي تستخدمها جهات التهديد عند شن هجمات سيبرانية.
المؤسسة المالية	أي جهة خاضعة لإشراف البنك المركزي ورقابته.
طريقة العمل	طريقة إجراء، تشير بشكل خاص إلى نمط أو طريقة عمل متميزة تشير أو توحي بعمل مجرم واحد في أكثر من جريمة.
دافع	نوع المنفعة أو الضرر الذي تريد جهة التهديد تحقيقه في النهاية من خلال أفعالها.
شبكة	نظام (نظم) المعلومات المنفذة بمجموعة من المكونات المترابطة. قد تشمل هذه المكونات أجهزة التوجيه والمحاور والكابلات وأجهزة التحكم في الاتصالات السلكية واللاسلكية ومراكز التوزيع الرئيسية وأجهزة التحكم الفني. المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
الاستخبارات مفتوحة المصدر	المعلومات ذات الصلة المستمدة من الجمع المنهجي للمعلومات المتاحة للجمهور ومعالجتها وتحليلها استجابة لمتطلبات استخباراتية معروفة أو متوقعة.
مؤسسة	شركة أو كيان أو مجموعة من الأشخاص الذين يعملون معًا لغرض معين.
منشأ (جهة التهديد)	البلد الذي تشن منه جهة التهديد هجماتها. لا يمكن دائمًا تحديد منشأ جهة التهديد بدقة كافية لأنها تميل إلى إخفاء آثارها.
إجراء	الإجراءات هي التنفيذ المحدد الذي تستخدمه جهة التهديد للأساليب. المصدر: إطار عمل MITRE ATT&CK
عملية	مجموعة من الأنشطة المترابطة أو المتفاعلة التي تحول المدخلات إلى مخرجات.
برمجيات الفدية الخبيثة	أحد أشكال البرمجيات الخبيثة المصممة لمنع الوصول إلى نظام الكمبيوتر أو البيانات حتى يتم دفع فدية. وعادة ما يواجه مستخدم النظام المصاب ببرمجيات الفدية الخبيثة برسالة ابتزاز (في كثير من الحالات تكون عبارة عن نافذة منبثقة) تطلب من الضحية دفع فدية لجهة التهديد (عادةً ما تكون بالعملة الرقمية) من أجل استعادة الوصول إلى النظام والبيانات.
محاكاة الاختراق (تمرين)	تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام. المصدر: NIST SP 1800 21B قائمة مصطلحات أمن المعلومات الرئيسية
موارد (جهة التهديد)	تقيس الموارد نطاق وكثافة واستدامة وتنوع المجموعة الإجمالية للإجراءات التي يمكن أن تتخذها جهة التهديد.
قطاع	أحد المجالات التي ينقسم فيها النشاط الاقتصادي لبلد ما.
خدمة	القدرة أو الوظيفة التي توفرها المؤسسة. المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
مهارة (جهة التهديد)	مدى قدرة جهة التهديد على الاستفادة من الوسائل التقنية (مثل إنشاء برمجيات خبيثة مخصصة) والعمل بوعي وذكاء وإمكانات التعلم وحل المشكلات وتماسك عملية صنع القرار والخبرة التشغيلية.
أصحاب المصلحة	الشخص الذي يشارك في مسار العمل أو يتأثر به.
استخبارات التهديدات الاستراتيجية	مستوى استخبارات التهديدات التي تركز على أهداف ودوافع ونوايا جهات التهديديات السيبرانية. وتهدف إلى دراسة الإسنادات إلى جهات التهديد السيبرانية، والتحقيق في الدوافع الحقيقية والروابط بين الأحداث السيبرانية، وفهم ديناميكيات الأنظمة المعقدة واتجاهاتها. ويُعد التحليل الجيوسياسي والقطاعي والسياق أداة أساسية.
تكتيك	الهدف التكتيكي لجهة التهديد: سبب القيام بعمل ما. المصدر: إطار عمل MITRE ATT&CK
هدف (جهة التهديد)	الخيارات التي تتخذها جهات التهديدات فيما يتعلق بهدف (أهداف) هجماتها. حيث تختار جهة التهديد هدفًا بناءً على الموقع والقطاع وأنواع المعلومات المعالجة وسطح الهجوم المتاح. ويلعب المشهد الجيوسياسي دورًا رئيسيًا في نمط استهداف جهات التهديد في الدولة القومية.
التصنيف	تصنيف العناصر المترابطة.
الأساليب	تمثل الأساليب "كيفية" تحقيق جهة التهديد لهدف تكتيكي من خلال تنفيذ إجراء ما. المصدر: إطار عمل MITRE ATT&CK
تهديد (الأمن السيبراني)	أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية أو الأصول المؤسسية أو الأفراد أو المؤسسات الأخرى أو الأمة من خلال نظام معلومات عن طريق الوصول غير المصرح به للمعلومات أو تدميرها أو الكشف عنها أو تعديلها و/أو الحرمان من الخدمة. المصدر: NISTIR 7298 3 قائمة مصطلحات أمن المعلومات الرئيسية
جهة التهديد	الأفراد أو الجماعات أو المؤسسات أو الدول التي تسعى لاستغلال اعتماد المؤسسة على الموارد السيبرانية (أي المعلومات في شكل إلكتروني، وتقنيات المعلومات والاتصالات، وقدرات الاتصالات ومعالجة المعلومات التي توفرها تلك التقنيات) (NIST 2012) أو بشكل أعم "فرد أو مجموعة تشكل تهديدًا" (NIST 2016).
مشهد التهديد	مجموعة من التهديدات في مجال أو سياق معيّن، مع معلومات حول الأصول المعرضة للخطر والتهديدات والمخاطر وجهات التهديد والاتجاهات المرصودة. المصدر: ENISA
متطلبات استخبارات التهديد	توجه متطلبات استخبارات التهديدات جهود إنتاج المعلومات الاستخباراتية بكفاءة وتحدد ماهية المعلومات الاستخباراتية التي ينبغي إنتاجها لتلبية الأهداف الأمنية للمؤسسة
نوع (جهة التهديد)	تجميع جهات التهديد التي تشترك في خصائص متشابهة، مثل النوايا والدوافع المتشابهة، وتعمل بطرق متشابهة.
سلسلة القتل الموحدة	تطور لإطار عمل سلسلة القتل يوضح بالتفصيل مراحل الهجوم.
ناقل (الهجوم)	النهج العام لتحقيق تأثير معين، من خلال الاستفادة من تعرض نوع معين من سطح الهجوم أو منطقة محددة فيه.

الملحق ب. مجالات التحليل
يجب على المؤسسات المالية أن تضع متطلبات استخبارات التهديدات بناءً على مجالات التحليل المختلفة ذات الصلة بأولويات أعمالها. وقد تختلف مجالات التحليل هذه باختلاف المؤسسات المالية ، بما في ذلك على سبيل المثال لا الحصر:
- الجغرافيا السياسية: يشمل ذلك متطلبات تحديد الأحداث الجيوسياسية التي قد تحدد هجومًا أمنيًا سيبرانيًا ضمن نطاق التحليل، مثل الحملات العالمية الكبيرة التي تنفذها الجهات الفاعلة في مجال التهديد، وحوادث الأمن السيبراني السابقة الهامة ذات الصلة، وما إلى ذلك.
- جهة التهديد: يتضمن ذلك متطلبات تحديد جهات التهديد الرئيسية التي يجب أن تركز عليها المؤسسة بشكل خاص.
- ناقلات التهديد: يتضمن ذلك متطلبات تحديد أساليب الهجوم ذات الصلة (مثل ناقلات الوصول الأولية، وما إلى ذلك).
- التقنية: يتضمن ذلك متطلبات تقييم الهجمات المحتملة ضد التقنيات التي تعتمد عليها المؤسسة.
- الصناعة: يشمل ذلك متطلبات تحديد الهجمات المحتملة ضد الصناعات ذات الصلة بالمؤسسة (مثل الأطراف الخارجية في سلسلة التوريد أو البنية التحتية الحيوية الوطنية).

الملحق ج. أنواع المصادر

تحتوي الجداول التالية على أمثلة للمصادر الداخلية والخارجية.

المصادر
نوع المصادر
	القطاع العام	استخبارات التهديدات المقدمة من البنك المركزي والهيئة الوطنية للأمن السيبراني	الهيئات المدنية أو الحكومية الوطنية (مثل سلطات إنفاذ القانون)	التقارير أو المعلومات الواردة من السلطات القطاعية أو الوطنية الأخرى (مثل هيئة السوق المالية أو مركز تبادل وتحليل معلومات الخدمات المالية أو المركز الوطني الإرشادي للأمن السيبراني)	الأطر العامة (على سبيل المثال. ENISA, EUROPOL, MITRE)
المصادر الخارجية	القطاع الخاص	استخبارات التهديدات من الموردين المتخصصين والمنصات المتاحة عند الاشتراك أو التعاقد	تقارير استخبارات التهديدات والأخبار والموجزات والتحليلات المتاحة للعامة
	القطاع الأكاديمي	الأوراق البيضاء	المنشورات والمؤتمرات الأكاديمية	المجلات الأكاديمية

الجدول 1. المصادر الخارجية

المصادر

نوع المصادر

المصادر الداخلية

سجلات التطبيقات والبنية التحتية

نظام كشف التسلل(IDS)

نظام منع التسلل(IPS)

أنظمة الدفاع الأمني السيبراني

الجدول 2: المصادر الداخلية

الملحق د. أنواع الاستخبارات
يوجد في الوقت الراهن مجموعة كبيرة من أنواع الاستخبارات المختلفة التي يمكن استخدامها للحصول على فهم شامل للتهديدات التي تواجهها المؤسسة.
وتشمل هذه الأنواع من الاستخبارات ما يلي:
- الاستخبارات مفتوحة المصدر (OSINT): معلومات استخباراتية مفتوحة المصدر يتم الحصول عليها من مصادر متاحة للعامة (مثل تقرير التهديد، والمدونة، وما إلى ذلك)
- الاستخبارات الفنية (TECHINT): الاستخبارات الفنية المستمدة من الإشارات التي تولدها الأجهزة أو التطبيقات البرمجية المتصلة بشبكة المؤسسة بشكل روتيني (مثل مؤشرات الاختراق، وتحليل البرمجيات الخبيثة، وتقارير الشفرات، وما إلى ذلك)
- استخبارات وسائل التواصل الاجتماعي (SOCMINT): عملية تحديد البيانات وجمعها والتحقق من صحتها وتحليلها من مواقع وحسابات وسائل التواصل الاجتماعي (مثل المدونات والمدونات الصغيرة والشبكات الاجتماعية وغيرها)
- الاستخبارات البشرية (HUINT): الاستخبارات البشرية المستمدة بشكل علني أو خفي من مصادر بشرية استنادًا إلى علاقة بين محلل استخباراتي ومدير المحلل (مثل المراقبة النشطة على المنتديات)
- استخبارات شبكات الإنترنت العميقة والمظلمة: المعلومات الاستخباراتية المجمعة على شبكة الإنترنت العميقة والمظلمة (مثل الأسواق والمنتديات وما إلى ذلك)

الملحق هـ. طرق تسليم استخبارات التهديدات
يجب على المؤسسات المالية إنشاء آلية تسليم استخبارات التهديدات التي يتم إنتاجها والتي تشمل، على سبيل المثال لا الحصر:
- نشرات التهديدات السيبرانية التي تتضمن معلومات عن التهديدات السيبرانية التي قد تكون مفيدة للمؤسسات
- تنبيهات بسيطة يتم إرسالها عبر الهاتف أو الرسائل النصية أو البريد الإلكتروني
- تقارير مفصلة غنية بالتحليلات والجداول والأرقام والرسومات والوسائط المتعددة
- موجزات البيانات التي يمكن قراءتها آليًا استنادًا إلى تدوين استخبارات التهديدات المنظمة المعيارية المملوكة أو المفتوحة، وذلك لإدارة المعلومات الأمنية والأحداث، وبرامج مكافحة الفيروسات، وجدران الحماية، وأنظمة منع التسلل، وأنظمة كشف التسلل، وأدوات التحليل الجنائي
- مخرجات مصممة خصيصًا للأنظمة الداخلية
- واجهات برمجة التطبيقات التي تتيح الاتصال المباشر بالنظام لأغراض الاستعلام أو الاسترجاع
- بوابات إلكترونية آمنة على الإنترنت توفر إمكانية الوصول عند الطلب إلى قاعدة بيانات محدثة لمعلومات التهديدات ومجموعة من الوظائف التحليلية التي يمكن أن تكون أساسية بدءًا من الاستعلامات البسيطة إلى التنقيب عن البيانات الأكثر تعقيدًا

الملحق و. إجراءات التشغيل القياسية للاستخبارات
فيما يلي بعض الأمثلة على كيفية مساعدة إجراءات التشغيل القياسية للمستخدمين عند إجراء نوع معين من استخبارات التهديدات.
عند إجراء استخبارات شبكات الإنترنت العميقة والمظلمة، يجب أن تساعد الإرشادات خطوة بخطوة المستخدمين في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، بما في ذلك على سبيل المثال لا الحصر:
- استخدام بيئة معزولة ومحكومة وغير قابلة للتتبع مثل الجهاز الافتراضي
- تحديث وجمع قائمة بمنتديات وأسواق شبكات الإنترنت العميقة والمظلمة
- إنشاء صور رمزية مختلفة للوصول إليها
وبالمثل، عند إجراء استخبارات وسائل التواصل الاجتماعي، يجب أن تساعد التعليمات خطوة بخطوة في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، على سبيل المثال:
- تزويد المستخدمين بقائمة بأنواع مختلفة من المصادر وتحديث هذه القائمة باستمرار (مثل المدونات والمدونات الصغيرة والشبكات الاجتماعية والصور والفيديو ومنتديات النقاش)
- إجراء تدريب على الشبكات الاجتماعية ومنصة استضافة ومشاركة الفيديو عبر الإنترنت (مثل تويتر، فيسبوك، يوتيوب، إلخ.)
- استخدام أدوات التواصل الاجتماعي عند الإمكان (التجارية والمفتوحة المصدر)
وبنفس الطريقة، عند تنفيذ الاستخبارات البشرية، يجب أن تساعد التعليمات خطوة بخطوة في تحديد جميع العناصر اللازمة لإجراء ذلك بشكل صحيح، بما في ذلك على سبيل المثال لا الحصر:
- إجراء تدريب على الأخلاقيات للمحللين الذين يؤدون ارتباطات نشطة عبر الإنترنت
- تنفيذ إجراءات التشغيل القياسية المتعلقة بالوصول إلى المنتدى والسوق
- إنشاء صورة رمزية لكل وصول لتجنب التتبع
- فهم الفرق بين المراقبة الإيجابية والسلبية

الملحق ز. النهج التحليلي
يجب أن تعتمد المؤسسات المالية نهجاً تحليلياً بحيث تلبي الاستخبارات المنتجة متطلبات الاستخبارات.
واستناداً إلى ما هو الأنسب للمؤسسات المالية، يمكن أن يكون النهج التحليلي:
- قائم على الفرضيات: يتضمن هذا النهج تعريف الفرضية وتقييمها من خلال تحليل المعلومات المتاحة
- قائم على المحلل: يعتمد هذا النهج على التفكير النقدي والتحليلي للمحلل
- مضاد: يهدف هذا النهج إلى تحدي الاستنتاجات أو النقاط الرئيسية التي قدمها المصدر لطرح نهج جدلي مضاد

الملحق ح. الرسم البياني عالي المستوى لمبادئ استخبارات التهديدات السيبرانية
فيما يلي رسم بياني عالي المستوى لمبادئ استخبارات التهديدات السيبرانية. يهدف الرسم البياني إلى تمثيل البنية عالية المستوى للوثيقة.

الملحق ي. الخريطة الذهنية لمبادئ استخبارات التهديدات السيبرانية
فيما يلي تمثيل لخريطة ذهنية لهيكل مبادئ استخبارات التهديدات السيبرانية. يهدف الرسم البياني إلى تمثيل المجالات المختلفة للوثيقة بوضوح وكيفية ارتباط المبادئ ببعضها البعض.

الحد الأدنى من ضوابط التحقق
الرقم: 202200000245 التاريخ (م): 2022/4/21 | التاريخ (هـ): 1443/9/20 الحالة:نافذ
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

1. مقدمة
يشكل الابتكار الرقمي فرصًا كبيرة للشركات والمستهلكين، وفي الوقت ذاته، يقدم أيضًا بُعدًا جديدًا للتهديدات الناشئة ويغير النظرة التقليدية للمخاطر السيبرانية. لتمكين المؤسسات المالية الخاضعة لرقابة البنك المركزي السعودي من تحديد ومعالجة المخاطر السيبرانية بشكل فعال، بالإضافة إلى لوائح البنك المركزي السعودي، حدد البنك مجموعة من الضوابط التي يجب اعتمادها وتنفيذها من جانب المؤسسة المالية من أجل الحفاظ على الحماية الملائمة لأصول المعلومات والخدمات الرقمية.

2. نطاق التطبيق
تنطبق الضوابط الواردة في هذه الوثيقة على أي مؤسسة مالية تقدم المحفظة الإلكترونية أو منتجات التمويل أو التمويل الجماعي أو أي نموذج أعمال آخر في مجال التقنية المالية تحت إشراف البنك المركزي السعودي، مع الأخذ في الاعتبار إمكانية تطبيق المتطلبات التي تحقق الأهداف المطلوبة.

3. ضوابط التسجيل/التأهيل

1.3.	يجب على المؤسسة المالية التأكد من تسجيل كل رقم هاتف (أو) هوية وطنية/إقامة، مرتبط بطلب واحد فقط.
2.3.	يجب على المؤسسة المالية إعداد عملية آمنة للتحقق من المستخدمين.
3.3.	يجب أن تتضمن عملية التسجيل ما يلي:
	أ.	بالنسبة لمنصات الإقراض: نموذج قوي من المصادقة من طرف مستقل موثوق به.
	ب.	بالنسبة لمنصات المحفظة الإلكترونية: نموذج قوي من المصادقة من طرف مستقل موثوق به، أي، (الدخول الوطني الموحد (NSSO)) باستخدام اسم المستخدم وكلمة المرور، وكلمة المرور لمرة واحدة (OTP).
	ج.	بالنسبة لنماذج الأعمال الأخرى، يجب تنفيذ ضوابط قوية في عملية التسجيل/التأهيل، مع الأخذ في الاعتبار المفهوم الوارد في النقاط (3.3.أ-ب).
4.3.	يجب على المؤسسة المالية التحقق أن ملكية رقم الهاتف مسجلة لنفس المستخدم (أي الاسم المطابق والهوية الوطنية) من خلال جهة موثوقة فقط (أي تحقق).
5.3.	يجب على المؤسسة المالية التأكد أن عملية التسجيل تتضمن آلية كلمة المرور لمرة واحدة (OTP) كشكل من أشكال التحقق. يجب إرسال كلمة المرور لمرة واحدة إلى رقم هاتف تم التحقق منه حسب النقطة (4.3).
6.3.	يجب على المؤسسات المالية تنفيذ ضوابط مهلة الجلسة لجميع كلمات المرور لمرة واحدة الصادرة.
7.3.	يجب إرسال إشعار عبر الرسائل القصيرة إلى المستخدمين للتسجيل أو إعادة تسجيل الجهاز أو تغيير حالة الحساب، مثل إلغاء التنشيط وإعادة التنشيط وعدم النشاط.
8.3.	يجب تعيين تطبيق المؤسسة المالية لجهاز واحد فقط. بخلاف ذلك، يجب تطبيق كلمة المرور لمرة واحدة لكل تسجيل دخول، بالإضافة إلى تعطيل تسجيل الدخول المتزامن.
9.3.	يجب على المؤسسة المالية إعداد عملية فعالة وآمنة لإلغاء تنشيط الحساب وإعادة تنشيطه وإعادة تسجيل الجهاز لمصادقة المستخدم.

¹طرف موثوق به: أي طرف مرخص له بمزاولة النشاط ذي الصلة

4. الضوابط العامة

1.4.	يجب على المؤسسة المالية تنفيذ متطلبات الأمن السيبراني التنظيمية الصادرة عن البنك المركزي السعودي.
2.4.	يجب على المؤسسة المالية استخدام متاجر التطبيقات الرسمية.
3.4.	يجب على المؤسسة المالية تطوير آلية تقييد التثبيت لأجهزة تصعيد الامتيازات مثل "Jailbreak" لنظام التشغيل iOS و"Root" لنظام التشغيل Android أو أي نظام تشغيل مفتوح المصدر، مع مراعاة أن يتم تثبيت التطبيق من خلال المتاجر الرسمية.
4.4.	يجب أن تضع المؤسسة المالية تدابير طوارئ في حالة وقوع كارثة وضمان إجراءات النسخ الاحتياطي والاسترداد الفعالة.
5.4.	يجب أن تغطي الشروط والأحكام خصوصية البيانات، مع مراعاة موافقة العميل على عرض اسم صاحب الحساب.
6.4.	يجب على المؤسسة المالية إجراء برنامج توعية لجميع المستخدمين بانتظام، ويجب أن يغطي الشروط والأحكام والوعي الأمني العام مثل مشاركة المعلومات السرية (كلمة المرور أو كلمة المرور لمرة واحدة).
7.4.	يجب على المؤسسة المالية إعداد سياسة الحسابات غير النشطة.
8.4.	يجب تنفيذ المصادقة متعددة العوامل (MFA) لمصادقة كل تسجيل دخول.
9.4.	ينبغي تطبيق آلية كلمة المرور لمرة واحدة (OTP) للعمليات التالية:
	أ.	التحويل بين محفظة إلى أخرى (لأول مرة كحد أدنى لكل مستفيد) أدناه (القيمة المحددة)²؛
	ب.	إجراء أي معاملة في سوق التطبيقات؛
	ج.	سداد الفواتير وفواتير المرافق والخدمات الحكومية (لأول مرة كحد أدنى لكل فاتورة)؛
	د.	إعادة تعيين كلمة المرور؛
	هـ.	إعادة تنشيط المحافظ؛
	و.	المعاملات المحفوفة بالمخاطر بناءً على تقييم الشركة وحالات الاستخدام.
10.4.	يجب استخدام كلمة المرور لمرة واحدة في قناة واحدة وباستخدام قناة توصيل مختلفة للمعاملات التالية:
	أ.	أي معاملة بين المحافظ تتجاوز (القيمة المُحددة) كحد يومي (لأول مرة كحد أدنى لكل مستفيد)
	ب.	التحويل إلى رقم الحساب المصرفي الدولي (لأول مرة كحد أدنى لكل مستفيد)
	ج.	التحويل الدولي (لأول مرة كحد أدنى لكل مستفيد)
	د.	المعاملات عالية المخاطر بناءً على تقييم الشركة وحالات الاستخدام
11.4.	يجب إرسال إشعار عبر الرسائل القصيرة إلى المستخدمين بشأن جميع المعاملات وتغييرات حساب المستخدم.
12.4.	يجب على المؤسسة المالية أن تنظر في استخدام حالات الاستخدام الشاملة والسيناريوهات المُصممة خصيصًا لنموذج أعمالها لمكافحة الاحتيال؛ بما في ذلك على سبيل المثال لا الحصر:
	أ.	مراقبة سلوك جميع المستخدمين للكشف عن أي حالات شاذة بناءً على أفضل الممارسات؛
	ب.	إدارة سلوك استخدام الجهاز؛
13.4.	يجب على المؤسسة المالية إعداد عملية للتعامل مع حالات الاحتيال، مع الأخذ في الاعتبار خطوات التحقيق وتعطيل الحسابات.
14.4.	يجب على المؤسسة المالية إعداد عملية لحماية "خصوصية البيانات" و"أمن البيانات" لهذه الحسابات. تتضمن هذه المعلومات "عرض اسم مالك الحساب".
15.4.	يجب على المؤسسة المالية التأكد أن محتوى الرسائل النصية القصيرة واضح ومباشر، مع ذكر الغرض من الرسائل القصيرة وإسم المؤسسة المالية
16.4.	يجب أن تعكس المؤسسات المالية جميع الضوابط الواردة في هذه الوثيقة ضمن السياسات الداخلية المُعتمدة من مجلس إداراة المؤسسات، ويجب أن يكون لديها عملية للمراجعة الدورية للسياسات.

² سيتم تعميم القيمة المحددة في المذكرة. ستتم مراجعة القيمة دوريًا وسيتم تعميمها رسميًا في حالة تغييرها.

5. ضوابط خاصة بطلب الإقراض

يجب على الشركات المُقرضة تطبيق الضوابط الواردة أدناه، بالإضافة إلى الضوابط المذكورة أعلاه.
1.5.	يجب أن يكون لدى المؤسسة المالية عملية يتم تنفيذها للتأكد من أن رقم الحساب المصرفي الدولي (IBAN) الخاص بالمستلم خاص بطالب القرض.
2.5.	يجب على المؤسسة المالية استخدام مزود توقيع رقمي موثوق به ومُعتمد. (انظر الملحق «أ» للحصول على تفاصيل إضافية)
3.5.	التأكد من تنفيذ عملية لإنشاء وحفظ وإدارة السند الإذني بشكل آمن باستخدام جهة وطنية موثوقة (مثل نافذ)
4.5.	يجب على المؤسسة المالية تنفيذ عملية للاتصال بالعميل لتأكيد طلب القرض.
5.5.	ينبغي إرسال إشعار عبر الرسائل القصيرة مع العميل عندما:
	أ.	قدَّم المستخدم الطلب.
	ب.	عند الموافقة على طلب القرض أو رفضه.

6. الملحق أ - نظرة عامة على تعاميم البنك المركزي السعودي الصادرة سابقًا

تحل هذه الوثيقة محل تعميمات البنك المركزي السعودي الصادرة مسبقًا التالية:
	•	الضوابط الأمنية للمحفظة الإلكترونية، الإصدار 0.1
تشير هذه الوثيقة إلى تعميمات أو مستندات البنك المركزي السعودي التالية والتي تم التكليف بها بموجب المذكرة الصادرة:
	•	بخصوص التصديق الرقمي للمنتجات لعملاء شركات التمويل، 42011675، 1442/02/27؛

‌الدليل التنظيمي لإدارة استمرارية الأعمال
الرقم: 381000058504 التاريخ (م): 2017/2/27 | التاريخ (هـ): 1438/6/1 الحالة:نافذ
انطلاقا من حرص البنك المركزي في تحسين مستوى الممارسات فيما يتعلق بموضوع استمرارية الأعمال عند وقوع الحوادث أو الكوارث-لا سمح الله- من خلال وجود آلية فعالة ومطبقة ومختبرة في البنك المصرف مستندة على أفضل الحلول والممارسات التي توفر بيئة ناضجة لضمان استمرارية الاعمال دون حدوث انقطاع للخدمات الهامه وتعطل الاعمال، نفيدكم قيام البنك المركزي بتطوير وإصدار دليل تنظيمي لإدارة استمرارية الاعمال للقطاع المصرفي( مرفق) والذي يتعين على البنك/ المصرف الالتزام الكامل بما ورد في هذا الدليل من خلال إتباع الإجراءات الآتية:
أولاً: عمل تقييم الوضع الحالي لاستمرارية الاعمال في البنك مقارنة بما ورد من متطلبات في الدليل التنظيمي (Gap Assessment) لتحديد مواطن الضعف في البنك على أن يتم وضع خطه عمل (Roadmap) للالتزام بمتطلبات البنك المركزي بعد تقييم الوضع الحالي وإرسالها للبنك المركزي وذلك في موعد أقصاه نهاية شهر مايو ۲۰۱۷م.
ثانياً: تزويد البنك المركزي بتقارير ربع سنوية اعتباراً من نهاية الربع الثاني وحتى التزام البنك بمتطلبات البنك المركزي.
ثالثاً: الالتزام التام بتطبيق جميع المتطلبات الواردة في الدليل وذلك بنهاية شهر يناير لعام ٢٠١٨م.
و في حال وجود أي استفسار بهذا الخصوص يمكنكم التواصل مع مدير شعبة مخاطر تقنية المعلومات البنكية في البنك المركزي.

1. مقدمة

1.1 مقدمة الدليل التنظيمي لإدارة استمرارية الأعمال
نظرًا لحاجة المؤسسات المالية في المملكة العربية السعودية إلى توافر العمليات التجارية على مدار الساعة طوال أيام الأسبوع، وضع البنك المركزي الدليل التنظيمي لإدارة استمرارية الأعمال للمؤسسات المالية من شأنه تعزيز قدرة المؤسسات على المرونة المؤسسية لضمان استمرارية وتوافر عملياتها وخدماتها. وتستند المتطلبات المتضمنة إلى متطلبات البنك المركزي وممارسات الصناعة والمعايير الدولية، مثل ISO 22301 وISO 27001 وإرشادات الممارسات الجيدة الصادرة عن معهد استمرارية الأعمال وإرشادات الممارسة المهنية الصادرة عن المعهد الدولي للتعافي من الكوارث. يتعين على جميع المؤسسات المالية الالتزام بهذه المتطلبات ودمجها رسميًا في برنامج إدارة استمرارية الأعمال الخاص بها.

2.1 التعريفات
- إدارة استمرارية الأعمال عملية إدارية شاملة تحدد التهديدات المحتملة للمؤسسة وما قد تسببه تلك التهديدات، في حال تحققها، تأثيرات على العمليات التجارية. فهي توفر دليلًا لبناء المرونة المؤسسية مع القدرة على الاستجابة الفعالة التي تحمي مصالح أصحاب المصلحة الرئيسيين والسمعة والعلامة التجارية وأنشطة خلق القيمة.
- تعد استمرارية الأعمال جزءًا من نظام الإدارة الشامل، والذي يتضمن الهيكل التنظيمي والسياسات وأنشطة التخطيط والمسؤوليات والإجراءات والعمليات والموارد التي تقوم بإنشاء استمرارية الأعمال وتنفيذها وتشغيلها ومراقبتها ومراجعتها وصيانتها وتحسينها.
- يعد التعافي من كوارث تقنية المعلومات (IT DR) جزءًا من إدارة استمرارية الأعمال التي تشمل السياسات والمعايير والإجراءات والعمليات المتعلقة بصمود البنية التحتية التقنية التي تدعم عمليات الأعمال الحيوية أو استعادتها أو استمرارها.
- الحد الأقصى للانقطاع المقبول (MAO) يُعرف بأنه الوقــت المســتغرق حتــى تصبــح الآثار الســلبية، الناشــئة نتيجــة عــدم تقديــم منتــج / خدمــة أو أداء نشــاط، غيــر مقبولــة.
- وقت التعافي المستهدف(RTO)يُعرف بأنه الفترة التي تلي وقوع الحادث والتي يجب أن يتم خلالها استئناف المنتجات أو الخدمات أو استئناف النشاط أو استعادة الموارد.
- نقطة التعافي المستهدفة (RPO) تُعرف على أنها النقطـــة التـــي يجـــب عندهـــا اســـتعادة المعلومـــات المســـتخدمة فـــي النشـــاط لتمكيـــن النشـــاط مـــن العمـــل عنـــد الاستئناف. ويمكن أن يُطلق عليها أيضًا "الحد الأقصى المسموح لخسارة البيانات".

3.1 النطاق
تحدد وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال المبادئ والأهداف واعتبارات الرقابة لبدء ضوابط استمرارية الأعمال في المنظمات الأعضاء وتنفيذها وصيانتها ورصدها وتحسينها.
تنطبق وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال على النطاق الكامل للمنظمة العضو، بما في ذلك الشركات التابعة والموظفين والمقاولين من الباطن والأطراف الثالثة والعملاء.
وترتبط بعلاقة متبادلة مع السياسات المؤسسية الأخرى الخاصة بالمجالات ذات الصلة، مثل إدارة المخاطر المؤسسية، والصحة والسلامة والبيئة، والأمن المادي، والأمن السيبراني (بما في ذلك المرونة السيبرانية وإدارة الحوادث).

4.1 نطاق التطبيق
تنطبق وثيقة الدليل التنظيمي لإدارة استمرارية الأعمال على ما يلي:
- جميع المؤسسات الخاضعة لإشراف البنك المركزي ("المؤسسات المالية")
- جميع البنوك العاملة في المملكة العربية السعودية
- كافة الشركات التابعة للبنوك السعودية
- الشركات التابعة للبنوك الأجنبية الموجودة في المملكة العربية السعودية

5.1 المسؤوليات
يفرض البنك المركزي وثيقة متطلبات الدليل التنظيمي لإدارة استمرارية الأعمال على المؤسسات المالية. وتوجز هذه الوثيقة متطلبات إدارة استمرارية الأعمال التي يتعين على المؤسسات المالية تنفيذها. وعليه، فإن البنك المركزي الجهة المالكة لهذا الدليل والمسؤول عن تحديثه دوريًا. وتتحمل المؤسسات المالية مسؤولية اعتماد وتنفيذ المتطلبات المنصوص عليها في هذه الوثيقة.

6.1 التفسير
سيقدم البنك المركزي، بصفته الجهة المالكة لهذه الوثيقة تفسيرات للمبادئ والأهداف واعتبارات التحكم، إذا لزم الأمر.

7.1 الجمهور المستهدف
هذه الوثيقة مخصصة لمجالس الإدارة والرؤساء التنفيذيين وكبار مسؤولي المخاطر والإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي أصول المعلومات ومدراء تقنية المعلومات ومدراء أمن المعلومات ومدراء استمرارية الأعمال والمدققين الداخليين وأولئك المسؤولين والمشاركين في تحديد وتنفيذ ومراجعة ضوابط استمرارية الأعمال وأهدافها واعتبارات التحكم إذا لزم الأمر.

8.1 المراجعة والتغييرات والمحافظة
سيقوم البنك المركزي بمراجعة هذه الوثيقة والحفاظ عليها. حيث سيراجع هذه الوثيقة بشكل دوري لتحديد مدى فعاليتها، بما في ذلك فعالية الدليل في مواجهة التهديدات والمخاطر الناشئة في مجال استمرارية الأعمال. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث هذه الوثيقة بناءً على نتائج المراجعة.
إذا ارتأت إحدى المؤسسات المالية أن هناك حاجة لتحديث هذه الوثيقة، يجب على المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي بعد الحصول على موافقة مدير استمرارية الأعمال واللجنة التوجيهية لاستمرارية الأعمال داخل المؤسسة المالية. وسيقوم البنك المركزي بدوره بمراجعة التحديث المطلوب، وعند الموافقة عليه، سيتم تحديث هذه الوثيقة.
سيتم تنفيذ إجراء ضبط الإصدارات للحفاظ على الوثيقة. بحيث أنه كلما يتم إجراء أي تغييرات، سيتم سحب الإصدار السابق ونشر الإصدار الجديد وإبلاغ جميع المؤسسات المالية بها.

9.1 دليل القراءة
يمثل الدليل التنظيمي لإدارة استمرارية الأعمال المجالات الفعلية لإدارة استمرارية الأعمال والمجالات الفرعية والمبادئ والأهداف واعتبارات التحكم.

2. متطلبات استمرارية الأعمال

1.2 حوكمة إدارة استمرارية الأعمال

المبدأ
يجب تحديد الدليل التنظيمي لحوكمة استمرارية الأعمال والموافقة عليه وتنفيذه والمحافظة عليه وأن يخضع لرقابة الإدارة العليا. يجب تحديد هيكل استمرارية الأعمال وإبلاغه لجميع الموظفين المعنيين والأطراف الخارجية.
الهدف
توجيه النهج العام لاستمرارية الأعمال داخل المؤسسة المالية ومراقبته وتقييمه
اعتبارات التحكم:
1.	يجب أن يتحمل مجلس الإدارة أو عضو تنفيذي مفوض المسؤولية النهائية عن برنامج إدارة استمرارية الأعمال.
2.	يجب أن يقوم مجلس إدارة المؤسسة المالية أو أحد أعضاء الإدارة العليا المفوضين بتخصيص ميزانية كافية لتنفيذ أنشطة إدارة استمرارية الأعمال المطلوبة،
3.	يجب تشكيل لجنة لاستمرارية الأعمال وتكليفها من قبل مجلس الإدارة.
4.	يجب أن تكون الإدارة العليا، مثل الرئيس التنفيذي للمخاطر ورئيس العمليات والرئيس التنفيذي للمعلومات والرئيس التنفيذي لأمن المعلومات ومدير إدارة استمرارية الأعمال وغيرها من الأقسام ذات الصلة ممثلة في لجنة استمرارية الأعمال.
5.	يجب وضع ميثاق لجنة استمرارية الأعمال، ويجب أن يعكس ما يلي:
	أ.	أهداف اللجنة
	ب.	الأدوار والمسؤوليات
	ج.	الحد الأدنى لعدد المشاركين في الاجتماع
	د.	تواتر الاجتماعات (على الأقل كل ثلاثة أشهر)
6.	ينبغي إنشاء وظيفة إدارة استمرارية الأعمال.
7.	يجب أن يكون مدير/رئيس إدارة استمرارية الأعمال:
	أ.	أن يتم تعيينه
	ب.	يتمتع بالسلطة المناسبة لإدارة برنامج إدارة استمرارية الأعمال
	ج.	مؤهلاً ويتمتع بالخبرة والمهارات والكفاءات المناسبة لتنفيذ برنامج إدارة استمرارية الأعمال والحفاظ عليه داخل المؤسسة المالية
8.	يجب أن تكون وظيفة استمرارية الأعمال مزودة بعدد كافٍ من أعضاء الفريق المؤهلين
9.	يجب أن تساهم الفرق متعددة الوظائف، التي تتألف من أعضاء الفريق الاستراتيجي والتكتيكي وفريق العمليات في تنفيذ وصون خطط استمرارية الأعمال والتعافي من الكوارث.

2.2 استراتيجية إدارة استمرارية الأعمال

المبدأ
يجب تحديد استراتيجية استمرارية الأعمال ومواءمتها مع أهداف العمل الاستراتيجية الشاملة للمؤسسة المالية.
الهدف
التأكد من أن مبادرات استمرارية الأعمال تتماشى مع الأهداف الاستراتيجية للأعمال وتدرج إدارة استمرارية الأعمال كجزء من الممارسات الإدارية الجيدة داخل المؤسسة المالية، من أجل التحسين المستمر في مرحلة النضج.
اعتبارات التحكم
1.	يجب تحديد استراتيجية استمرارية الأعمال والموافقة عليها وتنفيذها والحفاظ عليها.
2.	يجب أن تحدد الإستراتيجية على الأقل ما يلي:
	أ.	الأهداف الإستراتيجية طويلة المدى لتطبيق ونضج برنامج إدارة استمرارية الأعمال
	ب.	خريطة طريق مع جداول زمنية لتحقيق الأهداف الاستراتيجية
	ج.	متطلبات المراجعة المستمرة والتحقق من مواءمة برنامج إدارة استمرارية الأعمال مع الأهداف الاستراتيجية

3.2 سياسة استمرارية الأعمال

المبدأ
يجب تحديد سياسة استمرارية الأعمال والموافقة عليها وإبلاغها لأصحاب المصلحة المعنيين.
الهدف
توثيق التزام المؤسسة المالية وهدفها من برنامج استمرارية الأعمال، وإيصال ذلك إلى أصحاب المصلحة المعنيين.
اعتبارات التحكم
1.	يجب تحديد سياسة استمرارية الأعمال والموافقة عليها وتنفيذها والإبلاغ بها
2.	يجب أن تحدد سياسة استمرارية الأعمال على الأقل ما يلي:
	أ.	الأهداف
	ب.	النطاق
	ج.	المسؤوليات
3.	يجب مراقبة الامتثال لسياسة استمرارية الأعمال.
4.	يجب قياس مدى فعالية تنفيذ السياسات وتقييمها بشكل دوري.
5.	يجب توثيق الاستثناءات من نطاق إدارة استمرارية الأعمال وتقييمها بشكل دوري. يجب توثيق مبررات استثناءات النطاق والموافقة عليها من قبل لجنة إدارة استمرارية الأعمال والإدارة العليا.

4.2 تحليل أثر انقطاع الأعمال وتقييم المخاطر

المبدأ
يجب على المؤسسة المالية إجراء تحليل لأثر انقطاع الأعمال وتقييم المخاطر لجميع الأنشطة ذات الصلة لتحديد استمرارية الأعمال ومتطلبات التعافي من الكوارث والتحسينات.
الهدف
التأكد من قيام كل مؤسسة المالية بتحديد عملياتها التجارية وترتيب أولوياتها إلى جانب التبعيات الرئيسية، وتحديد الضوابط الكافية من أجل الوفاء بمتطلبات الأعمال والمتطلبات التنظيمية والقانونية والامتثال فيما يتعلق باستمرارية الأعمال
اعتبارات التحكم
1.	يجب تحديد منهجية تحليل أثر انقطاع الأعمال وتقييم المخاطر والموافقة عليها وتنفيذها والمحافظة عليها.
2.	يجب على المؤسسة المالية إجراء تقييم دوري لمخاطر استمرارية الأعمال. ويجب أن تشمل، على سبيل المثال لا الحصر ما يلي:
	أ.	تحديد التهديدات الداخلية والخارجية المحتملة، بما في ذلك نقطة الفشل الوحيدة التي قد تتسبب في تعطيل الأنشطة الحرجة على النحو المحدد في تقييم أثر انقطاع الأعمال مع الأخذ بعين الاعتبار الأشخاص والعمليات والتقنية والمرافق.
	ب.	تقييم المخاطر المحتملة وتحديد أولوياتها من خلال تقييم التهديدات المحتملة بناءً على تأثيرها التشغيلي واحتمالية حدوثها
	ج.	تحديد الضوابط المطلوبة لإدارة المخاطر المحددة
	د.	تحديد خطة العلاج وتنفيذ ضوابط إدارة استمرارية الأعمال
3.	يجب على المؤسسة المالية تحديد الأنشطة وترتيب أولوياتها (مثل المنتجات والخدمات ووظائف وعمليات الأعمال) من خلال إجراء تقييم أثر انقطاع الأعمال لتحديد ما يلي على سبيل المثال لا الحصر:
	أ.	الأثر المحتمل لانقطاع الأعمال لكل وظيفة من وظائف الأعمال والعمليات ذات الأولوية، بما في ذلك على سبيل المثال لا الحصر الآثار المالية والتشغيلية والعملاء والآثار القانونية والتنظيمية
	ب.	أوقات التعافي المستهدفة، ونقاط التعافي المستهدفة والحد الأقصى للانقطاع المقبول
	ج.	الاعتمادات المتبادلة الداخلية والخارجية
	د.	مواد التعافي الداعمة
4.	يجب أن تصادق لجنة إدارة استمرارية الأعمال على قائمة الأولويات ونتائج أثر انقطاع الأعمال وتقييم المخاطر وأوقات التعافي المستهدفة ونقاط التعافي المستهدفة والحدود القصوى للانقطاع المقبول.
5.	يجب إرسال نتائج تقييم المخاطر إلى لجنة إدارة استمرارية الأعمال
6.	يجب تحديث تحليل أثر انقطاع الأعمال وتقييم المخاطر سنويًا وعند حدوث تغييرات كبيرة (مثل التغيير في هيكل وتنظيم الأشخاص والعمليات والتقنية والموردين والمواقع).
7.	تقييم المخاطر يجب أن يشمل المخاطر المرتبطة بالمؤسسة ككل وكذلك مراكز البيانات (الأساسية والبديلة)، التي لا تملكها المؤسسة المالية (على سبيل المثال، النظر في الإطار الزمني اللازم للانتقال إلى موقع جديد وبناءً على ذلك، يجب أن يتضمن إطارًا زمنيًا كافيًا في الاتفاقية التعاقدية)
8.	ينبغي تقييم قدرة البائعين والموردين ومقدمي الخدمات على دعم والحفاظ على مستويات الخدمة للأنشطة ذات الأولوية أثناء الحوادث المعطّلة على الأقل على أساس سنوي.
9.	يجب على المؤسسات المالية التأكد من أن أوقات التعافي المستهدفة محددة بشكل كافٍ لأنظمة الدفع والخدمات المتعلقة بالعملاء وما إلى ذلك مع مراعاة التوافر العالي لهذه العمليات والحد الأدنى من التعطل في حالة وقوع كارثة.

5.2 خطة استمرارية الأعمال (BCP)

المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ خطة استمرارية الأعمال لأنشطتها الحيوية. يجب مراقبة الامتثال لخطة استمرارية الأعمال وقياس مدى فعاليتها وتقييمها بشكل دوري.
الهدف
التأكد من أن المؤسسة المالية لديها القدرة على تعيين وتحديد بوضوح الإجراءات التي يجب اتخاذها، والموارد اللازمة لتمكين المؤسسة من إدارة الانقطاع المعطل والعودة إلى وضع يمكن فيه استئناف العمليات التجارية العادية
اعتبارات التحكم
1.	يجب تحديد خطة استمرارية الأعمال واعتمادها وتنفيذها والحفاظ عليها في حالة جاهزية للاستخدام أثناء الحوادث المعطلة، لتمكين المؤسسة المالية من مواصلة تنفيذ أنشطتها المهمة والعاجلة بمستوى مقبول ومحدد مسبقًا.
2.	يجب على المؤسسة المالية تحديد إجراءات الاستجابة للحوادث المعطلة واعتمادها وتنفيذها. ويجب أن تشمل الإجراءات مجتمعة ما يلي:
	أ.	الموارد الرئيسية (مثل الأشخاص والمعدات والمرافق والتقنيات)
	ب.	تحديد الأدوار والمسؤوليات والسلطات لأصحاب المصلحة
	ج.	عملية لإدارة العواقب المباشرة لحادث معطل وإجراءات التصعيد
	د.	عملية لمواصلة الأنشطة الحيوية ضمن أهداف التعافي المحددة مسبقًا (وقت التعافي المستهدف ونقطة التعافي المستهدفة والحد الأقصى للانقطاع المقبول)
	هـ.	عملية لاستئناف عمليات المؤسسة المالية إلى العمل كالمعتاد بمجرد حل الحادث
	و.	إرشادات للتواصل مع الموظفين والأطراف الخارجية ذات الصلة وجهات الاتصال في حالات الطوارئ
	ز.	عملية إدراج متطلبات الأمن السيبراني ذات الصلة، إن وجدت، ضمن تخطيط استمرارية الأعمال
3.	يجب رصد الامتثال لخطة استمرارية الأعمال.
4.	يجب قياس مدى فعالية خطط استمرارية الأعمال وتقييمها بشكل دوري.
5.	يتحمل مدير إدارة استمرارية الأعمال ومنسقو إدارة استمرارية الأعمال مسؤولية الحفاظ على خطط استمرارية الأعمال والترتيبات وإبقائها محدثة.
6.	يجب أن يتوفر لدى المؤسسة المالية مساحة (مساحات) عمل بديلة كافية للأعمال حيث يمكنها نقل الموارد المطلوبة لتقديم العمليات الحيوية المطلوبة وفقًا لأهداف الاسترداد المحددة مسبقًا في تحليل أثر انقطاع الأعمال.
7.	يجب أن تحتوي مساحة (مساحات) العمل البديلة على ترسيم واضح لترتيبات الجلوس لوحدات العمل المختلفة.
8.	يجب على المؤسسة المالية تنفيذ ضوابط أمنية منطقية ومادية وبيئية كافية من أجل دعم نفس المستوى من الوصول والأمن في حالة الحاجة إلى تفعيل الموقع البديل.
10.	بالنسبة لجميع الأنشطة الحيوية، على النحو الذي يحدده تحليل أثر انقطاع الأعمال، يجب على المؤسسة المالية التأكد من أن مزودي الخدمة الرئيسيين (إن وجدوا) لديهم خطة استمرارية الأعمال وأن خططهم يتم اختبارها على الأقل على أساس سنوي.

6.2 خطة التعافي من كوارث تقنية المعلومات (DRP)

المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ والمحافظة على خطة التعافي من كوارث تقنية المعلومات بالنسبة لأنشطتها الحيوية والبنية التحتية التقنية ذات الصلة.
الهدف
التأكد من أن المؤسسة المالية لديها خطة التعافي من كوارث تقنية المعلومات وقائمة محدثة بالأنشطة الحيوية في حالة وقوع حادث معطّل
اعتبارات التحكم
1.	يجب تحديد خطة التعافي من كوارث تقنية المعلومات لاستعادة واسترداد خدمات تقنية المعلومات ومكونات البنية التحتية التقنية (البيانات والأنظمة والشبكة والخدمات والتطبيقات) والموافقة عليها وتنفيذها وصيانتها بما يتماشى مع تحليل أثر انقطاع الأعمال.
2.	يجب على المؤسسة المالية إنشاء مركز بيانات بديل في موقع مناسب. ويجب تحديد الموقع بناءً على ما يلي:
	أ.	تقييم المخاطر للتأكد من أن الموقع لا يشترك في نفس مخاطر مركز البيانات الرئيسي (على سبيل المثال، التهديد الجغرافي)
	ب.	بعد الحصول على موافقة البنك المركزي
3.	يجب أن تكون تكوينات البيانات والنظام والشبكة والتطبيقات والقدرات في مركز البيانات البديل متناسبة مع تلك التكوينات والقدرات الموجودة في مركز البيانات الرئيسي.
4.	يجب على المؤسسة المالية تطبيق نفس الضوابط الأمنية المنطقية والمادية والبيئية والسيبرانية لمركز البيانات البديل كما هو الحال بالنسبة لمركز البيانات الرئيسي.
5.	يجب على المؤسسة المالية تحديد وتنفيذ عملية النسخ الاحتياطي والاسترداد.
6.	يجب أن يكون لدى المؤسسة المالية مكان خارج الموقع لتخزين النسخ الاحتياطية.
7.	يجب توقيع عقود رسمية مع أطراف خارجية لضمان استمرارية خدمات التعهيد أو تسليم أجهزة أو برمجيات بديلة ضمن الجداول الزمنية المتفق عليها في حالة وقوع كارثة. تضمين مبادئ توجيهية للتأكد من أن العقود الموقعة مع مقدمي الخدمات الخارجيين تتماشى مع نتائج تحليل أثر انقطاع الأعمال وتقييم المخاطر.
8.	يجب أن يكون مدير تقنية المعلومات مسؤولاً عن الحفاظ على خطط وترتيبات التعافي من الكوارث وإبقائها محدثة مع تحميل مدير إدارة استمرارية الأعمال للمساءلة الشاملة عن التكامل ضمن برنامج إدارة استمرارية الأعمال.
9.	يجب مراقبة الامتثال لخطة التعافي من الكوارث.
10.	يجب قياس مدى فعالية خطة التعافي من كوارث تقنية المعلومات وتقييمها على أساس سنوي كحد أدنى.

7.2 المرونة السيبرانية

المبدأ
يجب أن تضمن المؤسسة المالية تشغيل الخدمات ووظائف الأعمال والعمليات الحيوية على بنية تحتية وبرمجيات موثوقة وقوية.
الهدف
التأكد من توفر كل من الخدمات ووظائف الأعمال والعمليات الحيوية للمؤسسة المالية عند الحاجة ومقاومتها للأعطال.
اعتبارات التحكم
1.	جميع التغييرات المدخلة على البنية التحتية والبرمجيات التي تدعم بشكل مباشر الخدمات ووظائف الأعمال والعمليات الهامة المحددة يجب أن:
	أ.	تخضع لتقييمات متعمقة للمخاطر لضمان تلبية متطلبات العمل المتفق عليها فيما يتعلق بالتوافر والتعافي.
	ب.	تتبع إجراءات صارمة للتطوير والاختبار وإدارة التغيير لتجنب حدوث عطل أو خلل في نقطة واحدة.
2.	يجب تحديد مراجعة معمارية دورية والموافقة عليها لضمان معالجة متطلبات العمل المتعلقة بالتوافر واستمرارية الأعمال وتنفيذها بشكل صحيح.
	ملاحظة. لمزيد من اعتبارات التحكم لتحسين المرونة الشاملة، على سبيل المثال، إدارة التهديدات، وإدارة الثغرات الأمنية، يرجى الرجوع إلى الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.

8.2 خطة إدارة الأزمات

المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ خطة لإدارة الأزمات من شأنها أن تسهل الاستجابة الجيدة للحوادث الكبرى، بما في ذلك التواصل السريع لضمان السلامة العامة لأصحاب المصلحة الداخليين والخارجيين على حد سواء.
الهدف
التأكد من أن المؤسسة المالية لديها خطة فعالة لإدارة الأزمات مطبقة ومحدّثة للمنتجات والخدمات ووظائف الأعمال والعمليات الهامة للمؤسسة المالية، في حالة وقوع حادث معطّل.
اعتبارات التحكم
1.	يجب تحديد خطة لإدارة الأزمات والموافقة عليها وتنفيذها.
2.	يجب مراقبة الامتثال لخطة إدارة الأزمات.
3.	يجب قياس مدى فعالية برنامج استمرارية الأعمال ضمن خطة إدارة الأزمات وتقييمها بشكل دوري.
4.	يجب أن توثق المؤسسة المالية خطة (خطط) إدارة الأزمات التي تحدد كيفية معالجة وإدارة الأزمات الناتجة عن حادث (حوادث) كبيرة ويجب أن تتضمن على الأقل ما يلي:
	أ.	معايير إعلان الأزمة.
	ب.	يجب على المؤسسة المالية إنشاء مركز قيادة للإدارة المركزية ومركز قيادة للطوارئ.
	ج.	أعضاء فريق إدارة الأزمات. مع أخذ في الاعتبار ممثلي المنتجات والخدمات والوظائف والعمليات الحيوية للمؤسسة المالية (بما في ذلك قسم الاتصالات)
	د.	تفاصيل الاتصال بأعضاء فريق إدارة الأزمات (بما في ذلك الأطراف الخارجية)
	هـ.	تحديد الخطوات الواجب اتخاذها أثناء الأزمة أو الكارثة وبعدها (بما في ذلك التفويضات المطلوبة)
	و.	خطة التواصل بما في ذلك خطة الاستجابة الإعلامية، لمعالجة التواصل مع أصحاب المصلحة الداخليين والخارجيين أثناء الأزمات.
	ز.	تواتر اختبارات إدارة الأزمات

9.2 الاختبارات

المبدأ
يجب على المؤسسة المالية تحديد واعتماد وتنفيذ ومراقبة اختبارات منتظمة لخطة استمرارية الأعمال وخطة التعافي من الكوارث لتدريب موظفيها والأطراف الخارجية واختبار فعالية خطط استمرارية الأعمال والتعافي من الكوارث.
الهدف
التأكد من أن خطة استمرارية الأعمال وخطة التعافي من الكوارث الحالية للمؤسسة المالية تعمل على النحو المحدد، وأن الموظفين والأطراف الخارجية مدربون على تنفيذ هذه الخطط.

1.9.2 اختبار خطة استمرارية الأعمال
اعتبارات التحكم
1. يجب على المؤسسة المالية إجراء تمارين اختبار محاكاة لخطة استمرارية الأعمال بشكل دوري ("مرة واحدة على الأقل في السنة")
2. يجب أن تراعي الاختبارات السيناريوهات المناسبة المخططة بشكل جيد ومزودة بأهداف محددة بوضوح (على سبيل المثال، لكل وظيفة، لكل خدمة، لكل عملية، لكل موقع، لكل سيناريوهات أسوأ الحالات). ويجب أن تأخذ المؤسسة المالية في الاعتبار تضمين سيناريوهات الأمن السيبراني.
3. يجب أن تغطي سيناريوهات الاختبار المحددة التنشيط والمشاركة لفريق إدارة الأزمات.
4. بعد الانتهاء من الاختبارات الفردية المذكورة أعلاه، يجب على كل مؤسسة مالية النظر في إجراء اختبار متكامل لإدارة استمرارية الأعمال لجميع الخدمات والعمليات والوظائف الحيوية.

2.9.2 اختبار خطة التعافي من الكوارث
اعتبارات التحكم
1. يجب على المؤسسة المالية إجراء اختبار التعافي من الكوارث بشكل دوري مع خطة استمرارية الأعمال ("مرة واحدة على الأقل في السنة").
2. يجب أن تجري المؤسسة المالية تقييماً لاختبار التعافي من الكوارث المنفذ للبنية التحتية لتقنية المعلومات التي تدعم الأنظمة الحيوية للمؤسسة المالية من أجل ضمان جاهزية التعافي من الكوارث وقدرتها على استئناف عمليات الأعمال الحيوية لفترة من الوقت في حالة وقوع كارثة كبرى.
3. يجب أن توفر نتائج اختبار التعافي من الكوارث تقييمًا واقتراحات للتحسينات اللازم إدخالها لإدارة الأحداث المعطّلة التي من شأنه أن تؤثر على استمرارية أعمال المؤسسة المالية.
4. يجب أن يغطي تفعيل ومشاركة فريق إدارة الأزمات.

3.9.2 الاختبارات المنفذة

1.	يجب توثيق النتائج التفصيلية لجميع التدريبات والاختبارات للرجوع إليها في المستقبل. يجب أن تتضمن نتائج التدريبات/الاختبارات، على سبيل المثال لا الحصر، الاعتبارات التالية:
	أ.	تأكيد تحقيق أهداف الخطة التي تم تنفيذها
	ب.	تأكيد قدرات وجاهزية موارد التعافي
	ج.	توثيق الدروس المستفادة والتحسينات المطلوبة
	د.	في حالة حدوث فشل، يجب تتبع السبب الجذري للفشل وإجراءات المعالجة حتى الوصول إلى نتيجة ناجحة
2.	إعادة اختبار الخطة في غضون الجداول الزمنية المحددة في حالة حدوث فشل، ويجب ألا تتجاوز الجداول الزمنية حد الثلاثة (3) أشهر.
3.	يجب أن يراقب المدقق الداخلي للمؤسسة المالية، أو مدقق خارجي مؤهل، أنشطة اختبار استمرارية الأعمال والتعافي من الكوارث كمشارك مستقل من أجل تقديم تأكيد معقول على الأنشطة المنفذة ونتائج الاختبار ومراقبة ما إذا كانت الاختبارات المنفذة تفي بأهداف برنامج استمرارية الأعمال العام للمؤسسة المالية.
4.	يجب إبلاغ لجنة استمرارية الأعمال والإدارة العليا ومجلس الإدارة بنتائج جميع اختبارات استمرارية الأعمال واختبارات التعافي من الكوارث.

10.2 التوعية والتدريب

المبدأ
يجب أن تقوم المؤسسة المالية بوضع وتنفيذ والمحافظة على برنامج تدريب وتوعية يدعم أهداف إدارة استمرارية الأعمال بفعالية من خلال تطوير الكفاءة المطلوبة بين الموظفين.
الهدف
يجب على المؤسسة المالية ضمان إدماج إدارة استمرارية الأعمال في أنشطتها اليومية، من خلال خطة توعية مستمرة ينبغي توثيقها.
اعتبارات التحكم
1.	يجب أن تكون المؤسسة المالية والأطراف الخارجية ذات الصلة، مثل مقدمي الخدمات والموردين:
	أ.	- على دراية بالأجزاء ذات الصلة من سياسة وخطط استمرارية الأعمال
	ب.	ملزمون تعاقديًا بتقديم خدماتهم أو منتجاتهم في غضون الوقت المتفق عليه، في حالة وقوع حدث معطّل
	ج.	على دراية بنقطة الاتصال الخاصة بهم أو منسق إدارة استمرارية الأعمال المحلي الخاص بهم في المؤسسة المالية
	د.	- على دراية بأدوارهم ومسؤولياتهم أثناء الحوادث المعطّلة
2.	يجب تقديم برنامج تدريبي مرة واحدة سنويًا للموظفين المشاركين في إدارة استمرارية الأعمال لتحقيق المستوى المطلوب من الخبرة والمهارات والكفاءات.
3.	يجب على المؤسسة المالية قياس فعالية برنامج التدريب والتوعية بشكل دوري.

11.2 التواصل
المبدأ
يجب على المؤسسة المالية تحديد وإنشاء والحفاظ على عملية تواصل للاتصالات الدورية مع البنك المركزي بشأن المسائل المتعلقة ببرنامجها الخاص باستمرارية الأعمال.
الهدف
التأكد من الحفاظ على التواصل المستمر مع البنك المركزي من خلال تحديد بروتوكول الاتصال والتواتر والأدوار والمسؤوليات الخاصة بالاتصالات والاتفاق عليها والالتزام بها
اعتبارات التحكم
1. يجب على المؤسسة المالية الإبلاغ عن جميع الحوادث المعطلة المصنفة على أنها "متوسطة" أو "عالية" إلى "قسم الإشراف على مخاطر تقنية المعلومات المصرفية" التابع للبنك المركزي على الفور. يجب إرسال تقرير ما بعد الحادث إلى البنك المركزي بعد استئناف المؤسسة المالية لعملياتها العادية.
2. يجب على المؤسسة المالية التنسيق مع قسم الإشراف بالبنك المركزي عند التواصل مع وسائل الإعلام في حالة وقوع حوادث.
3. يجب على المؤسسات المالية الحصول على موافقة البنك المركزي عند اختيار موقع جديد لمركز البيانات الرئيسي أو البديل الخاص بها، أو عند نقل مركز البيانات الرئيسي أو البديل الحالي.
4. يجب على المؤسسة المالية إبلاغ "قسم الإشراف على مخاطر تقنية المعلومات المصرفية" التابع للبنك المركزي بالبرنامج المعتمد لتنفيذ اختبارات استمرارية الأعمال والتعافي من الكوارث للسنة القادمة بحلول نهاية شهر يناير من كل عام.
5. يجب مشاركة نتائج اختبار استمرارية الأعمال والتعافي من الكوارث مع البنك المركزي في غضون أربعة أسابيع بعد الاختبار ويجب على المؤسسة المالية تحديد التحسينات بناءً على الاختبار الذي تم إجراؤه وتقديم خطة عمل إلى البنك المركزي في غضون شهرين بعد تقديم نتائج الاختبار.

12.2 المراجعة الدورية للوثائق
المبدأ
يجب مراجعة وتحديث برنامج استمرارية الأعمال والتعافي من الكوارث والسياسات والخطط والإجراءات بشكل دوري، وفي حالة حدوث تغيير (كبير) في المنتجات والخدمات و/أو وظائف الأعمال و/أو العمليات الحيوية للمؤسسة المالية.
الهدف
التأكد من أن جميع وثائق استمرارية الأعمال محدّثة ويمكن استخدامها أثناء وقوع حادث معطّل لاستعادة العمليات التجارية.
اعتبارات التحكم
1. يجب على المؤسسات المالية إنشاء عملية لمراجعة/تحديث الوثائق لضمان تحديث وثائق استمرارية الأعمال ومراجعتها والموافقة عليها.
2. يجب أن تحدد جميع الوثائق بوضوح آخر تاريخ تمت فيه مراجعة الوثيقة والموافقة عليها.

13.2 الضمان
المبدأ
يجب أن تخضع آلية استمرارية الأعمال في المؤسسات المالية إلى مراجعات وتدقيقات دورية من قبل طرف داخلي أو خارجي مؤهل ومستقل لضمان فعاليتها، وللحصول على ضمانات فيما يتعلق بالامتثال لإدارة استمرارية الأعمال التابعة للبنك المركزي.
الهدف
التأكد من قيام طرف مستقل بمراجعة أنشطة الدليل التنظيمي لإدارة استمرارية الأعمال وإبلاغ الإدارة العليا بشكل مستقل عن المشكلات التي تم تحديدها.
اعتبارات التحكم
1. يجب على المؤسسة المالية إجراء مراجعة/تدقيق لإدارة استمرارية الأعمال من قبل جهة داخلية/خارجية مستقلة مؤهلة.
2. يجب على المؤسسة المالية تحديد الثغرات وتوفير خارطة طريق لتعزيز إدارة استمرارية الأعمال داخل المؤسسة.
3. يجب إبلاغ الإدارة العليا ولجنة إدارة استمرارية الأعمال بالثغرات التي تم تحديدها إلى جانب خارطة الطريق.

محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية
الرقم: 562240000067 التاريخ (م): 2019/5/13 | التاريخ (هـ): 1440/9/9 الحالة:نافذ
إشارة إلى استراتيجية البنك المركزي* للأمن السيبراني والتي تهدف لرفع جاهزية وأمان القطاع المالي ضد الهجمات السيبرانية، واستمراراً لحرص البنك المركزي على حوكمة الإجراءات من خلال الأدلة التنظيمية الخاصة بالأمن السيبراني. نحيطكم باعتماد البنك المركزي للإطار التنظيمي لمحاكاة سيناريوهات الهجمات السيبرانية (Financial Entities Ethical Red Teaming Framework) والذي تم إعداده بناء على أفضل الممارسات والتجارب الدولية. حيث يهدف الإطار إلى تحسين قدرة المؤسسات المالية على التصدي والاستجابة للهجمات من خلال خلق سيناريوهات واقعية لاختبار مرونة البنية الأساسية للأنظمة وتعزيز المرونة السيبرانية للقطاعات المالية في المملكة، وسيتم مشاركة الإطار التنظيمي من خلال البريد الإلكتروني مع إدارات الالتزام للمؤسسات المالية.
وبناء على ذلك وانطلاقاً من دور البنك المركزي الرقابي والإشرافي على القطاع المالي، نحيطكم أن البنك المركزي سيقوم بإجراء اختبارات دورية لتطبيق الإطار المذكور أعلاه على المؤسسات المالية لاختبار مدى جاهزية أنظمتها. كما يهيب البنك المركزي الجهات المالية على ضرورة عمل اختبارات بشكل مستقل ودوري واختبار جاهزية أنظمتها والعمل على تطويرها وفق متطلبات الدليل التنظيمي لأمن المعلومات (Cyber Security Framework).
وفي حال وجود أي استفسار بهذا الخصوص يمكنكم التواصل مع إدارة الإشراف على مخاطر تقنية معلومات القطاع المالي أو شعبة أمن معلومات القطاع المالي في البنك المركزي.
* حل اسم "البنك المركزي السعودي" محل اسم "مؤسسة النقد العربي السعودي" بموجب نظام البنك المركزي السعودي رقم(م/36) بتاريخ 1442/4/11هـ.

1. إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية السعودية

1.1. مقدمة
من الضروري أن تتحلى المؤسسات المالية في القطاع المالي بالقدرة على الصمود في مواجهة أحدث الهجمات السيبرانية وأكثرها تطوراً.
ويأتي إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية (F.E.E.R.) بمثابة دليل للمؤسسات المالية العاملة داخل المملكة العربية السعودية لمساعدتها على إعداد وتنفيذ محاكاة خاضعة للرقابة للهجمات (أي اختبارات محاكاة الهجمات السيبرانية المستندة إلى استخبارات التهديدات) ضد بيئة الإنتاج (أثناء العمل الاعتيادي للمؤسسة) مع ضمان عدم الكشف عن معلومات حساسة وذلك بمساعدة من مزود أعمال محاكاة الهجمات السيبرانية المعتمدين وذوي الخبرة.
ويضطلع البنك المركزي بدور رائد في تنفيذ الإطار المذكور. ويخضع هذا الإطار والعمليات المرتبطة به باستمرار إلى عمليات تحسين باستخدام التغذية الراجعة والدروس المستفادة من كل تمرين من تمارين محاكاة الهجمات السيبرانية. ويهدف هذا الإطار إلى تبادل البيانات الاستخباراتية والمعلومات التي تم الحصول عليها أثناء هذا الاختبار من أجل زيادة تحسين الصمود السيبراني للقطاع المالي في المملكة العربية السعودية.
ولا تعتبر محاكاة الهجمات السيبرانية تدقيقًا. فهي عبارة عن اختبار محاكاة بهدف تقديم نظرة دقيقة عن مستوى صمود وفعالية ضوابط الأمن السيبراني المعمول بها والعمليات ذات الصلة (وهي أعمال الكشف والاستجابة).
كما أنها لا تعتبر اختبار اختراق. فعلى العكس من اختبارات الاختراق (التي يتم فيها اختبار وتقييم أصل أو أكثر من أصول معلومات محددة)، تركز محاكاة الهجمات السيبرانية على تكرار هجوم موجه وواقعي ضد المؤسسة المالية بأكملها، ولكن يتم تنفيذ الهجوم بطريقة مخطط لها.
ويستخدم مزود أعمال محاكاة الهجمات السيبرانية أحدث تاكتيكات وأساليب وإجراءات تنفيذ الهجمات محاولاً اختراق المؤسسات المالية بهدف الوصول إلى أهم أصول المعلومات وأكثرها قيمة داخل تلك المؤسسات واختبار قدرات الكشف والاستجابة لديها. ويتضمن الفريق الأحمر المعني بمحاكاة الهجمات من قراصنة أخلاقيين معتمدين يتمتعون بخبرات واسعة ولديهم معرفة متعمقة بجميع مجالات الأمان.

2.1. الغرض من إطار العمل
يهدف إطار العمل بشكل أساسي إلى توفير التوجيه بشأن كيفية إجراء أنشطة محاكاة الهجمات السيبرانية وكيفية اختبار قدرات الكشف والاستجابة للمؤسسات المالية ضد الهجمات الحقيقية التي تتميز بتطورها وتقدمها وتعزيز معرفة أصحاب المصلحة المعنيين.
وبالمثل، يهدف إطار العمل إلى دعم تبادل المعلومات حول التهديدات والدروس المستفادة مع المؤسسات المالية بصورة تُسهم في تحقيق الصمود السيبراني للقطاع المالي في المملكة العربية السعودية.
ويضمن إطار العمل تنفيذ تمرين محاكاة الهجمات السيبرانية بطريقة خاضعة للرقابة. وتأتي أهمية ذلك نظراً لطبيعة الأهداف أثناء إجراء الاختبار، وهي أنظمة الإنتاج الهامة للأعمال (أثناء سير العمل) (أي أصول المعلومات الهامة).

3.1. نطاق التطبيق
يسري إطار العمل المذكور على جميع المؤسسات المالية الخاضعة لرقابة البنك المركزي في القطاع المالي. ويتمتع البنك المركزي بسلطة اختيار أي من المؤسسات المالية ويُطلب من المؤسسة التي يقع عليها الاختيار إجراء اختبار محاكاة الهجمات السيبرانية وفقاً لمشهد التهديدات الناشئة أو بناء على أحدث استخبارات التهديدات المتوفرة لدى المؤسسة. إضافة إلى ذلك، يمكن للمؤسسات المالية إجراء اختبارات محاكاة الهجمات السيبرانية بصورة صحيحة من أجل ضمان الصمود الأمني.

4.1. المسؤوليات
اعتمد البنك المركزي إطار العمل المذكور. البنك المركزي السعودي هو الجهة المالكة لهذا الإطار والجهة المسؤولة كذلك عن تحديثه بصفة دورية.

5.1. التفسير
بصفته مالك إطار العمل، يُعتبر البنك المركزي هو وحده المسؤول عن تقديم المشورة بشأن تفسير المبادئ والأهداف والاعتبارات، عند الاقتضاء.

6.1 دورية اختبارات محاكاة الهجمات السيبرانية
يجب أن تخضع كل مؤسسة من المؤسسات المالية الخاضعة لرقابة البنك المركزي في القطاع المالي في المملكة العربية السعودية للاختبارات المذكورة وذلك مرة واحدة على الأقل كل ثلاث (3) سنوات وذلك وفقاً لهذا الإطار.

7.1. الجمهور المستهدف
يستهدف هذا الإطار الإدارة العليا والتنفيذية وأصحاب الأعمال ومالكي الأصول المعلوماتية، والمدراء التنفيذيين لأمن المعلومات (CISOs) والمسؤولين عن (أو المشاركين في) تحديد وتنفيذ ومراجعة ضوابط الأمن السيبراني داخل القطاع المالي والمكلفين بتحسين الصمود السيبراني للمؤسسات المالية.

8.1. المراجعة والتحديثات والحفظ
يسعى البنك المركزي إلى الحفاظ على الإطار ومراجعته بشكل دوري لتحديد فعاليته، بما في ذلك مدى قدرته على مواجهة التهديدات والمخاطر الناشئة في مجال الأمن السيبراني. كما يعمل البنك المركزي، عند الاقتضاء، على تحديث الإطار استناداً إلى نتائج المراجعة والدروس المستفادة من تطبيقه.

9.1. معلومات إضافية
يرجى الاتصال بإدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي للحصول على مزيد من المعلومات أو لطرح الاستفسارات حول إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية السعودية.

2 معلومات أساسية
أصبحت الكثير من الحكومات والوكالات الوطنية والهيئات التنظيمية تنظر إلى حماية بنيتها التحتية الحيوية على المستوى الوطني أو على مستوى القطاع كإحدى الأولويات القصوى، حيث تضعها على أجندتها الوطنية للأمن السيبراني. ولاختبار المرونة السيبرانية للبنية التحتية الحيوية، تتبنى الحكومات والوكالات والهيئات التنظيمية بشكل متزايد أسلوب محاكاة الاختراق. وتستند أساليب محاكاة الهجمات السيبرانية بشكل عام إلى إطار يحدد كيفية إجراء اختبارات محاكاة الهجمات السيبرانية وسُبل تحديد المؤسسات التي يمكن أن تكون جزءاً من البنية التحتية الرئيسية أو الأساسية، ودورية هذه الاختبارات وتكرار تنفيذها داخل المؤسسة.
وتقوم المؤسسة في اختبار محاكاة الهجمات السيبرانية بإجراء 'محاكاة' لهجوم سيبراني حقيقي. ويقوم مزود أعمال محاكاة الهجمات السيبرانية، الذي يتكون من قراصنة أخلاقيين معتمدين وذوي خبرة، بتنفيذ/محاكاة الهجمات السيبرانية بناءً على استخبارات التهديدات المتاحة وسيناريوهات الهجوم، والتي تهدف إلى اختبار المرونة السيبرانية للمؤسسة.
ويتم تصميم الهجمات السيبرانية واختبارها بشكل حذر، بحيث تحاكي ما يقوم به المهاجم الحقيقي باستخدام أسلوبهم في تنفيذ الهجمات، بدءاً من أنشطة الاستطلاع حتى الاختراق الفعلي للأصل (للأصول) المعلوماتية الحرجة. ويتم تنفيذ واختبار محاكاة هذه الخطوات (عملية الهجوم) أثناء اختبار محاكاة الهجمات السيبرانية وهو ما يعطي المؤسسة رؤى حيوية معمقة حول مرونة المؤسسة ضد الهجمات السيبرانية.

1.2. أصحاب المصلحة
يضطلع أصحاب المصلحة في عمليات محاكاة الهجمات السيبرانية بأدوار مختلفة ومسؤوليات مقابلة لتلك الأدوار. وبغض النظر عن دور كل منهم، من المهم أن يعلم المشاركين أن جميع الاختبارات تتم في بيئة خاضعة للرقابة وأن هناك بروتوكول اتصال متفق عليه لتبادل المعلومات بين أصحاب المصلحة. أصحاب المصلحة المعنيين هم:
1. إدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي التابعة للبنك المركزي – هي السلطة التي أُسندت إليها المسؤولية الرئيسية للإشراف على ممارسة محاكاة الهجمات السيبرانية.
2. المؤسسة المالية - كل مؤسسة مالية عاملة ضمن القطاع المالي في المملكة العربية السعودية وتخضع لرقابة البنك المركزي.
3. مركز العمليات الأمنية - المركز الموجود في المؤسسة المالية، والذي سيخضع لاختبار محاكاة الهجمات السيبرانية.
4. مزود أعمال محاكاة الهجمات السيبرانية - طرف خارجي معتمد، يتم اختياره لأداء تمرين محاكاة الهجمات السيبرانية وتوفير استخبارات التهديدات المطلوبة على المستوى الوطني و على مستوى القطاع لتحديد السيناريوهات.
5. اللجان المتاحة التابعة للمؤسسات المالية (مثل: اللجنة المصرفية لأمن المعلومات) - يمكن في هذه اللجنة مشاركة النتائج ذات الصلة لاختبارات محاكاة الاختراق المنفذة والدروس المستفادة واستخبارات التهديدات، بصورة منقحة باستخدام بروتوكول الاتصال المتفق عليه وذلك لدعم زيادة المرونة السيبرانية الشاملة للقطاع (المالي).

2.2 الفرق المطلوبة
لتنفيذ تمرين محاكاة الهجمات السيبرانية، يجب إنشاء الفرق التالية:
الفريق الأخضر
توفر إدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي التابعة للبنك المركزي الفريق الأخضر. ويعين الفريق الأخضر مدير اختبار لكل اختبار من اختبارات محاكاة الهجمات السيبرانية. ويكون مدير الاختبار مسؤولا عن توجيه ودعم الفريق الأبيض من خلال تمرين محاكاة الهجمات السيبرانية. ويوافق الفريق الأخضر على اختيار مزود أعمال محاكاة الهجمات السيبرانية ويوفر - عند الحاجة - معلومات استخباراتية إضافية أو محددة عن التهديدات التي تواجه القطاع المالي.
الفريق الأبيض
يتم تعيين الفريق الأبيض (بما في ذلك قائد الفريق الأبيض) من المؤسسة المالية، ليكون مسؤولاً عن تنفيذ محاكاة الهجمات السيبرانية في ظروف خاضعة للرقابة. ويتألف الفريق الأبيض من مجموعة مختارة من خبراء الأمن والأعمال، بحيث يكونوا دون غيرهم داخل المؤسسة على علم باختبار محاكاة الهجمات السيبرانية، ويكونوا بمثابة نقاط الاتصال الرئيسية؛ مثال على أحد أعضاء الفريق: الرئيس التنفيذي لأمن المعلومات. ويقوم أعضاء الفريق بمراقبة الاختبار ويتدخلون عند الضرورة؛ على سبيل المثال عندما يكون من المحتمل أن يتسبب أو تسبب بالفعل الاختبار أو نتائجه في تداعيات كبيرة أو اختراق فعلي أو انقطاع للخدمة.
ويجب ألا يزيد إجمالي عدد الموظفين المشاركين في الاختبار عن خمسة (5) أشخاص لتجنب انتشار خبر إجراء محاكاة الهجوم السيبراني المزمع تنفيذه، ومن ثم تقل فعالية التمرين أو يصبح معيباً.
الفريق الأزرق
فريق مراقبة الأمن السيبراني التابع للمؤسسة المالية (مثل مركز العمليات الأمنية)، ويتولى مراقبة وتحليل التنبيهات والأحداث الأمنية لتحديد الخروقات أو العيوب الأمنية. وتتضمن مهمة الفريق الأزرق اكتشاف الأنشطة الخبيثة (للفريق الأحمر) واتباع إجراءات الاستجابة للحوادث المتفق عليها لحظة اكتشاف الحادث. ويجب إخفاء الاختبار عن الفريق الأزرق الذي يتوقع منه اتباع إجراءاته التشغيلية القياسية من أجل محاكاة الهجوم الفعلي.
الفريق الأحمر
الفريق الأحمر، هو الطرف الثالث الذي يتم اختياره لتنفيذ سيناريوهات الهجوم؛ ويتكون الفريق الأحمر من متخصصين معتمدين وذوي خبرة. ويعمل الفريق الأحمر مع الفريق الأخضر والفريق الأبيض لوضع التهديدات المحتملة وسيناريوهات الهجوم. ويكون مزود أعمال محاكاة الهجمات السيبرانية مسؤول أيضاً عن توفير أحدث استخبارات التهديدات التي يواجهها القطاع المالي لضمان مستوى تأكيد معين يفيد باختبار المؤسسة المالية وفقاً لأحدث الهجمات السيبرانية المعروفة (المتطورة).
يرجى الرجوع إلى الملحق (أ): متطلبات مزود أعمال محاكاة الهجمات السيبرانية، لمزيد من التفاصيل حول متطلبات مزود أعمال محاكاة الهجمات السيبرانية.

3.2. اختبار الاختراق مقابل محاكاة الهجمات السيبرانية

يوجد فرق كبير بين تمرين محاكاة الهجمات السيبرانية واختبار الاختراق. حيث يركز تمرين محاكاة الهجمات السيبرانية على اختبار المرونة السيبرانية للمؤسسة، أما اختبار الاختراق، فغالبا ما يقتصر نطاق الاختبار على أحد التطبيقات أو النظام، بقصد الاختبار الشامل لأمان هذا التطبيق أو النظام.

ويختلف الهدف العام لتمرين محاكاة الهجمات السيبرانية عن أهداف اختبار الاختراق. حيث يتمثل الهدف من تمرين محاكاة الهجمات السيبرانية في الاختبار (بشكل مستقل) المرونة السيبرانية الشاملة للمؤسسة المالية. ويتم تحقيق ذلك من خلال اختبار ضوابط الأمن السيبراني المنفذة، إلى جانب قدرات الكشف والاستجابة.
أما الهدف الثانوي فيتمثل في مشاركة الدروس المستفادة مع المؤسسات المالية في القطاع المالي، لتعزيز المرونة السيبرانية الشاملة على مستوى القطاع.

اختبار الاختراق	مقابل	محاكاة الهجمات السيبرانية
التعرف على الثغرات الأمنية	الهدف	اختبار المرونة أمام الهجمات الحقيقية
مجموعة فرعية محددة مسبقاً	النطاق	مسارات وصول واقعية
التركيز على الضوابط الوقائية	الضوابط المختبرة	التركيز على الكشف والاستجابة
التركيز على الكفاءة	طريقة الاختبار	التركيز على المحاكاة الواقعية
تحديد الأهداف والتعرف على الثغرات الأمنية واستغلال الثغرات الأمنية	تقنيات الاختبار	التكتيكات والأساليب والإجراءات
محدودة جدا	ما بعد استغلال الثغرات الأمنية	التركيز المكثف على الأصول أو الوظائف الحيوية
أجزاء من دورة حياة التطوير	تكرار	تمرين دوري

الشكل (1) الفرق بين اختبار الاختراق ومحاكاة الهجمات السيبرانية

4.2. منهجية تسلسل الهجوم السيبراني
يقدم تسلسل الهجوم السيبراني¹ نموذجاً تصورياً لوصف الهجوم. ويشير مصطلح "تسلسل" إلى العملية الشاملة التي يتبناها المهاجم.
ويوفر تسلسل الهجوم السيبراني رؤية معمقة حول كيفية تنفيذ الهجوم والأدوات والأساليب المختلفة المستخدمة في كل مرحلة. ولتقليل خطر وقوع الهجوم بنجاح، يجب النظر في اتخاذ تدابير دفاعية (ومنها، التدابير الوقائية والكشفية وتدابير الاستجابة والتدابير التصحيحية) لكل خطوة من خطوات تسلسل الهجوم لتقليل احتمالية الاختراق وتحسين مرونة المؤسسة المالية.

وتوضح المراحل السبع (7) التالية خطوات الهجوم السيبراني المتقدم في تسلسل الهجوم السيبراني:

يشير الشكل (2) إلى سبع مراحل من الهجوم السيبراني، ويوضح المهام الرئيسية للفريق الأحمر والفريق الأزرق

1. الاستطلاع:
المرحلة الأولى هي مرحلة اختيار الهدف وجمع المعلومات عنه لتحديد أساليب الهجوم. وتحدث هذه المرحلة قبل تنفيذ الهجوم. ومن أمثلة المعلومات المفيدة: الأسماء وأرقام الهواتف وعناوين البريد الإلكتروني والوظائف والموضوعات الخاصة أو المهنية التي تهم الموظفين على الإنترنت والمعلومات المنشورة حول البرنامج الذي تستخدمه المؤسسة.
2. التسلح:
يقوم المهاجم بإنشاء الحمولة الخبيثة/الملف الضار لهدف معين بناءً على المعلومات التي حصل عليها أثناء مرحلة الاستطلاع. وقد يأتي الهجوم بأشكال مختلفة بحسب قدرات المهاجم الإبداعية ومجموعة الدفاعات المتاحة ونقاط الضعف المحتملة.
3. التوصيل:
يتم إرسال الهجوم المصمم إلى الضحايا باستخدام وسائل مختلفة، ومنها: البريد الإلكتروني (المرفقات) أو التصيد الإلكتروني أو مواقع الإنترنت أو الأجهزة المادية أو الهندسة الاجتماعية.
4. الاستغلال:
ينتج عن تفعيل أو تنشيط الحمولة الخبيثة/الملف الضار (أي البرامج الضارة) اختراق نظام الهدف وشبكته بنجاح. ويحد هجوم البرمجيات الخبيثة الذي يتم بشكل تدريجي من إمكانية كشفه. وتتواصل البرمجيات الخبيثة مرة أخرى مع المهاجم عبر قناة آمنة، مما يحد من فرصة الاكتشاف. وعادة ما يستخدم المهاجمون الأساليب الشائعة وتنسيقات الملفات لتسليم الملفات التنفيذية للبرمجيات الخبيثة (مثل ملفات ميكروسوفت أوفيس وملفات بي دي إف ومواقع الإنترنت الضارة ورسائل التصيد الإلكتروني والوسائط القابلة للإزالة).
5. التثبيت:
التثبيت الفعلي للحمولة الخبيثة/الملف الضار أو البرنامج الذي يدعم المهاجم. لضمان استمرار البرمجيات الخبيثة والباب الخلفي (الأبواب الخلفية) في عملها، يمكن للمهاجمين تثبيت برمجيات خبيثة إضافية أو أدوات برامج ضارة لضمان استمرار الهجوم إذا تم تعطيل النظام الذي تم اختراقه في البداية أو البرامج الضارة النشطة.
6. القيادة والسيطرة:
عادة ما يتصل النظام المخترق بالمهاجم، لإنشاء ما يسمى بقناة القيادة والتحكم، والتي تسمح بالتحكم عن بعد في البرمجيات الخبيثة. وخصوصا في البرمجيات الخبيثة المستخدمة في التهديد المستمر المتقدم، سيتحكم المهاجم في البرامج الضارة ويستكشف الشبكة باستخدام هذا النوع من الوصول عن بُعد.
7. الإجراءات المتعلقة بالهدف:
بعد إنجاز المهاجم لمهام الاختراق أو تحقيق أهدافه، سيحاول المهاجم إخفاء الأدلة والآثار الرقمية باستخدام أساليب مختلفة، مثل تسرب البيانات، أو يقوم باستخدام النظام المخترق كنقطة انطلاق للانتقال إلى أنظمة أخرى في الشبكة (من خلال التحرك الجانبي)، للبحث عن أصول أو أهداف أخرى عالية القيمة.

¹ قام علماء الحاسب الآلي في شركة لوكهيد مارتن بتطوير ووصف إطار عمل "سلسلة منع التسلل" للدفاع عن شبكات الكمبيوتر في عام 2011.

5.2 استخبارات التهديدات
سيقوم مزود (مزودو) أعمال محاكاة الهجمات السيبرانية بتوفير بيئة استخبارات التهديدات التي تناسب القطاع المالي السعودي أو إحدى المؤسسات المالية. ويمكن إثراء هذه البيئة بالاستفادة من المدخلات المقدمة من البنك المركزي (ومنها إدارة الإشراف على مخاطر تقنية المعلومات بالقطاع المالي، أو الفريق الأخضر)، والفريق الأبيض، والهيئات الحكومية المختلفة. ويجب على مزودي محاكاة الهجمات السيبرانية تقديم آخر ما لديهم من استخبارات التهديدات التي يواجهها القطاع المالي لضمان مستوى تأكيد معين يفيد باختبار المؤسسة المالية وفقاً لأحدث الهجمات السيبرانية المعروفة (المتطورة).

6.2 نظرة عامة على المراحل
يتكون إطار عمل محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية السعودية من أربع مراحل. وتقدم الفصول ذات الصلة من هذا الإطار وصفاً مفصلاً لكل مرحلة.

لمزيد من التفاصيل والتعاريف المتعلقة بهذا الإطار يرجى الرجوع إلى الملحق (ج) قائمة المصطلحات.

3 مرحلة التحضير

1.3. نظرة عامة
يبدأ الفريق الأخضر مرحلة التحضير لتمرين محاكاة الهجمات السيبرانية من خلال تعيين مدير اختبار. ويجب كذلك ترشيح مدير اختبار احتياطي نظرا لأهمية هذا الدور.
ويتولى مدير الاختبار مسؤولية الاتصال بالمؤسسة المالية لشرح مفهوم وعمليات محاكاة الهجمات السيبرانية. ويقوم مدير الاختبار بدعوة المؤسسة المالية لتعيين فريقهم الأبيض بشكل رسمي والبدء في التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية.
ويعلن قائد الفريق الأبيض بدء جلسة انطلاق العمل، ويدعو جميع أصحاب المصلحة المعنيين (أي الفرق الخضراء والبيضاء والحمراء) إلى التوافق على أغراض وأهداف تمرين محاكاة الهجمات السيبرانية.

2.3. الفريق الأخضر: اختيار مدير الاختبار
يعد مدير الاختبار من الأشخاص الأساسيين في تمرين محاكاة الهجمات السيبرانية. لذلك، يجب أن يتمتع هذا الشخص بخبرة كبيرة في إدارة المشاريع ودراية واسعة بقطاع الخدمات المصرفية والأمن السيبراني.
ويجب على مدير الاختبار بالفريق الأخضر دعوة المؤسسة المالية لتعيين أعضاء الفريق الأبيض. وطوال مدة تمرين محاكاة الهجمات السيبرانية، يظل الفريق الأبيض على اتصال وثيق بمدير الاختبار.
ويقوم مدير الاختبار بالإشراف على تمرين محاكاة الهجمات السيبرانية ويقدم الدعم والتوجيه والأفكار لضمان توافق تمرين محاكاة الهجمات السيبرانية بأكمله الذي يقوم به الفريق الأبيض ومزود أعمال محاكاة الهجمات السيبرانية مع إطار العمل. ولا يعد مدير الاختبار عضواً رسمياً في الفريق الأبيض، لذلك لا يمكن محاسبته على أي إجراءات أو نتائج.

3.3 اختيار مزود أعمال محاكاة الهجمات السيبرانية
يقوم الفريق الأخضر بتعيين مزود أعمال محاكاة الهجمات السيبرانية (الفريق الأحمر)، الذي تم اختياره مسبقاً لتنفيذ محاكاة الهجمات السيبرانية، بناءً على خبرات ومهارات موظفيه. ونظراً لتنفيذ اختبارات القرصنة الأخلاقية على أنظمة الإنتاج في بيئة العمل الفعلية، فمن الأهمية أن يكون لدى مزود أعمال محاكاة الهجمات السيبرانية خبرات سابقة موثقة والمهارات والخبرات والشهادات اللازمة والموظفين ذوي الخبرة المطلوبة لإجراء اختبار محاكاة الهجمات السيبرانية.
لمزيد من التفاصيل حول متطلبات مزود أعمال محاكاة الهجمات السيبرانية، يرجى الرجوع إلى الملحق (أ) - متطلبات مزود أعمال محاكاة الهجمات السيبرانية

4.3 اختيار الفريق الأبيض
يجب على المؤسسة المالية تشكيل الفريق الأبيض بعناية وترشيح قائد الفريق الأبيض من أجل تسهيل تمارين محاكاة الهجمات السيبرانية والإشراف عليها وقيادتها خلال جميع المراحل. ويتمثل دور قائد الفريق الأبيض في التأكد من إجراء تمرين محاكاة الهجمات السيبرانية بالكامل بطريقة خاضعة للرقابة، نيابة عن المؤسسة المالية. وبمجرد تشكيل الفريق الأبيض، يجب على قائد الفريق الأبيض التنسيق مع مزود أعمال محاكاة الهجمات السيبرانية المعين لوضع اللمسات الأخيرة على العقد ودعوتهم إلى الاجتماع الافتتاحي.

5.3 التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية
بمجرد موافقة الفريق الأخضر على مزود أعمال محاكاة الهجمات السيبرانية، يجب على المؤسسة المالية البدء في إجراءات التعاقد مع المزود المذكور. وأثناء عملية التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية، يجب على المؤسسة المالية القيام بالأنشطة التالية:
- الاتفاق على الاعتبارات التعاقدية، مثل بنود اتفاقية عدم الإفصاح، والمسؤولية عن أي عواقب تنتج عن الاختبار، وخطاب التفويض؛
- تقديم أعضاء الفريق الأحمر إلى الفريق الأبيض والأخضر.
لمزيد من التفاصيل حول متطلبات مزود أعمال محاكاة الهجمات السيبرانية، يرجى الرجوع إلى الملحق (أ) - متطلبات مزود أعمال محاكاة الهجمات السيبرانية
عقب التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية، يبدأ الفريق الأبيض في إشراك مزود أعمال محاكاة الهجمات السيبرانية وموظفيه المحددين لضمان الاستفادة الكاملة من خبراتهم وآرائهم، وتعريف موظفي مزود أعمال محاكاة الهجمات السيبرانية بنموذج أعمال وخدمات المؤسسة المالية.

6.3 تحديد النطاق
خلال جلسة انطلاق العمل وبحضور جميع أصحاب المصلحة المعنيين (الفريق الأخضر والأبيض والأحمر)، يجب تحديد نطاق التمرين والأصول المعلوماتية الهامة المستهدفة (أي "الأهداف الهامة") لسيناريوهات الهجوم. علاوة على ذلك، تتم مناقشة تخطيط المشروع بالتفصيل مع مسؤوليات كل فريق. كما تناقش الجلسة النتائج المتوقعة والاعتبارات التعاقدية. ويجب على الفريق الأبيض تحديد الأهداف الهامة التي سيتم استهدافها أو مهاجمتها.
ويقوم مزود أعمال محاكاة الهجمات السيبرانية بمشاركة نصائحه وتوصياته إلى الفريق الأبيض والأخضر بناءً على خبرته (السابقة) لإثراء النقاش حول نطاق الهجوم.
ويجب على الفريق الأبيض والفريق الأخضر مناقشة ووضع المعايير والقيود وبروتوكول التصعيد بشكل تعاوني لاختبار محاكاة الهجمات السيبرانية لضمان التفاهم المتبادل أثناء التنفيذ. ومن النقاط الهامة الأخرى هي الاتفاق على المسؤولية عن إجراءات مزود أعمال محاكاة الهجمات السيبرانية (انظر أيضا 5.3).
ويجب على الفريق الأبيض إنشاء مستند تحديد النطاق. ويحتوي هذا المستند على تفاصيل الاتصال بأعضاء الفريق الأبيض والأهداف التي تم رصدها (وهي الأهداف المحددة أو الأنظمة المستهدفة) أثناء تمرين محاكاة الهجمات السيبرانية. ويتضمن المستند كذلك الخطة العامة للتمرين وإجراءات التصعيد المحددة مسبقاً وبروتوكولات الاتصال (بما في ذلك اسم الكود للاختبار).
وبمجرد تحديد النطاق من قبل الفريق الأبيض، يجب تقديم مستند نطاق العمل إلى الفريق الأخضر لاعتماده.

4 مرحلة السيناريو

1.4 نظرة عامة
يجب على الفريق الأخضر والأبيض في بداية هذه المرحلة تقديم استخبارات التهديدات المتاحة بشكل مستقل إلى الفريق الأحمر. ويقوم مزود أعمال محاكاة الهجمات السيبرانية بدمج استخبارات التهديدات المستلمة مع استخبارات التهديدات الخاصة به (والتي يجب أن تستند إلى مصادره الخاصة وخبراته السابقة والاختبارات التي تم تنفيذها قبل ذلك). وبناء على استخبارات التهديدات المجمعة، يحدد الفريق الأحمر سيناريوهات واستراتيجيات الهجوم. وتتم مناقشة سيناريوهات واستراتيجيات الهجوم مع الفريق الأخضر قبل تحديد تكتيكات وأساليب وإجراءات الهجوم التفصيلية. وإذا لزم الأمر، يجب على الفريق الأبيض بدء مناقشات مع كل من الفريقين الأحمر والأخضر لمواصلة المناقشة والاتفاق بشأن سيناريوهات الهجوم النهائية، في ضوء الملاحظات الواردة من الفريق الأخضر.
وتستغرق مرحلة السيناريو عادة عدة أسابيع (بحد أقصى خمسة (5) أسابيع). وفيما يلي لمحة عامة عن العملية:

2.4 جمع استخبارات التهديدات
يقدم كل فريق استخبارات التهديدات المجمعة بشكل مستقل. ويقدم الفريق الأخضر (عند توفره) ما لديه من استخبارات التهديدات على مستوى القطاع والتي تكون معروفة ومتاحة من خلال المؤسسات المالية أو الحوادث الأخرى. وقد يشمل ذلك استخبارات التهديدات الواردة من الجهات الحكومية، والتي قد تكون ذات صلة بالمؤسسة المالية. ويجب على الفريق الأبيض تقديم رؤية المؤسسة المالية، بما في ذلك استخبارات التهديدات الدقيقة المتعلقة بعملها ومرتبطة بالاتجاهات أو الحوادث السابقة، سواء كانت داخلية أو خارجية، وفقاً لما تحدده المؤسسة.
ويقوم مزود أعمال محاكاة الهجمات السيبرانية بدمج معلومات التهديد المستلمة مع معلومات التهديدات الخارجية الخاصة به (بما في ذلك استخدام مصادره 'المفتوحة')، علاوة على المعلومات الاستخباراتية التي تم جمعها خلال مختلف أعمال الفريق الأحمر.

3.4 تحديد واعتماد سيناريوهات الهجوم عالي المستوى
وفقاً لجميع استخبارات التهديدات التي تم جمعها، يجب على الفريق الأحمر تحليل سيناريوهات الهجوم الواقعية وتحديدها وصياغتها، ومن ثم القيام بإعداد وثيقة استراتيجية شاملة للاختبار. وبمجرد تحديد السيناريوهات، يجب الاتفاق على سيناريوهات الهجوم واستراتيجية الاختبار قبل بدء مزود أعمال محاكاة الهجمات السيبرانية بإنشاء سيناريوهات هجوم محددة.

4.4 إعداد واعتماد سيناريوهات الهجوم التفصيلية
تحدد سيناريوهات الهجوم التفصيلية واحداً أو أكثر من الأصول المعلوماتية الحيوية التي تجمع بين المعلومات الخارجية والداخلية (أي الخاصة بالمؤسسة المالية) واستخبارات التهديدات على مستوى القطاع. ويجب أن يتضمن كل سيناريو للهجوم وصفاً كتابياً لتسلسل الهجوم من وجهة نظر المهاجم. ويتعين على مزود أعمال محاكاة الهجمات السيبرانية استعراض خيارات الهجوم المختلفة، بناءً على التكتيكات والأساليب والإجراءات المختلفة التي يستخدمها مسؤولو الاختبار والمهاجمون ذوو الخبرة. وكما هو الحال في سيناريوهات الهجوم عالي المستوى واستراتيجية الاختبار، يجب الاتفاق على السيناريوهات التفصيلية مع الفريق الأخضر.

5.4 الانتهاء من خطة محاكاة الهجمات السيبرانية
يجب ألا تتكون خطة الهجمات السيبرانية النهائية من سيناريوهات الهجوم المختلفة التي سيؤديها مزود أعمال محاكاة الهجمات السيبرانية فحسب، بل يجب أن تحدد أيضا إجراءات التصعيد وبروتوكولات الاتصال المتفق عليها. ونظراً لوجود أنظمة الإنتاج الحرجة ضمن نطاق اختبار الهجمات السيبرانية، فمن الضروري أن يكون مزود أعمال محاكاة الهجمات السيبرانية على دراية بهذا الأمر وأن يفكر في كيفية الاستجابة في حالة حدوث أي مشكلات أو تعطل غير متوقع. وعقب الانتهاء من خطة محاكاة الهجمات السيبرانية، يلزم الحصول على الموافقة النهائية من قبل الفريق الأبيض والأخضر قبل أن يتمكن مزود أعمال محاكاة الهجمات السيبرانية من المضي قدما في تنفيذ سيناريوهات الهجوم.

5 مرحلة التنفيذ

1.5 نظرة عامة
تبدأ المرحلة بقيام مزود أعمال محاكاة الهجمات السيبرانية بتنفيذ سيناريوهات الهجوم. ويجب إطلاع الفريق الأبيض والأخضر على آخر المستجدات أثناء تنفيذ العملية. ويجب تسجيل كافة الإجراءات للاحتفاظ بها لأغراض الإثبات وتسهيل الإعادة عند الحاجة، بالتعاون مع الفريق الأزرق.
وفيما يلي لمحة عامة عن العملية:

2.5 تنفيذ خطة محاكاة الهجمات السيبرانية
يجب أن يبدأ مزود أعمال محاكاة الهجمات السيبرانية في تنفيذ تمرين محاكاة الهجمات السيبرانية باتباع السيناريوهات المتفق عليها وضد الأصول أو الوظائف الحرجة (المعلومات) التي تم اختيارها مسبقاً. ويُذكر أن السيناريوهات المتفق عليها ليست ملزمة بشكل صارم، فهي مجرد مخطط عام، وقد لا تتوافق بشكل كامل مع البيئة التشغيلية الفعلية التي تتم مواجهتها أثناء مرحلة التنفيذ. ومع ذلك، يجب على مزود أعمال محاكاة الهجمات السيبرانية إبلاغ قائد الفريق الأبيض والفريق الأخضر بالتعديلات المقترحة في السيناريوهات. ويجب السماح بالانحراف عن السيناريوهات الأولية ويكون ذلك مرغوباً فيه في حالة مواجهة العقبات.
ويجب على مزود أعمال محاكاة الهجمات السيبرانية تطبيق خبراتهم وإبداعهم لتطوير طرق أو حلول بديلة من أجل الوصول إلى الأصول أو الوظائف الحرجة (المعلومات) المحددة. ومن الأهمية أن يظل مزود أعمال محاكاة الهجمات السيبرانية على اتصال وثيق مع كل من الفريقين الأخضر والأبيض ويطلعهم باستمرار على التقدم المحرز أثناء اختبار محاكاة الهجمات السيبرانية – وذلك وفقاً لعدد مرات التحديث التي تم الاتفاق عليه أثناء جلسة انطلاق العمل، أو يتم إخطارهم على الفور في حالة التصعيد أو الأحداث أو الحوادث الخطيرة.

3.5 تنفيذ السيناريوهات المحددة والمتفق عليها
وفي حالة اكتشاف الفريق الأزرق لأي أحداث يكون الفريق الأحمر قد تسبب فيها أثناء عمله، يجب على مزود أعمال محاكاة الهجمات السيبرانية، بالتعاون مع قائد الفريق الأبيض، تقييم إمكانية المضي قدماً في اختبار محاكاة الهجمات السيبرانية وفقا للخطة الأصلية أو تعديل استراتيجية الهجوم الأولية.
ويجب على قائد الفريق الأبيض مراعاة الخيارات التالية عند اكتشاف إجراءات مزود أعمال محاكاة الهجمات السيبرانية:
1. وقف أو تأجيل الاختبار في حالة وجود خطر كبير يهدد بتعطل العمل؛
2. الإشراف على الفريق الأزرق وتوجيهه بحرص شديد أثناء أنشطة الاستجابة، خاصة إذا طرحت إمكانية اتخاذ تدابير متطرفة (والتي من بينها إبلاغ سلطات إنفاذ القانون بالحادث أو إغلاق الخدمات الحيوية للتخفيف من أي تأثيرات إضافية ..إلخ)؛
3. إبلاغ مزود أعمال محاكاة الهجمات السيبرانية بالاستمرار في سيناريوهات الهجوم الأولية؛
4. إبلاغ مزود أعمال محاكاة الهجمات السيبرانية بضرورة مراجعة الهجوم (الذي تم اكتشافه) أو البحث عن حل بديل للأصل المعلوماتي الحرج ومتابعة سيناريو الهجوم المعدل بعد موافقة قائد الفريق الأبيض؛
5. إبلاغ الفريق الأخضر بشأن الكشف عن الأحداث واتخاذ قرار بشأن التمرين.
6. الطلب من مزود أعمال محاكاة الهجمات السيبرانية وضع سيناريو هجوم بديل مصمم خصيصاً للأصول المعلوماتية الحرجة المعدلة (مثل أي تغييرات في النطاق).

4.5 الإبلاغ

بعد الانتهاء من اختبار محاكاة الهجمات السيبرانية، أو وقف الاختبار بناءً على طلب قائد الفريق الأبيض، يجب على مزود أعمال محاكاة الهجمات السيبرانية إعداد ملاحظاتهم ونتائجهم الأولية، ويفضل أن يتم ذلك وفقاً للترتيب الزمني. ويجب مناقشة هذه الملاحظات والنتائج مع الفريق الأخضر والأبيض. وتوفر هذه الملاحظات والنتائج الأساس لتقييم قدرات الكشف والاستجابة لدى الفريق الأزرق. وبعد إجراء التقييم الأولي، يجب على الفريق الأبيض مشاركة ملاحظاته، بحسب الأدوار المنوطة به ورؤيته.

ملاحظة: بعد الانتهاء من اختبار محاكاة الهجمات السيبرانية، يتعين على مزود أعمال محاكاة الهجمات السيبرانية إبلاغ قائد الفريق الأبيض على الفور بالنصوص الكتابية أو التعليمات البرمجية أو البرمجيات الخبيثة التي ثبتها الفريق الأحمر، إلخ.، بما في ذلك تقديم لمحة عامة عن معرفات المستخدم التي تم إنشاؤها أو اختراقها أو (إعادة) استخدامها أثناء الاختبار. ويتعين على قائد الفريق الأبيض أن يثبت للفريق الأخضر أن "مؤشرات الاختراق' قد أزيلت بالفعل أو تمت إعادة الضبط مرة أخرى.

يجب أن يذكر الفريق الأبيض كافة المعلومات التي تم اكتشافها أو ملاحظتها من قبل الفريق الأزرق. ويجب على مزود أعمال محاكاة الهجمات السيبرانية استخدام هذه المعلومات لتقييم قدرات الكشف والاستجابة للفريق الأزرق بشكل عام في مسودة التقرير. ويجب أن يشير مزود أعمال محاكاة الهجمات السيبرانية إلى جميع الملاحظات والنتائج والتوصيات والتقييمات ذات الصلة، والتي تمت ملاحظتها أو تجربتها أثناء مرحلة الإعداد ومرحلة وضع السيناريو والتنفيذ، بما في ذلك الملاحظات والنتائج والتوصيات والتقييمات الواردة من الفريقين الأبيض والأخضر. وبالنسبة للتوصية المقدمة، فيجب أن تأخذ في الاعتبار الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي والممارسات الجيدة الأخرى المعمول بها في هذا المجال.

ومن الضروري أن يتضمن التقرير النهائي تسلسلات الهجوم السيبراني التي تم استغلالها، وتلخيصها في شكل مخططات لمتجهات الهجوم. ويجب أن توفر مخططات متجهات الهجوم رؤى معمقة حول كيفية تنفيذ سيناريوهات الهجوم والأجزاء التي تحتاج إلى مزيد من التركيز عند تنفيذ إجراءات التخفيف. ويجب أن تتوافق كافة الفرق المعنية على التقرير النهائي ويلتزم المزود بتقديم نسخة من التقرير إلى البنك المركزي.

يرجى الاطلاع على الملحق (ب) متطلبات الإبلاغ، لمزيد من التفاصيل حول المتطلبات الواجب اتباعها من قبل مزود أعمال محاكاة الهجمات السيبرانية.

6 مرحلة الدروس المستفادة

1.6 نظرة عامة
يجب على مزود أعمال محاكاة الهجمات السيبرانية في هذه المرحلة تقديم تقرير الفريق الأحمر النهائي، بحيث يشتمل على التقييم العام لمرونة المؤسسة المالية ضد الهجمات السيبرانية المستهدفة.
ويتعين على الفريق الأزرق تقديم تقرير الفريق الأزرق مع ملاحظاتهم ونتائجهم وتوصياتهم مع التركيز على التنبيهات والإجراءات المتخذة كجزء من قدرات المؤسسة المالية في مجال الكشف والاستجابة.
وبمجرد توزيع تقارير الفريق الأحمر والأزرق النهائية على جميع الفرق. يجب على الفريق الأبيض دعوة الفرق الحمراء والزرقاء والخضراء للمشاركة في جلسة تقييم الأداء الشاملة، يشاركون فيها ملاحظاتهم وخبراتهم لأغراض التعلم (للموظفين والإدارة المعنيين)، ولفهم القدرات التي يجب تحسينها (مثل الوقاية والكشف والاستجابة) و(تعزيز) التمرينات المستقبلية.
وبعد إتمام جلسة تقييم الأداء، يتم تنظيم تمرين إعادة، بقيادة الفريق الأزرق والأحمر. ويتمثل الهدف من تمرين الإعادة المشترك في إعادة خطوات تمرين الفريق الأحمر، ومناقشة جميع الإجراءات والملاحظات ذات الصلة، والتي تم إبرازها من كلا الزاويتين، أي الفريق الأزرق والفريق الأحمر.
وتتم الخطوة التالية بإجراء تقييم شامل لإجراءات تمرين محاكاة الهجمات السيبرانية نفسه. وقد تساهم نتيجة التقييم في استنباط المعلومات الحيوية لتعزيز إطار عمل محاكاة الهجمات السيبرانية الأخلاقية للمؤسسات المالية للعمليات المستقبلية.
أما الفريق الأبيض، فيجب عليه وضع خطة علاجية بناءً على الملاحظات والتوصيات التفصيلية.
ولضمان استفادة جميع المؤسسات المالية في القطاع المالي من تمارين محاكاة الهجمات السيبرانية المشار إليها، يجب إعداد تقرير موجز مجهول الهوية عن اختبار محاكاة الهجمات السيبرانية الذي تم تنفيذه، وعرضه إذا لزم الأمر. وينبغي أن يقتصر توزيع هذا التقرير على المجتمع المغلق المحدد (أي العناوين المحددة) والالتزام ببروتوكول الاتصال المعمول به.
وتبلغ مدة هذه المرحلة حوالي أربعة (4) أسابيع.
ويجب على البنك المركزي وفقاً للتقييمات مراجعة ومناقشة وبدء التعديلات لتحسين الإطار الحالي، إذا لزم الأمر.
ويمكن الاطلاع أدناه على إجراءات استخلاص الدروس المستفادة:

2.6 استخلاص المعلومات
ويقوم مزود أعمال محاكاة الهجمات السيبرانية بوضع اللمسات الأخيرة على تقرير الفريق الأحمر ويعرض مخرجات التقرير للفريقين الأبيض والأزرق. وفي الوقت نفسه، يجب على الفريق الأزرق إعداد تقرير الفريق الأزرق. ويجب أن يستعرض تقرير الفريق الأزرق الملاحظات من منظور الفريق الأزرق وأن يتضمن التنبيه والأحداث التي تم رصدها أثناء التمرين، وكذلك الإجراءات التي تم البدء فيها ونتائج هذه الإجراءات. كما تقدم تقارير الفريق الأزرق أيضا توصيات الفريق الأزرق للتحسينات.
ويجب على جميع الفرق (أي الأخضر والأبيض والأحمر) التي شاركت بشكل مباشر في اختبار محاكاة الهجمات السيبرانية تقديم التقييمات الشاملة على اختبار محاكاة الهجمات السيبرانية الذي تم تنفيذه. أما بالنسبة للفريق الأبيض، فيتعين عليه بدء وجدولة جلسة إعادة مشتركة مع جميع الفرق.

3.6 تمرين الإعادة مع الفريقين الأحمر والأزرق

بعد تسليم تقارير الفريق الأحمر والأزرق، يجب على الفريق الأبيض تنظيم تمرين الإعادة. ويقوم الفريقان الأزرق والأحمر بشكل مشترك خلال تمرين الإعادة باستعادة خطوات تمرين محاكاة الهجمات السيبرانية حسب تسلسله الزمني وكذلك التنبيهات والأحداث وخطوات الهجوم ذات الصلة.
ويهدف تمرين الإعادة إلى شرح ومناقشة كل خطوة وإجراء على حدة لتقييم ما إذا كان التنبيه أو الحدث الذي تم رصده يؤدي إلى الإجراءات المتوقعة. من المهم تحديد ما إذا كانت الإجراءات التي تم اتخاذها أدت إلى النتائج المتوقعة وما إذا كانت الإجراءات قد نُفذت بشكل صحيح أو تستلزم مزيداً من التحسين.
ويجب أن يوفر إعادة تمرين محاكاة الهجمات السيبرانية فهماً عميقاً أكثر شمولاً لأنماط الهجوم المستخدمة، والنضج الحالي الذي وصلت إليه قدرات الكشف والاستجابة، وفعالية الدفاعات أو الضوابط متعددة الطبقات داخل المؤسسة المالية التي خضعت للاختبار.
إضافة إلى ذلك، يمكن للفريق الأبيض تكرار تمرين الإعادة لجماهير مستهدفة محددة داخل المؤسسة المالية. وعليه، يُنصح بشدة بإعادة إجراء تمرين الإعادة لـ:
أ.	الموظفون ذوو الصلة في قسم تقنية المعلومات – ويكون نطاق الجلسة متعمق وتقني للغاية من أجل تقديم الأفكار ذات الصلة في الجوانب التقنية والإجرائية.
	ملاحظة. في الحالات التي يكون فيها مستوى التفاصيل غير كاف أو لا يمكن عرض خطوات الهجوم، فقد يميل أعضاء قسم تقنية المعلومات إلى التقليل من شأن الهجمات أو الادعاء بأن التمرين نظري بحت.
ب.	الإدارة العليا-يجب عقد جلسة إعادة عالية المستوى مع الإدارة العليا بهدف زيادة الوعي وتثقيف الإدارة العليا. ويجب أن تتضمن جلسة الإعادة إعطاء نظرة عامة عن تمرين محاكاة الهجمات السيبرانية وأهدافه، وملخصاً للهجمات والاستجابة التي تمت، وتقييماً لقدرات الكشف الحالية، وتوصيات لزيادة تعزيز الصمود السيبراني.

4.6 وضع خطة التصحيح

يجب على الفريق الأبيض وضع خطة تصحيح بناءً على التوصيات المقدمة من الفريق الأحمر والفريق الأزرق. يجب على الفريق الأبيض:
	وضع الملاحظات والتوصيات؛
	تحديد التحسينات المتعلقة بقدرات الكشف والاستجابة؛
	تحديد المخاطر والأولويات المرتبطة بها.
يشارك الفريق الأبيض خطة التصحيح المتفق عليها والمعتمدة داخلياً مع الفريق الأخضر ويرصد بشكل دوري التقدم المحرز في عملية التصحيح لضمان مراقبة الثغرات المحددة والتخفيف من أثرها.
ملاحظة: يجب على الفريق الأخضر عدم مشاركة أو توزيع تقارير الفريقين الأحمر والأزرق أو تقارير التقييم أو خطة التصحيح ما لم تقدم المؤسسة المالية له إذناً كتابياً بذلك.
وكما ذكرنا آنفاً، فإن الهدف الأساسي لهذا الإطار هو التدريب والتعلم والمشاركة.

5.6 تصحيح الثغرات الأمنية المحددة
عقب الانتهاء من تمرين محاكاة الهجمات السيبرانية، يجب على المؤسسة المالية، (أي من خلال الفريق الأبيض) البدء في تنفيذ أنشطة التصحيح المتفق عليها ومعالجة الثغرات الأمنية المحددة.
ويجب على للمؤسسة المالية أن ترصد التقدم المحرز في الإصلاح الفعلي لضمان تفعيل القدرات المحسنة واستغلالها في الوقت المناسب. ويتعين كذلك على المؤسسة المالية ضمان إطلاع لجنة الأمن السيبراني (وإذا لزم الأمر الإدارة العليا) بشكل دوري بشأن التقدم المحرز في إجراءات التصحيح المخطط لها، وأن تطلب الدعم اللازم إذا ارتأت عدم سير أنشطة التصحيح كما هو متوقع.

6.6 مشاركة الدروس المستفادة

يتمثل أحد الأنشطة المهمة في مرحلة الدروس المستفادة في تقديم تقرير موجز مجهول الهوية عن اختبار محاكاة الهجمات السيبرانية الذي تم تنفيذه، والذي يمكن مشاركته مع لجان المؤسسات المالية مثل نظام معلومات استمرارية الأعمال.

كما تسهم مشاركة التقرير الموجز والدروس المستفادة في مساعدة المؤسسات المالية الأخرى على بناء المعرفة والخبرة التي تحتاجها لتحسين صمودها السيبراني.

ملاحظة. وينبغي أن تقتصر مشاركة التقرير والدروس المستفادة على ما يتفق عليه مع المجتمع المغلق (أي العناوين المحددة) وضمن حدود بروتوكول الاتصال المتفق عليه.

ومن خلال تنفيذ الدروس المستفادة داخل المؤسسات المالية ذاتها على مستوى القطاع، سوف يتحسن الصمود السيبراني للقطاع المالي في المملكة العربية السعودية بشكل عام، بغض النظر عما إذا كانت هذه المؤسسات المالية أساسية في القطاع أم لا.

7.6 تعزيز إطار عمل محاكاة الهجمات السيبرانية
يقوم البنك المركزي وفقاً للتقييمات بمراجعة ومناقشة وبدء التعديلات لتحسين الإطار الحالي لتمارين محاكاة الهجمات السيبرانية في المستقبل.

الملحق (أ)-متطلبات مزود أعمال محاكاة الهجمات السيبرانية

يجب مراعاة المتطلبات التالية عند اختيار والتعاقد مع مزود أعمال محاكاة الهجمات السيبرانية.

خبرات سابقة في مجال محاكاة الهجمات السيبرانية
1.	يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات سمعته الراسخة وتاريخه في مجال وأخلاقيات العمل/المهنة (على سبيل المثال، أن يكون لديه تاريخ عمل جيد، وحصوله على تقييم أداء جيد من كل من العملاء ومقدمي الخدمات، وسجل مالي موثوق به وتاريخ أداء مميز)؛
2.	عدد أوراق الاعتماد والمراجع (من مؤسسات كبرى) لاختبارات محاكاة الهجمات السيبرانية المنفذة بنجاح؛
3.	أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على الاستشهاد بملاحظات مستقلة حول جودة العمل المنجز وسلوك الموظفين المعنيين (الاعتماد الداخلي)؛
4.	أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على تقديم تقارير (مع إخفاء الأسماء حفاظاً على الخصوصية) عن الاختبارات السابقة، ويفضل أن يكون ذلك في نفس مجال العمل أو مجال مشابه والاختبارات المماثلة؛
5.	يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات نقاط الضعف أو الثغرات الموجودة في بيئات أخرى مماثلة؛
6.	يجب على مزود أعمال محاكاة الهجمات السيبرانية إثبات شهادات وخبرات الموظفين المشاركين في اختبار (اختبارات) محاكاة الهجمات السيبرانية -انظر الجدول أدناه لمزيد من التفاصيل؛
7.	يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قد شارك في فعاليات متخصصة في هذا القطاع (كتلك التي تقيمها مؤتمرات بلاك هات(Blackhat) أو مؤتمر آر إس إيه(RSA) وغيرهما). يرجى العلم بأن هذا الشرط اختياري ولكن، حال استيفاءه، سيتم اعتباره مرجعاً وخبرة إضافية.

لديه أسلوب ومنهجية محددة وواضحة، ويسري ذلك على العمليات، والحوكمة، وضمان الجودة وإدارة المخاطر
1.	أن يكون لدى مزود أعمال محاكاة الهجمات السيبرانية إجراءات محددة بوضوح لاختبارات محاكاة الهجمات السيبرانية والعمليات ذات الصلة؛ ويتم في هذه النقطة توضيح الأنشطة والمتطلبات المتعلقة بمرحلة الإعداد ووضع السيناريو ومراحل التنفيذ والدروس المستفادة؛
2.	أن يكون العنصر الرئيسي في منهج مزود أعمال محاكاة الهجمات السيبرانية هو توفير تجربة التعلم للفريق الأزرق والحرص على عقد جلسة تقييم أداء لتحسين معرفة الموظفين والإدارات المعنية وإنضاج قدرات الرصد والاستجابة لدى الأمن السيبراني واستعادة العمليات وتدابير التحكم وعند الاقتضاء تدابير الوقاية (مثل تقوية إجراءات الأمان)؛
3.	أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على المساعدة في إنشاء قاعدة معرفية والحفاظ عليها بحيث يمكن مشاركة نقاط الضعف المعروفة والدروس المستفادة وتحسينها داخل القطاع المالي؛
4.	أن يكون لدى مزود أعمال محاكاة الهجمات السيبرانية هيكل واضح لضمان الجودة والتصعيد لعمليات محاكاة الهجمات السيبرانية التي يقوم بها؛
5.	أن تكون جميع الأنشطة التي يقوم بها مزود أعمال محاكاة الهجمات السيبرانية قابلة للنسخ (بما في ذلك تسجيل كافة الأنشطة)؛
6.	يجب أن يلتزم مزود أعمال محاكاة الهجمات السيبرانية بمدونة سلوك رسمية يشرف عليها طرف داخلي/ خارجي؛
7.	أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات أنه يقدم خدمات عالية الجودة، بما في ذلك منهجيات العمل والأدوات والتقنيات ومصادر المعلومات التي سيتم استخدامها كجزء من عملية محاكاة الهجمات السيبرانية والاختبار؛
8.	أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على إثبات أن نتائج الاختبارات التي يقوم بها والإبلاغ عنها وتخزينها والتخلص منها بطريقة لا تعرض المؤسسة المالية للخطر؛
9.	على مزود أعمال محاكاة الهجمات السيبرانية التأكد من عدم حدوث تسرب للبيانات من أجهزة الحاسوب المحمولة والأنظمة التي تخضع للاختبار وأن جميع البيانات التي تم الحصول عليها يتم تخزينها بشكل آمن أثناء التمرين ومن ثم يتم التخلص منها بشكل آمن بعد انتهاءه؛
10.	يجب تقييد أي تسرب للبيانات (متفق عليه) من قبل مزود أعمال محاكاة الهجمات السيبرانية بالقدر المطلوب فقط لتجريب سيناريو الهجوم. يجب تخزين هذه البيانات داخلياً وبتنسيق مشفر حصراً (وليس لدى أي من خدمات التخزين السحابي).
11.	يجب على مزود أعمال محاكاة الهجمات السيبرانية ضمان خصوصية الموظفين داخل المؤسسة المالية؛
12.	يجب أن يكون مزود أعمال محاكاة الهجمات السيبرانية قادراً على تقديم تأكيد مكتوب بأن الأنشطة والمخاطر المرتبطة باختبار محاكاة الهجمات السيبرانية وأن المعلومات السرية ستتم معالجتها وتنفيذها بشكل مناسب بما يتماشى مع متطلبات الأمان والامتثال لدى المؤسسة المالية؛
13.	يجب الاتفاق بشكل متبادل بين مزود أعمال محاكاة الهجمات السيبرانية والفريق الأبيض على خطاب التفويض بما في ذلك شروط عدم الإفصاح لضمان تغطية المسؤولية المحتملة أو المشكلات القانونية.

ويمكن لمزود أعمال محاكاة الهجمات السيبرانية العمل على منح واحد أو أكثر من الاعتمادات المقترحة التالية لمديريه ومختبريه المشاركين في تمرين محاكاة الهجمات السيبرانية. ويعد التحقق من اعتمادات الموظفين ومستوى الخبرة العملية أمراً أساسياً عند اختيار أو التعاقد مع مزود أعمال محاكاة الهجمات السيبرانية.

الاعتماد(ات) الموصى بها لموظفي مزود أعمال محاكاة الهجمات السيبرانية
الدور	المعهد	الاعتماد
المدراء	جمعية تدقيق ومراقبة نظم المعلومات (ISACA)	مدقق نظم معلومات معتمد مدير أمن معلومات معتمد الأمن السيبراني نيكسس (CSX)
	أي إس سي سكويرد (ISC)2	محترف أمن نظم المعلومات المعتمد ممارس معتمد لأمن النظم
	مجلس مختبري الأمن الأخلاقي المسجلين (CREST)	مدير هجوم محاكاة معتمد من مجلس مختبري الأمن الأخلاقي المسجلين مدير استخبارات تهديد معتمد من مجلس مختبري الأمن الأخلاقي المسجلين - اختياري
المختبرون	معهد سان - شهادة ضمان المعلومات العالمية (GIAC)	مختبر حاصل على شهادة ضمان المعلومات العالمية مختبر اختراق تطبيقات الإنترنت حاصل على شهادة ضمان المعلومات العالمية باحث في الثغرات ومسؤول اختبار اختراق متقدم حاصل على شهادة ضمان المعلومات العالمية
	الأمن الهجومي	محترف معتمد في الأمن الهجومي محترف في الأمن الهجومي للشبكات اللاسلكية خبير معتمد في مجال الأمن الهجومي خبير الأمني الهجومي في استغلال الثغرات خبير الأمني الهجومي للمواقع
	مجلس مختبري الأمن الأخلاقي المسجلين (CREST)	متخصص معتمد من مجلس مختبري الأمن الأخلاقي المسجلين في محاكاة الهجوم محلل مسجل لدى مجلس مختبري الأمن الأخلاقي المسجلين لاستخبارات التهديدات – اختياري

الملحق (ب)-متطلبات الإبلاغ

يجب مراعاة المحتوى التالي عند صياغة التقارير وتقديم النتائج.

ملاحظة. لا يجب تقديم جميع التقارير إلا عبر قنوات اتصال آمنة ومشاركتها بموجب بروتوكول اتصال متفق عليه (أي على أساس الحاجة فقط وبشكل سري).

تقرير تقييم الفريق الأحمر (RTER)

في نهاية تمرين محاكاة الهجمات السيبرانية، سيقوم مزود أعمال محاكاة الهجمات السيبرانية بصياغة تقرير اختبار التقييم، والذي يشتمل على تقييم مرونة الأمن السيبراني للمؤسسة المالية ضد هجمات الأمن السيبراني المنفذة. ويتضمن التقرير مخططاً لكيفية تنفيذ سيناريوهات الهجوم. ويتم إصدار هذا التقرير للفريق الأبيض والفريق الأزرق والفريق الأخضر.

ويمكن الاطلاع أدناه على الخطوط العريضة للتقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):

تقرير تقييم الفريق الأحمر (RTER)

مقدمة
ملخص تنفيذي
النطاق
- نطاق اختبار محاكاة الهجمات السيبرانية المتفق عليه
- معلومات أساسية عن الأصول (المعلوماتية) والوظائف الحرجة المستهدفة المتفق عليها
- هدف وغايات اختبار محاكاة الهجمات السيبرانية
- البنود الخارجة عن النطاق بشكل واضح
الإطار الرقابي - المراجع
- إطار عمل محاكاة الهجمات السيبرانية الأخلاقية بالمؤسسات المالية
- مشروع أمن تطبيقات الويب المفتوحة (أفضل 10)
- أخرى
منهجية التنفيذ
- إدراج جميع مراحل الهجوم والإجراءات التي يقوم بها الفريق الأحمر خلال اختبار محاكاة الهجمات السيبرانية
- سيناريو تنفيذ كل هجوم، وكيف ومتى وأين (أي تسلسلات الهجوم السيبراني التي تم استغلالها، والتي تم تلخيصها في شكل مخططات متجهات الهجوم)
- شرح منهجية سلسلة الهجوم السيبراني والتكتيكات والأساليب والإجراءات التي تم التخطيط لها وتنفيذها أخيراً
- الجدول الزمني للأنشطة المنجزة (التواريخ والوقت)
- الأدوات أو البرامج والأساليب المحددة التي تم استخدامها أثناء سيناريوهات الهجوم
- منهجية تقييم المخاطر بالنسبة للملاحظات
ملاحظات
- إدراج الثغرات التي تم رصدها ونقاط الضعف في الأحداث التي وقعت
- الملاحظات التي تركز على الأفراد والعمليات والتكنولوجيا
- الملاحظات التي تركز على الرصد والاستجابة والتعافي
- وصف المخاطر المقترحة وتقييم المخاطر لكل الملاحظات
- توصيات بشأن التحسينات المقترحة
الاستنتاجات
- استنتاج شامل للمرونة السيبرانية للمؤسسة المالية
- استنتاجات مفصلة لكل سيناريو هجوم يتم تنفيذه
- استنتاج لكل أصول معلوماتية أو وظيفة حرجة متفق عليها

الملاحق

قائمة الفرق المشاركة وأعضاء الفريق
لقطات تسجيل الشاشة مع الأدلة
أي مواد داعمة أخرى
يجب تصنيف التقرير على النحو التالي: سري

تقرير الفريق الأزرق

بعد توزيع تقرير تقييم الفريق الأحمر، يقوم الفريق الأزرق بإعداد تقريره الخاص. ويجب أن يستند هذا التقرير إلى تنبيهات المراقبة والرصد والاستجابة وأنشطة الاستعادة وخطوات العملية التي اتخذها الفريق الأزرق أثناء التمرين. ويجب أن يتضمن التقرير أساليب وقدرات الدفاع والمراقبة التي يستخدمها الفريق الأزرق في الوقت الحالي لرصد هجمات الأمن السيبراني (مثل الأحداث والتنبيهات والحوادث). ويجب أن يتضمن التقرير كذلك ملاحظات الفريق الأزرق فيما يتعلق بالقيود أو نقاط الضعف التي تم رصدها.

ويمكن الاطلاع أدناه على مخطط التقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):

تقرير الفريق الأزرق

مقدمة
ملخص تنفيذي
معلومات أساسية عن التقرير
- هدف وغايات اختبار محاكاة الهجمات السيبرانية
مقدمة عن وضع التهديد الحالي في القطاع المالي وتوجهات الهجمات السيبرانية
شرح أساليب التعامل مع الحوادث الحالية والاستجابة للحوادث وإدارة الأزمات فيما يتعلق بالحوادث السيبرانية داخل المؤسسة المالية
- تدفق العمليات
- الأشخاص / الفرق المشاركة
- نظرة عامة على المهام والمسؤوليات ذات الصلة
الخط الزمني للأنشطة التي تم رصدها أو التنبيهات الصادرة (مقابل تمرين وأنشطة محاكاة الهجمات السيبرانية المنجزة)
ملاحظات لكل سيناريو هجوم تم تنفيذه (وفقاً للترتيب لزمني)
- الإخطار (الإخطارات) الأول(ى)
- أدوات وأساليب المراقبة والدفاع المستخدمة
- خطة الاستجابة للحوادث والخطوات التي تم تنفيذها (على سبيل المثال: هل تم إشراك قسم إدارة الأزمات وما هي الملاحظات؟)
- إشراك الإدارات الأخرى (مثل مكتب المساعدة، الرئيس التنفيذي لأمن المعلومات، مدير المعلومات، الموارد البشرية، القانونية، العلاقات العامة)
- ما هي النتائج التي أبلغ عنها الفريق الأحمر
- ما هي الخطوات التي سارت بشكل جيد أو الخطوات التي تحتاج إلى تحسين
- نتائج تحليل السبب الجذري الذي تم تنفيذه
التوصيات أو مجالات التحسين
- توصيات تركز على الأشخاص والعمليات والتقنية،
- توصيات تركز على الرصد والاستجابة والتعافي
- تصنيف الأولوية المقترح لكل توصية
- خارطة طريق للتحسينات المقترحة
- المدخلات المقترحة لحملات التوعية الأمنية السيبرانية القادمة
الاستنتاجات
- استنتاج شامل لحالة المرونة السيبرانية الحالية للمؤسسة المالية
- الاستنتاجات المتعلقة بالتحسينات المطلوبة والمقترحة (من كل من الفريق الأزرق والأحمر)
- استنتاجات مفصلة عن كل سيناريو هجوم منفذ وحالة القدرات الحالية للفريق الأزرق

الملاحق

قائمة الفرق المشاركة وأعضاء الفريق
لقطات تصوير الشاشة مع الأدلة الداعمة
أي مواد داعمة أخرى
يجب تصنيف التقرير على النحو التالي: سري

خطة التصحيح

يجب على الفريق الأبيض صياغة خطة تصحيح تستند إلى تقرير تقييم الفريق الأحمر وتقرير الفريق الأزرق. يجب أن توفر خطة التصحيح جوانب واضحة للتحسينات والأولويات وخارطة طريق لكيفية ووقت تحسين الجانب الوقائي (تقوية الأنظمة) والرصد والاستجابة واستعادة القدرات داخل المؤسسة المالية. ويتمثل الجانب الأهم في هذا الشأن في رصد حالة وتقدم خطة التصحيح والإبلاغ عنها بشكل دوري إلى لجنة الأمن السيبراني التابعة للمؤسسة المالية وكذلك الفريق الأخضر.

ويمكن الاطلاع أدناه على الخطوط العريضة للتقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):

خطة التصحيح

مقدمة
ملخص تنفيذي
معلومات أساسية عن خطة التصحيح
- هدف وغايات خطة التصحيح
الجمهور المستهدف وأصحاب المصلحة
التوصيات المتفق عليها ومجالات التحسين المقدمة من الفريقين الأحمر والأزرق
- توصيات متفق عليها تركز على الأشخاص والعمليات والتقنية
- توصيات متفق عليها تركز على (الوقاية) والرصد والاستجابة والتعافي
- تصنيف الأولوية المتفق عليه لكل توصية
قائمة أولويات مجالات التحسين المتفق عليها
خطة التصحيح المتفق عليها
- ماذا ومتى وأين وكيف
- نظرة عامة على صناع القرار (على سبيل المثال، إشراك إدارة العمل)
- تواريخ الاستحقاق المتفق عليها
خارطة طريق للتحسينات المتفق عليها ذات الأولوية
دورية إطلاع لجنة الأمن السيبراني للمؤسسة المالية والفريق الأخضر
تنظيم إدارة المشاريع
- الأشخاص / الفرق المشاركة
- نظرة عامة على المهام والمسؤوليات ذات الصلة

الملاحق

قائمة الإدارات المعنية والفرق وأعضاء الفريق
لقطات تصوير الشاشة مع الأدلة الداعمة
أي مواد داعمة أخرى
يجب تصنيف خطة التصحيح على النحو التالي: سرية / للاستخدام الداخلي فقط

تقرير موجز عن اختبار محاكاة الهجمات السيبرانية

عند الانتهاء من خطة التصحيح، يقوم الفريق الأبيض بإعداد تقرير اختبار موجز (مع إخفاء التفاصيل حفاظاً على السرية) ومشاركته من خلال البنك المركزي(أي مدير اختبار الفريق الأخضر) مع جميع لجان المؤسسات المالية ذات الصلة (مثل اللجنة المصرفية لأمن المعلومات). يجب أن يغطي تقرير الاختبار الموجز وضع التهديد الحالي للقطاع المالي ونتائج اختبار محاكاة الهجمات السيبرانية ونقاط الضعف أو الثغرات التي تم رصدها أثناء اختبار محاكاة الهجمات السيبرانية، علاوة على الدروس المستفادة.

يجب تقديم هذا التقرير فقط عبر قنوات اتصال آمنة ومشاركته بموجب بروتوكول اتصال متفق عليه (أي على أساس الحاجة فقط وبشكل سري).

ويمكن الاطلاع أدناه على الخطوط العريضة للتقرير والعناصر المطلوبة (على سبيل المثال لا الحصر):

تقرير موجز عن اختبار محاكاة الهجمات السيبرانية

مقدمة
ملخص تنفيذي
معلومات أساسية عن خطة التصحيح
معلومات أساسية عن اختبار محاكاة الهجمات السيبرانية المنفذ
وضع التهديد الحالي للقطاع المالي وتوجهات الهجمات السيبرانية الأخيرة
الخطوط العريضة لكل سيناريو هجوم منفذ
- إدراج أهم نقاط الضعف والثغرات المحددة ذات الصلة
- تركز معظم الملاحظات ذات الصلة على الأشخاص والعمليات والتقنية
- تركز معظم الملاحظات ذات الصلة على الرصد والاستجابة والتعافي
الدروس المستفادة
اقتراحات للقطاع المالي
توصيات لتعديل إطار عمل محاكاة الهجمات السيبرانية في المؤسسات المالية السعودية
يجب تصنيف خطة ملخص اختبار محاكاة الهجمات السيبرانية على النحو التالي: سرية للغاية (أي على أساس الحاجة فقط وبشكل سري)

الملحق (ج)- قائمة المصطلحات

المدة	الوصف
المرونة	القدرة على الاستمرار في: (1) العمل في ظل ظروف أو ضغوط معاكسة، حتى وإن كان الوضع متردي ومتدهور، مع الحفاظ على القدرات التشغيلية الأساسية؛ و (2) التعافي إلى وضع تشغيلي فعال في إطار زمني يتفق مع احتياجات المهمة.
الهجمات السيبرانية	هجوم، عبر الفضاء السيبراني، يستهدف استخدام المؤسسة للفضاء السيبراني لغرض تعطيل أو إعطاب أو تدمير أو التحكم بشكل ضار في بيئة/البنية التحتية لنظام الحوسبة؛ أو تدمير سلامة البيانات أو سرقة المعلومات الخاضعة للرقابة. المرجع (NIST SP 800-39 (CNSSI 4009) )
المؤسسة المالية	المؤسسة -المؤسسات المالية التابعة للبنك المركزي.
F.E.E.R.	إطار عمل محاكاة الهجمات السيبرانية للمؤسسات المالية
المملكة	المملكة العربية السعودية
محاكاة الهجمات السيبرانية	تمرين يعكس الظروف الفعلية ويتم إجراؤه لمحاكاة محاولة عدائية لإضعاف المهام المؤسسية و/أو العمليات التجارية، ويهدف إلى توفير تقييم شامل للقدرة الأمنية لنظام المعلومات والمؤسسة بشكل عام.
البنك المركزي	البنك المركزي العربي السعودي*
اختبار الاختراق	اختبار الأمان الذي يحاكي فيه المقيمون هجمات العالم الحقيقي في محاولة لتحديد طرق التحايل على ميزات الأمان لتطبيق أو نظام أو شبكة ما. غالبا ما يتضمن اختبار الاختراق إطلاق هجمات حقيقية على أنظمة وبيانات فعلية، باستخدام نفس الأدوات والتقنيات المستخدمة من قبل المهاجمين الفعليين. تتضمن معظم اختبارات الاختراق البحث عن مجموعات من الثغرات الأمنية في نظام واحد أو أنظمة متعددة، بحيث يتم استغلالها للوصول إلى قدر أكبر مما يمكن تحقيقه من خلال ثغرة أمنية واحدة. المرجع (NIST SP 800-115)
التكتيكات والأساليب والإجراءات	التكتيكات والأساليب والإجراءات
القراصنة الأخلاقيون	خبير يقوم بتنفيذ اختبار الاختراق. راجع 'اختبار الاختراق'.
خطاب التفويض	خطاب التفويض
اللجنة المصرفية لأمن المعلومات	اللجنة المصرفية لأمن المعلومات
الرئيس التنفيذي لأمن المعلومات	الرئيس التنفيذي لأمن المعلومات .مسؤول تنفيذي رفيع المستوى تكون مسؤوليته إنشاء وصيانة رؤية واستراتيجية وبرنامج الأمن السيبراني للمؤسسة لضمان حماية الأصول المعلوماتية والتقنيات بشكل كاف.
الهندسة الاجتماعية	مصطلح عام للمهاجمين الذين يحاولون خداع الأشخاص للكشف عن معلومات حساسة أو تنفيذ إجراءات بعينها، مثل تحميل وتنفيذ الملفات التي تبدو وكأنها ملفات عادية ولكنها في الواقع ضارة. المرجع: (NIST SP 800-114 )
الفريق الأزرق	مجموعة من الأفراد يقومون بتنفيذ تقييمات لثغرات الشبكة التشغيلية ويقدمون وسائل لتخفيف آثار الثغرات للعملاء الراغبين في إجراء مراجعة فنية مستقلة لوضع أمن الشبكة الخاصة بهم. ويحدد الفريق الأزرق التهديدات والمخاطر الأمنية في بيئة التشغيل ويحلل بالتعاون مع العميل بيئة الشبكة وحالة الاستعداد الأمني الحالية. وبناء على نتائج الفريق الأزرق وخبرته، يقدم الفريق توصيات يمكن دمجها في الحلول الشاملة لأمن المؤسسة وتحسين استعداد العميل في جانب الأمن السيبراني. في كثير من الأحيان تتم الاستعانة بالفريق الأزرق بشكل تلقائي أو قبل الاستعانة بالفريق الأحمر للتأكد من أن شبكات العميل آمنة قدر الإمكان قبل أن يقوم الفريق الأحمر باختبار الأنظمة. المرجع: (CNSSI 4009-2015 )
مركز العمليات الأمنية	مركز العمليات الأمنية هو موقع (وفريق) متخصص يتم من خلاله مراقبة البيانات المتعلقة بالأمان من أنظمة معلومات المؤسسة (على سبيل المثال، مواقع الإنترنت والتطبيقات وقواعد البيانات والخوادم والشبكات وأجهزة الكمبيوتر المكتبية والأجهزة الأخرى) وتقييمها واتخاذ إجراءات بشأنها. غالبا ما يكون مركز العمليات الأمنية متفرغ لرصد والتحقيق في والاستجابة لأي مؤشرات تفيد بوجود اختراق محتمل. يعمل مركز العمليات الأمنية بشكل وثيق مع إدارات أخرى داخل المؤسسة (على سبيل المثال، قسم الأمن السيبراني وفريق إدارة الحوادث ومالكي خدمات تقنية المعلومات) ويطلعهم على المعلومات الأمنية المجمعة.
تسلسل الهجوم السيبراني	مفهوم تصوري يستخدم لهيكلة هجوم سيبراني.
الفريق الأبيض	المجموعة المسؤولة عن ترتيب الاشتباك بين فريق أحمر من المهاجمين الوهميين وفريق أزرق من المدافعين الفعليين عن استخدام مؤسستهم لأنظمة المعلومات. ويعمل الفريق الأبيض كقاضي أثناء التمرين، ويفرض قواعد التمرين ويراقبه، ويسجل نقاط كل فريق، ويحل أي مشاكل قد تنشأ، ويتعامل مع جميع طلبات أو استفسارات المعلومات، ويضمن سير المنافسة بشكل عادل دون التسبب في مشاكل تشغيلية لمهمة المدافع. ويساعد الفريق الأبيض في وضع قواعد الاشتباك ومقاييس تقييم النتائج وإجراءات توفير الأمان التشغيلي للاشتباك. وعادة ما يتحمل الفريق الأبيض مسؤولية استخلاص الدروس المستفادة، وإجراء تقييم ما بعد الاختبار وإصدار النتائج. المرجع: (CNSSI 4009-2015 )
الفريق الأخضر	يتم توفير الفريق الأخضر من قبل الفريق السيبراني بالقطاع المالي في البنك المركزي. ويعين الفريق الأخضر مدير اختبار لكل اختبار من اختبارات محاكاة الهجمات السيبرانية. ويحتفظ الفريق الأخضر كذلك بقائمة قصيرة من مزودي خدمات محاكاة الهجمات السيبرانية المحتملين ويوفر استخبارات التهديدات التي تواجه القطاع المالي.
مدير الاختبار	مدير الاختبار هو المسؤول عن توجيه الفريق الأبيض من خلال تمرين محاكاة الهجمات السيبرانية.
المخاطرة	مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
برمجية الاستغلال	جزء من التعليمات البرمجية أو أمر يهدف إلى تنفيذ أنشطة ضارة على النظام، من خلال الاستفادة من الثغرة الأمنية.
الثغرة الأمنية	ضعف في نظام المعلومات أو إجراءات أمان النظام أو وسائل الرقابة الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها بواسطة مصدر تهديد. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
اتفاقية عدم الإفصاح	اتفاقية عدم الإفصاح
استخبارات التهديدات	استخبارات التهديدات هي معلومات قائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والمشورة القابلة للتنفيذ، حول خطر ناشئ أو خطر قائم على الأصول، كما تساعدنا هذه المعلومات في اتخاذ قرارات حول كيفية التعامل مع التهديد بشكل فعال. (غارتنر-GARTNER)
مزود أعمال محاكاة الهجمات السيبرانية	مزود أعمال محاكاة الهجمات السيبرانية
التوفر	ضمان الوصول إلى المعلومات واستخدامها في الوقت المناسب وبشكل موثوق. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)
نيست (NIST)	المعهد الوطني للمعايير والتكنولوجيا (الأمريكي) (www.nist.gov)
حادثة	حدث يعرّض أو يحتمل أن يعرّض للخطر سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها، أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول. (NISTIR 7298r2 قائمة مصطلحات أمن المعلومات الرئيسية)

حوكمة تقنية المعلومات

الدليل التنظيمي لحوكمة تقنية المعلومات في القطاع المالي
الرقم: 43028139 التاريخ (م): 2021/11/4 | التاريخ (هـ): 1443/3/29 الحالة:نافذ
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية

1. مقدمة

1.1 مقدمة للدليل التنظيمي
ترتفع توقعات المجتمع الرقمي في الوقت الراهن بخصوص إتاحة تجربة عملاء خالية من العيوب واستمرار توفر الخدمات. حيث أدى التقدم في تقنية المعلومات ("تقنية المعلومات") إلى إحداث تغييرات سريعة في الطريقة التي تتم بها الأعمال والعمليات في القطاع المالي. ورغم أن تقنية المعلومات تلعب دورًا أساسيًا جنبًا إلى جنب البيئة المحيطة اليوم، إلا أنها تُعرّض أيضًا المؤسسات المالية لمخاطر تقنية المعلومات التي تتطور بفاعلية.
وفي هذا الصدد، وضع البنك المركزي الدليل التنظيمي لحوكمة تقنية المعلومات ("الدليل") لتمكين المؤسسات الخاضعة لرقابته ("المؤسسات المالية") من تحديد المخاطر المتعلقة بتقنية المعلومات ومعالجتها بشكل فعال. يتمثل الهدف من الدليل التنظيمي في الآتي:
1. وضع نهج مشترك لمعالجة مخاطر تقنية المعلومات داخل المؤسسات المالية.
2. تحقيق مستوى نضج مناسب لضوابط تقنية المعلومات داخل المؤسسات المالية.
3. ضمان إدارة مخاطر تقنية المعلومات بشكل صحيح في جميع أنحاء المؤسسات المالية.
وسيتم استخدام الدليل التنظيمي لإجراء تقييم دوري لمستوى النضج وتقييم مدى فعالية ضوابط تقنية المعلومات في المؤسسات المالية. ويعتمد الدليل التنظيمي على متطلبات البنك المركزي ومعايير تقنية المعلومات الخاصة بالمجال.

2.1.تعريف حوكمة تقنية المعلومات
تضمن حوكمة تقنية المعلومات (IT) الاستخدام الفعال والكفؤ لتقنية المعلومات لتمكين المؤسسات المالية من تحقيق أهدافها وغاياتها. فهي تمكّن المؤسسات المالية من صياغة القيمة المثلى من تقنية المعلومات من خلال الحفاظ على التوازن بين تحقيق الفوائد وتحسين مستويات المخاطر واستخدام الموارد.

3.1 النطاق
يحدد الدليل المبادئ والأهداف لبدء ضوابط حوكمة تقنية المعلومات وتطبيقها وصيانتها ومراقبتها وتحسينها داخل المؤسسات المالية الخاضعة لرقابة البنك المركزي. ويتضمن الدليل متطلبات ضوابط حوكمة تقنية المعلومات التي تنطبق على أصول المعلومات الخاصة بالمؤسسات المالية. إضافة إلى ذلك، يوفر الدليل التوجيه بخصوص متطلبات حوكمة تقنية المعلومات للمؤسسات المالية والمؤسسات التابعة لها وموظفيها والجهات الخارجية والعملاء. وينبغي تنفيذ الدليل بالتزامن مع الدليل التنظيمي لأمن المعلومات في القطاع المالي والدليل التنظيمي لإدارة استمرارية الأعمال الصادرين عن البنك المركزي على التوالي (الشكل 1). وللإطلاع على المتطلبات المحددة المتعلقة بالأمن السيبراني واستمرارية الأعمال، يرجى الرجوع إلى الدليل التنظيمي لأمن المعلومات في القطاع المالي والدليل التنظيمي لإدارة استمرارية الأعمال الصادرين عن البنك المركزي.

الشكل 1 – العلاقة بين أطر العمل الصادرة عن البنك المركزي

يرتبط الدليل بعلاقة متبادلة مع السياسات المؤسسية الأخرى في المجالات ذات الصلة، مثل إدارة التغيير وتدريب الموظفين. ولا يتناول الدليل الماثل المتطلبات غير المتعلقة بتقنية المعلومات في تلك المجالات.

4.1 صلاحية التطبيق
ينطبق الدليل على المؤسسات المالية الخاضعة لرقابة البنك المركزي.

5.1 المسؤوليات
اعتمد البنك المركزي الدليل الماثل وسيتم تعميمه على المؤسسات المالية لتنفيذه. ويعد البنك المركزي هو الجهة المالكة للدليل الماثل والمسؤول عن تحديثه بشكل دوري. وتتولى المؤسسات المالية تنفيذه والامتثال له.

6.1 التفسير
يتحمل البنك المركزي وحده، بصفته مالك الدليل، مسؤولية تقديم تفسيرات للمبادئ ومتطلبات الرقابة، إذا لزم الأمر.

7.1 الجمهور المستهدف
هذا الدليل مخصص للإدارة العليا والتنفيذية، وأصحاب الأعمال، ومالكي أصول المعلومات، ومديري تقنية المعلومات(CIOs) وأولئك المسؤولين عن ضوابط تقنية المعلومات والمنخرطين في تحديدها وتنفيذها ومراجعتها داخل المؤسسات المالية.

8.1 المراجعة والتحديثات والصيانة
سيراجع البنك المركزي الدليل دوريًا من أجل الوقوف على مدى فعاليته من حيث مواجهة التهديدات والمخاطر الناشئة في مجال تقنية المعلومات. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث الدليل بناءً على نتائج المراجعة.
وإذا ارتأت إحدى المؤسسات المالية أن هناك حاجة إلى تحديث الدليل، فيتعين على المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي. وسيقوم البنك المركزي بدوره بمراجعة التحديث المطلوب، وعند الاقتضاء، سيتم تعديل الدليل في النسخة المحدثة التالية.
وستظل المؤسسة المالية مسؤولة عن الامتثال للدليل في انتظار تحديث الإصدار التالي.
يرجى الرجوع إلى "الملحق أ - كيفية طلب تحديث الدليل" للاطلاع على عملية طلب تحديث الدليل.
وسيتم تنفيذ عملية ضبط الإصدارات للحفاظ على الدليل. وكلما أُجريت أي تغييرات، سيتم سحب الإصدار السابق وسيتم نشر الإصدار الجديد وتبليغه إلى جميع المؤسسات المالية. ولتسهيل الأمر على المؤسسات المالية، يجب الإشارة بوضوح إلى التغييرات التي تطرأ على الدليل.

9.1 دليل القراءة
يتم تقسيم الدليل على النحو التالي. يتناول الفصل الثاني بالتفصيل هيكل الدليل، ويسرد تعليمات حول كيفية تطبيق الدليل. ويعرض الفصل الثالث الدليل الفعلي، بما في ذلك مجالات تقنية المعلومات والمجالات الفرعية والمبادئ والأهداف ومتطلبات الرقابة.

2. هيكل الدليل والميزات

1.2 الهيكل

يتمحور الدليل حول أربعة مجالات رئيسية، وهي:

إدارة تقنية المعلومات والقيادة.
إدارة مخاطر تقنية المعلومات.
إدارة عمليات تقنية المعلومات.
إدارة تغيير النظام.

ويتم تحديد العديد من المجالات الفرعية لكل مجال رئيسي. حيث يركز المجال الفرعي على موضوع محدد بخصوص حوكمة تقنية المعلومات. وينص الدليل بكل مجال فرعي على المبدأ ومتطلبات التحكم.

مبدأ يلخص المجموعة الرئيسية لضوابط تقنية المعلومات المطلوبة المتعلقة بالمجال الفرعي.
متطلبات تحكم تعكس ضوابط تقنية المعلومات الإلزامية التي يجب مراعاتها.

يجب تطبيق الدليل في ضوء المبادئ المذكورة في كل مجال فرعي مع متطلبات الرقابة المرتبطة به.

تم ترقيم متطلبات المراقبة بشكل فريد وفقًا لنظام الترقيم التالي في جميع أنحاء الدليل:

الشكل 2 - نظام ترقيم متطلبات التحكم

يوضح الشكل أدناه الهيكل العام للدليل ويبين المجالات الرئيسية والفرعية بدليل حوكمة تقنية المعلومات، بما في ذلك الإشارة إلى القسم ذي الصلة من الدليل.

الشكل 3 - الدليل التنظيمي لحوكمة تقنية المعلومات

2.2 الدليل القائم على المبادئ
يستند الدليل إلى المبادئ، ويشار إليه أيضاً بأنه "قائم على المخاطر". ويعني ذلك أنه ينص على المبادئ والأهداف الرئيسية لحوكمة تقنية المعلومات التي يجب على المؤسسات المالية تضمينها وتحقيقها. وتوفر قائمة متطلبات التحكم الإلزامية توجيهاً إضافياً ويتعين أن تأخذها المؤسسات المالية بعين الاعتبار في تحقيق الأهداف. وعندما يتعذر تصميم أو تنفيذ متطلبات تحكم معينة، يجب على المؤسسات المالية دراسة تطبيق ضوابط تعويضية والسعي إلى قبول المخاطر الداخلية وطلب إعفاء رسمي من البنك المركزي. يُرجى الرجوع إلى الملحق "د" للاطلاع على تفاصيل - كيفية طلب الإعفاء من الدليل - العملية.

3.2 التقييم الذاتي والمراجعة والتدقيق
سيخضع تنفيذ الدليل في المؤسسات المالية لتقييم ذاتي دوري. وستجري المؤسسات المالية التقييم الذاتي من خلال استبيان. وسيقوم البنك المركزي بدروه بمراجعة التقييمات الذاتية وتدقيقها للوقوف على مستوى الامتثال للدليل ومستوى نضج تقنية المعلومات لدى المؤسسات المالية. يرجى الرجوع إلى "4.2 نموذج نضج حوكمة تقنية المعلومات" لمزيد من التفاصيل حول نموذج نضج حوكمة تقنية المعلومات.

4.2 نموذج نضج حوكمة تقنية المعلومات

سيتم قياس مستوى نضج حوكمة تقنية المعلومات بمساعدة نموذج نضج محدد مسبقاً. ويميز نموذج نضج حوكمة تقنية المعلومات 6 مستويات للنضج (0 و1 و 2 و 3 و 4 و 5)، وهي ملخصة في الجدول أدناه. ومن أجل تحقيق المستويات 3 أو4 أو 5، يجب على المؤسسات المالية أولاً استيفاء جميع معايير مستويات النضج السابقة.

مستوى النضج	التعريف والمعايير	إيضاح
0 غير موجود	لا توجد وثائق. لا يوجد وعي أو اهتمام ببعض ضوابط تقنية المعلومات.	لا توجد ضوابط تقنية المعلومات مطبقة. لا يوجد وعي بمجال المخاطر المحدد أو خطط حالية لتنفيذ ضوابط تقنية المعلومات هذه.
1 مخصصة	ضوابط تقنية المعلومات غير محددة أو محددة جزئيا. يتم تنفيذ ضوابط تقنية المعلومات بطريقة غير متناسقة. لم يتم تحديد ضوابط تقنية المعلومات بشكل كامل.	يختلف تصميم وتنفيذ الرقابة على تقنية المعلومات باختلاف الإدارة أو المالك. قد لا يخفف تصميم ضوابط تقنية المعلومات من المخاطر المحددة إلا جزئياً، وقد يكون التنفيذ غير متسق.
2 متكررة، ولكن غير رسمية	يعتمد تنفيذ ضوابط التحكم في تقنية المعلومات على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.	توجد ضوابط لتقنية المعلومات قابلة للتكرار. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي. هناك اعتبار محدود للمراجعة المنظمة أو اختبار التحكم.
3 منظم وذو طابع رسمي	ضوابط تقنية المعلومات محددة ومعتمدة ويتم تنفيذها بطريقة منظمة ورسمية. يمكن إثبات تنفيذ ضوابط تقنية المعلومات.	وضع سياسات ومعايير وإجراءات تقنية المعلومات. يتم مراقبة الامتثال لوثائق تقنية المعلومات، أي السياسات والمعايير والإجراءات، ويفضل باستخدام أداة الحوكمة والمخاطر والامتثال (GRC). يتم تحديد مؤشرات الأداء الرئيسية ورصدها والإبلاغ عنها لتقييم التنفيذ.
4 مُدار وقابل للقياس	يتم تقييم فعالية ضوابط تقنية المعلومات دوريًا وتحسينها عند الضرورة. يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.	يتم قياس فعالية ضوابط تقنية المعلومات وتقييمها دوريًا. يتم استخدام مؤشرات المخاطر الرئيسية وتقارير الاتجاهات لتحديد مدى فعالية ضوابط تقنية المعلومات. يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط تقنية المعلومات.
5 متكيّف	تخضع ضوابط تقنية المعلومات لخطة تحسين مستمر.	يركز برنامج حوكمة تقنية المعلومات على مستوى المؤسسة على الامتثال المستمر لضوابط تقنية المعلومات وفاعليتها وتحسينها. يتم دمج ضوابط تقنية المعلومات مع إطار عمل وممارسات إدارة المخاطر المؤسسية. يتم تقييم أداء ضوابط تقنية المعلومات باستخدام بيانات النظراء والقطاع.

الجدول 1 - نموذج نضج حوكمة تقنية المعلومات

1.4.2 مستوى النضج 3
يجب على المؤسسة المالية، من أجل تحقيق مستوى النضح الثالث، تحديد ضوابط تقنية المعلومات والموافقة عليها وتنفيذها. كما ينبغي لها مراقبة الامتثال لوثائق تقنية المعلومات. ويجب أن تشير وثائق تقنية المعلومات بوضوح إلى "سبب" و"ماهية" و"كيفية" تنفيذ ضوابط تقنية المعلومات. وتتكون وثائق تقنية المعلومات من سياسات ومعايير وإجراءات تقنية المعلومات.

الشكل 4 - هرم مستندات تقنية المعلومات
يجب أن تكون سياسة تقنية المعلومات معتمدة ومفوضة من قبل مجلس إدارة المؤسسة المالية وتوضح "سبب" أهمية تقنية المعلومات بالنسبة للمؤسسة المالية. يجب أن تسلط السياسة الضوء على أصول المعلومات التي ينبغي حمايتها و"ماهية" مبادئ وأهداف تقنية المعلومات التي ينبغي تحديدها.
وبناءً على سياسة تقنية المعلومات، ينبغي وضع معايير تقنية المعلومات. وتحدد هذه المعايير "ماهية" ضوابط تقنية المعلومات التي يجب تنفيذها، مثل الفصل بين الواجبات وقواعد النسخ الاحتياطي والاسترداد وما إلى ذلك. تدعم المعايير سياسة تقنية المعلومات وتعززها وتعتبر بمثابة خطوط أساس لتقنية المعلومات.
ويتم تفصيل المهام والأنشطة التي يجب أن يقوم بها موظفو المؤسسة المالية خطوة بخطوة في إجراءات تقنية المعلومات. وتصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة تقنية المعلومات في بيئة التشغيل.
يتم تعريف العملية في سياق الدليل الماثل على أنها مجموعة منظمة من الأنشطة المصممة لتحقيق الهدف المحدد. وقد تتضمن العملية سياسات ومعايير وإرشادات وإجراءات وأنشطة وتعليمات عمل، بالإضافة إلى أي من الأدوار والمسؤوليات والأدوات والضوابط الإدارية المطلوبة لتقديم المخرجات بشكل موثوق.
يجب مراقبة التقدم الفعلي في التنفيذ والأداء والامتثال لضوابط تقنية المعلومات وتقييمها بشكل دوري باستخدام مؤشرات الأداء الرئيسية (KPIs).

2.4.2 مستوى النضج 4
يجب على المؤسسات المالية، من أجل تحقيق مستوى النضج الرابع، قياس وتقييم فعالية ضوابط تقنية المعلومات المطبقة دوريًا. ويجب تحديد مؤشرات المخاطر الرئيسية (KRIs) من أجل قياس وتقييم ما إذا كانت ضوابط حوكمة تقنية المعلومات فعالة. يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية للإبلاغ عن الاتجاهات وتحديد التحسينات المحتملة.

3.4.2 مستوى النضج 5
يركز مستوى النضج الخامس على التحسين المستمر لضوابط تقنية المعلومات. ويتحقق التحسين المستمر من خلال التحليل المستمر لأهداف وإنجازات حوكمة تقنية المعلومات وتحديد التحسينات الهيكلية. وينبغي دمج ضوابط تقنية المعلومات مع ممارسات إدارة المخاطر في المؤسسة ودعمها بالمراقبة الآلية في الوقت الفعلي. يجب أن يكون مالكو العمليات التجارية مسؤولين عن مراقبة الامتثال لضوابط تقنية المعلومات وقياس فعاليتها ودمجها ضمن إطار عمل إدارة المخاطر المؤسسية. إضافة إلى ذلك، ينبغي تقييم أداء ضوابط تقنية المعلومات باستخدام بيانات النظراء والقطاع.

3. مجالات التحكم

1.3 حوكمة تقنية المعلومات والقيادة
يكون مجلس إدارة المؤسسات المالية مسؤول في نهاية المطاف عن وضع حوكمة تقنية المعلومات (IT) وضمان إدارة مخاطر تقنية المعلومات بفعالية داخل المؤسسة المالية. ويمكن لمجلس إدارة المؤسسة المالية تفويض مسؤوليات حوكمة تقنية المعلومات إلى الإدارة العليا أو اللجنة التوجيهية لتقنية المعلومات (اللجنة التوجيهية). وقد تتحمل اللجنة التوجيهية مسؤولية تحديد حوكمة تقنية المعلومات ووضع استراتيجية تقنية المعلومات في المؤسسة المالية.

1.1.3 حوكمة تقنية المعلومات

المبدأ

يجب تحديد هيكل حوكمة تقنية المعلومات وإقراره ودعمه بالموارد المناسبة للإشراف على النهج العام للمؤسسة المالية في مجال تقنية المعلومات ومراقبته.

متطلبات الرقابة

1.	يجب على المؤسسات المالية تشكيل لجنة توجيهية لتقنية المعلومات وأن يتم تكليفها من قبل مجلس الإدارة.
2.	وينبغي أن يرأس اللجنة التوجيهية مدير أول مسؤول عن عمليات المؤسسات المالية.
3.	يجب أن تكون المناصب التالية ممثلة في اللجنة التوجيهية:
	أ.	كبار المديرين من جميع الإدارات ذات الصلة (على سبيل المثال، رئيس قسم المخاطر، والرئيس التنفيذي لأمن المعلومات، ومسؤول الامتثال، ورؤساء أقسام الأعمال ذات الصلة)؛
	ب.	الرئيس التنفيذي للمعلومات؛ و
	ج.	يجوز لمسؤول التدقيق الداخلي الحضور بصفته "مراقب".
4.	يجب وضع ميثاق اللجنة التوجيهية والموافقة عليه وأن يتضمن ما يلي:
	أ.	أهداف اللجنة؛
	ب.	الأدوار والمسؤوليات؛
	ج.	الحد الأدنى لعدد المشاركين في الاجتماع؛
	د.	تواتر الاجتماعات (على الأقل كل ثلاثة أشهر)؛ و
	ه.	توثيق محاضر الاجتماعات والقرارات والاحتفاظ بها.
5.	يجب تعيين مدير أول بدوام كامل لوظيفة تقنية المعلومات، يُشار إليه باسم الرئيس التنفيذي للمعلومات، على مستوى الإدارة العليا.
6.	يجب على المؤسسات المالية القيام بما يلي:
	أ.	التأكد من أن الرئيس التنفيذي للمعلومات سعودي الجنسية؛
	ب.	التأكد من أن الرئيس التنفيذي للمعلومات مؤهل بشكل كافٍ؛ و
	ج.	الحصول على خطاب عدم ممانعة كتابي من البنك المركزي قبل تعيين الرئيس التنفيذي للمعلومات.
7.	يجب على المؤسسات المالية أن تضع ممارسات رسمية للأنشطة المالية المتعلقة بتقنية المعلومات تغطي الميزانية والتكلفة وتحديد أولويات الإنفاق بما يتماشى مع الأهداف الاستراتيجية لتقنية المعلومات.
8.	يجب مراقبة الميزانية الإجمالية لتقنية المعلومات ومراجعتها بشكل دوري وتعديلها وفقًا لذلك لتلبية احتياجات تقنية المعلومات والأعمال.
9.	يجب على المؤسسات المالية تحديد أدوار ومسؤوليات الإدارة العليا وموظفي تقنية المعلومات باستخدام مصفوفة إسناد المسؤولية، والمعروفة أيضًا باسم مصفوفة المسؤولية والمحاسبة والاستشارة والتبليغ. ويجب أن تحدد مصفوفة المسؤولية والمحاسبة والاستشارة والتبليغ الأشخاص المسؤولين والخاضعين للمساءلة عن الوظائف، وكذلك الأشخاص الذين يجب استشارتهم أو وتبليغهم.
10.	يجب على المؤسسات المالية تحديد البنية المؤسسية التي تعكس المكونات الأساسية للعمليات التجارية والطبقات التقنية الداعمة لها لضمان الاستجابة والفعالية في تحقيق الأهداف الاستراتيجية.
11.	يجب على المؤسسات المالية تحديد دور مهندس تطبيقات المؤسسة ضمن وظيفة تقنية المعلومات لتحديد التغييرات المطلوبة في مجموعة التطبيقات عبر النظام البيئي للمؤسسات المالية.
12.	يجب أن تكون الأدوار والمسؤوليات داخل وظيفة تقنية المعلومات على النحو التالي:
	أ.	موثقة ومعتمدة من قبل الإدارة؛ و
	ب.	منفصلة لتجنب تضارب المصالح.
13.	يجب على المؤسسات المالية وضع خطة تعاقب رسمية لتقنية المعلومات بالتنسيق مع إدارة الموارد البشرية مع مراعاة الاعتماد على موظفي تقنية المعلومات الرئيسيين الذين يضطلعون بأدوار ومسؤوليات حرجة.

2.1.3 استراتيجية تقنية المعلومات

المبدأ

ينبغي تحديد استراتيجية تقنية المعلومات بما يتماشى مع الأهداف الاستراتيجية للمؤسسة المالية وبما يتوافق مع المتطلبات القانونية والتنظيمية.

متطلبات الرقابة

1.	يجب تحديد استراتيجية تقنية المعلومات والموافقة عليها وصيانتها وتنفيذها.
2.	ينبغي ترجمة المبادرات الإستراتيجية لتقنية المعلومات إلى خارطة طريق محددة مع الأخذ في الاعتبار ما يلي:
	أ.	يجب أن تتطلب المبادرات سد الفجوات بين البيئات الحالية والبيئات المستهدفة؛
	ب.	يجب دمج المبادرات في استراتيجية متسقة لتقنية المعلومات تتوافق مع استراتيجية العمل؛
	ج.	يجب أن تعالج المبادرات النظام البيئي الخارجي (شركاء المؤسسة، والموردين، والشركات الناشئة، وما إلى ذلك)؛ و
	د.	يجب أن تشمل تحديد التبعيات والتداخلات وأوجه التآزر والآثار بين المشاريع، وتحديد الأولويات.
3.	يجب أن تتماشى استراتيجية تقنية المعلومات مع ما يلي:
	أ.	أهداف العمل الشاملة للمؤسسة المالية؛ و
	ب.	متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية.
4.	يجب أن تتناول استراتيجية تقنية المعلومات على الأقل ما يلي:
	أ.	أهمية تقنية المعلومات وفوائدها بالنسبة للمؤسسة المالية؛
	ب.	بيئة الأعمال وتقنية المعلومات الحالية، والتوجه المستقبلي، والمبادرات المطلوبة للانتقال إلى بيئة الدولة المستقبلية؛ و
	ج.	الاعتمادات المتبادلة بين الأصول المعلوماتية الهامة.
5.	يجب على المؤسسة المالية تحديد مخاطر تقنية المعلومات الاستراتيجية والناشئة في مجال تقنية المعلومات التي قد تؤثر على تحقيق الأهداف الاستراتيجية الشاملة على مستوى المؤسسة.
6.	يجب على المؤسسات المالية تعزيز مجموعات المهارات والخبرات (التشغيلية والتقنية) للموارد الحالية من خلال توفير التدريب الدوري على التقنيات الناشئة، وإذا لزم الأمر توفير الموارد ذات الصلة بما يتماشى مع توجه المؤسسات المالية نحو الرقمنة.
7.	يجب مراجعة استراتيجية تقنية المعلومات وتحديثها بشكل دوري أو عند حدوث تغيير جوهري في البيئة التشغيلية للمؤسسات المالية أو عند حدوث تغيير في استراتيجية العمل أو الأهداف أو عند تعديل القوانين واللوائح.

3.1.3 إدارة البنية المؤسسية

المبدأ

يجب تحديد البنية المؤسسية التي توضّح المكونات الأساسية لإجراءات الأعمال والبيانات وطبقات التقنية الداعمة لضمان الاستجابة والفعالية في تحقيق الأهداف الاستراتيجية لتقنية المعلومات في المؤسسات المالية.

متطلبات الرقابة

1.	يجب تحديد هيكلية المؤسسة والموافقة عليها وتنفيذها.
2.	يجب مراقبة الامتثال لهيكلية المؤسسة.
3.	يجب أن تتناول هيكلية المؤسسة ما يلي، على سبيل المثال لا الحصر:
	أ.	مخطط استراتيجي للقدرات التقنية للمؤسسات؛
	ب.	تحديد الفجوات بين البنى الأساسية والبنى المستهدفة، مع الأخذ في الاعتبار كلاً من المنظورين التجاري والتقني؛ و
	ج.	القدرة على تلبية احتياجات العمل المتغيرة بطريقة كفوءة وفعالة.

4.1.3 سياسة وإجراءات تقنية المعلومات

المبدأ

يجب تحديد سياسة وإجراءات تقنية المعلومات والموافقة عليها وإبلاغها وتنفيذها لتحديد التزام المؤسسات المالية وأهدافها في مجال تقنية المعلومات وإبلاغها إلى أصحاب المصلحة المعنيين.

متطلبات الرقابة

1.	يجب تحديد سياسة وإجراءات تقنية المعلومات والموافقة عليها وإبلاغها وتنفيذها.
2.	يجب مراجعة سياسة وإجراءات تقنية المعلومات دوريًا مع مراعاة تطور المشهد التقني.
3.	يجب وضع سياسة تقنية المعلومات مع الأخذ في الاعتبار المدخلات من سياسات المؤسسات المالية ذات الصلة (مثال - الأمن السيبراني، والمالية، والموارد البشرية).
4.	يجب أن تتضمن سياسة تقنية المعلومات ما يلي:
	أ.	الأهداف والنطاق العام لتقنية المعلومات في المؤسسة المالية؛
	ب.	بيان نوايا المجلس، بما يدعم أهداف تقنية المعلومات؛
	ج.	تعريف المسؤوليات العامة والخاصة لتقنية المعلومات؛ و
	د.	الإشارة إلى المعايير والعمليات الوطنية /الدولية الداعمة لتقنية المعلومات (عند الاقتضاء).

5.1.3 الأدوار والمسؤوليات

المبدأ

يجب تحديد أدوار ومسؤوليات تقنية المعلومات وأن يتمتع جميع الأطراف المشاركة في عمليات تقنية المعلومات في المؤسسة المالية بمستوى كافٍ من الفهم للتوقعات المتعلقة بدورها.

متطلبات الرقابة

1.	يكون المجلس مسؤولا عما يلي:
	أ.	المسؤولية النهائية عن وضع ممارسة حوكمة تقنية المعلومات؛
	ب.	ضمان وضع دليل قوي معني بإدارة مخاطر تقنية المعلومات والحفاظ عليه حتى يتسنى إدارة مخاطر تقنية المعلومات؛
	ج.	ضمان تخصيص ميزانية كافية لتقنية المعلومات؛
	د.	اعتماد ميثاق اللجنة التوجيهية لتقنية المعلومات؛ و
	هـ.	المصادقة (بعد الحصول على موافقة اللجنة التوجيهية لتقنية المعلومات) على ما يلي:
		1.	الأدوار والمسؤوليات بممارسات الحوكمة والإدارة؛
		2.	استراتيجية تقنية المعلومات؛
		3.	سياسة تقنية المعلومات.
2.	يجب أن تكون اللجنة التوجيهية مسؤولة على الأقل عما يلي:
	أ.	رصد مخاطر تقنية المعلومات بالمؤسسة المالية ومراجعته والإبلاغ بها دوريًا؛
	ب.	الموافقة والإبلاغ ودعم ورصد ما يلي:
		1.	استراتيجية تقنية المعلومات؛
		2.	سياسات تقنية المعلومات؛
		3.	عمليات إدارة مخاطر تقنية المعلومات؛ و
		4.	مؤشرات الأداء الرئيسية (KPIs) ومؤشرات المخاطر الرئيسية (KRIs) لتقنية المعلومات.
3.	يكون الرئيس التنفيذي للمعلومات مسؤولا، على الأقل، عما يلي:
	أ.	وضع وتنفيذ وصيانة:
		1.	استراتيجية تقنية المعلومات؛
		2.	سياسة تقنية المعلومات؛ و
		3.	ميزانية تقنية المعلومات.
	ب.	ضمان وضع معايير وإجراءات مفصلة لتقنية المعلومات والموافقة عليها وتنفيذها؛
	ج.	تقديم حلول تقنية المعلومات القائمة على المخاطر التي تتناول الأفراد والعمليات والتكنولوجيا؛
	د.	تحديد مؤشرات الأداء الرئيسية ومؤشرات المخاطر الرئيسية الخاصة بعملية تقنية المعلومات والحفاظ عليها؛
	هـ.	إطلاع اللجنة التوجيهية على آخر المستجدات بشأن المبادرات الاستراتيجية لتقنية المعلومات وحالة تنفيذها؛
	و.	تنفيذ تقنية مناسبة لتبسيط جميع العمليات الداخلية والمساعدة في تحسين فوائدها الاستراتيجية؛
	ز.	أنشطة تقنية المعلومات في جميع أنحاء المؤسسة المالية، بما في ذلك:
		1.	مراقبة سير عمل تقنية المعلومات؛
		2.	مراقبة الامتثال للوائح تقنية المعلومات وسياساتها ومعاييرها وإجراءاتها؛ و
		3.	الإشراف على التحقيق في الحوادث المتعلقة بتقنية المعلومات.
	ح.	تحليل تكاليف تقنية المعلومات وقيمتها ومخاطرها لتقديم المشورة لرئيس العمليات/المدير الإداري؛ و
	ط.	تحديد خطة التدريب على تقنية المعلومات بالتنسيق مع الموارد البشرية.
4.	تتولى وظيفة التدقيق الداخلي المسؤولية عن:
	أ.	تحديد مجموعة شاملة من المجالات القابلة للتدقيق لمخاطر تقنية المعلومات وإجراء تقييم فعال لمخاطر تقنية المعلومات أثناء التخطيط للتدقيق؛
	ب.	إجراء عمليات تدقيق تقنية المعلومات.
5.	يجب أن يكون مهندس تطبيقات المؤسسة مسؤولاً على الأقل عما يلي:
	أ.	وضع نماذج وعمليات ووثائق بنية تطبيقات النظام البيئي لتقنية المعلومات؛
	ب.	وضع التطبيقات وحلول التكامل المخصصة على مستوى المؤسسة بما في ذلك التحسينات الرئيسية والواجهات والوظائف والميزات؛ و
	ج.	ضمان التحسين المستمر للانتقال بين الحالتين الحالية والمستقبلية لهيكلية التطبيقات.
6.	يجب أن يكون جميع موظفي المؤسسة المالية مسؤولين عن الامتثال لسياسة ومعايير وإجراءات تقنية المعلومات المعمول بها.

6.1.3 الامتثال التنظيمي

المبدأ

يجب تحديد اللوائح ذات الصلة بما في ذلك خصوصية البيانات والإبلاغ عنها والامتثال لها والتي تؤثر على عمليات تقنية المعلومات في المؤسسات المالية.

متطلبات الرقابة

1.	يجب على المؤسسات المالية إنشاء عملية تضمن الامتثال للمتطلبات التنظيمية المتعلقة بتقنية المعلومات. يجب أن تستوفي عملية ضمان الامتثال الآتي:
	أ.	يتم تنفيذها بشكل دوري أو عندما تصبح المتطلبات التنظيمية الجديدة سارية المفعول؛
	ب.	يشترك فيها ممثلين من المجالات الرئيسية للمؤسسة المالية؛
	ج.	تؤدي إلى تحديث سياسة ومعايير وإجراءات تقنية المعلومات لاستيعاب أي تغييرات ضرورية (إن أمكن)؛ و
	د.	تحتفظ بسجل مُحدَّث لجميع المتطلبات القانونية والتنظيمية والتعاقدية ذات الصلة؛ وتأثيرها والإجراءات المطلوبة.

7.1.3 التدقيق الداخلي لتقنية المعلومات

المبدأ

يجب إجراء تدقيق تقنية المعلومات وفقًا لمعايير التدقيق المتعارف عليها وأطر عمل البنك المركزي ذات الصلة للتحقق من أن تصميم ضوابط التحكم في تقنية المعلومات يتم تنفيذها بشكل مناسب وتعمل على النحو المنشود.

متطلبات الرقابة

1.	يجب أن تتم عمليات تدقيق تقنية المعلومات بشكل مستقل ووفقًا لمعايير التدقيق المتعارف عليها وأطر عمل البنك المركزي ذات الصلة.
2.	يجب على المؤسسات المالية إنشاء دورة تدقيق تحدد تواتر عمليات تدقيق تقنية المعلومات.
3.	يجب على المؤسسات المالية وضع خطة رسمية لتدقيق تقنية المعلومات تتناول الأشخاص والعمليات والمكونات التكنولوجية.
4.	يجب أن تتم الموافقة على خطة تدقيق تقنية المعلومات من قبل لجنة التدقيق في المؤسسة المالية.
5.	يجب أن يتماشى تواتر تدقيق تقنية المعلومات مع أهمية ومخاطر نظام أو عملية تقنية المعلومات.
6.	ينبغي إنشاء عملية متابعة لملاحظات تدقيق تقنية المعلومات من أجل تتبع ملاحظات تدقيق تقنية المعلومات ورصدها.
7.	يجب على المؤسسات المالية التأكد من أن مدققي تقنية المعلومات يتمتعون بالمستوى المطلوب من الكفاءات والمهارات اللازمة لتقييم وتقدير مدى كفاية سياسات تقنية المعلومات والإجراءات والعمليات والضوابط المطبقة.
8.	يجب أن يتوفر ما يلي في تقرير تدقيق تقنية المعلومات:
	أ.	تضمين النتائج والتوصيات واستجابة الإدارة مع خطة عمل محددة والجهة المسؤولة والقيود المفروضة على النطاق فيما يتعلق بعمليات تدقيق تقنية المعلومات؛
	ب.	أن يكون موقعًا ومؤرخًا وموزعًا وفقاً للصيغة المحددة؛ و
	ج.	أن يتم تقديمه إلى لجنة التدقيق بشكل دوري.

8.1.3 كفاءة الموظفين وتدريبهم

المبدأ

يجب أن يتمتع موظفو المؤسسات المالية بما يلزم من المهارات والمعرفة لتشغيل أصول المعلومات الخاصة بالمؤسسة المالية بطريقة محكمة، وأن يتم تدريبهم على كيفية تشغيل ومعالجة وتطبيق الضوابط ذات الصلة بتقنية المعلومات على أصول المعلومات الخاصة بالمؤسسة المالية.

متطلبات الرقابة

1.	يجب على المؤسسات المالية تحديد وتعريف الأدوار الحرجة داخل قسم تقنية المعلومات (مثل مدير قاعدة البيانات، ومسؤول النظام، وما إلى ذلك)
2.	يجب أن تضمن المؤسسات المالية توفير عدد كافٍ من الموظفين لأدوار تقنية المعلومات الحرجة، بحيث لا يتولى أدوار تقنية المعلومات الحرجة موظف واحد فقط.
3.	يجب على المؤسسات المالية تحديد الشهادات المهنية المطلوبة للموظفين المسؤولين عن الأدوار الحرجة في مجال تقنية المعلومات.
4.	يجب على المؤسسات المالية تقييم متطلبات التوظيف على أساس دوري أو عند حدوث تغييرات كبيرة في بيئات العمل أو التشغيل أو تقنية المعلومات لضمان أن وظيفة تقنية المعلومات لديها موارد كافية.
5.	يجب على المؤسسات المالية وضع خطة تدريب سنوية على تقنية المعلومات.
6.	إجراء تدريب رسمي، كحد أدنى لما يلي:
	أ.	موظفو تقنية المعلومات (الحاليون والجدد)؛ و
	ب.	المقاولون (حيثما ينطبق ذلك).
7.	يجب مراجعة خطة التدريب على تقنية المعلومات بشكل دوري.
8.	يجب توفير التدريب المتخصص للموظفين في فئات المجالات الوظيفية ذات الصلة في المؤسسة المالية بما يتماشى مع توصيفات وظائفهم، بما في ذلك:
	أ.	الموظفون المشاركون في أداء أدوار تقنية المعلومات الحرجة؛
	ب.	الموظفون المشاركون في تطوير أصول المعلومات وصيانتها (من الناحية التقنية)؛
	ج.	الموظفون المشاركون في تقييم المخاطر.

9.1.3 إدارة الأداء

المبدأ

يجب قياس كفاءة وفعالية عمليات وخدمات تقنية المعلومات في المؤسسات المالية بشكل مستمر من خلال مؤشرات الأداء الرئيسية (KPIs).

متطلبات الرقابة

1.	يجب تحديد مؤشرات الأداء الرئيسية واعتمادها وتنفيذها لقياس تنفيذ عمليات تقنية المعلومات وأداء النظام.
2.	يجب تحديد مؤشرات الأداء الرئيسية مع مراعاة ما يلي على سبيل المثال لا الحصر:
	أ.	وظيفة تقنية المعلومات والعمليات ذات الصلة؛
	ب.	كفاءة القوى العاملة وتطورها؛ و
	ج.	الامتثال للوائح التنظيمية.
3.	مؤشرات الأداء الرئيسية يجب أن يتم:
	أ.	إبلاغها إلى أقسام/وحدات تقنية المعلومات المعنية في المؤسسات المالية من أجل التنفيذ؛
	ب.	دعمها بالقيمة المستهدفة والعتبات؛
	ج.	تحليلها لتحديد أوجه الانحراف عن الأهداف والبدء في اتخاذ إجراءات علاجية؛
	د.	تحليلها لتحديد الاتجاهات في الأداء والامتثال واتخاذ الإجراءات المناسبة؛ و
	هـ.	مراقبتها وتقديم تقارير دورية بشأنها إلى الإدارة العليا واللجنة التوجيهية.

2.3 إدارة مخاطر تقنية المعلومات
إدارة مخاطر تقنية المعلومات عملية مستمرة لتحديد المخاطر المتعلقة بتقنية المعلومات وتحليلها والاستجابة لها ومراقبتها ومراجعتها من منظور العمليات والتكنولوجيا والأفراد. ويجب على المؤسسات المالية، من أجل إدارة مخاطر تقنية المعلومات، أن تقوم باستمرار بتحديد وتقييم وتقليل مخاطر تقنية المعلومات ضمن مستويات التسامح التي تحددها الإدارة العليا للمؤسسة المالية.

1.2.3 إدارة مخاطر تقنية المعلومات

المبدأ

ينبغي تحديد عملية إدارة مخاطر تقنية المعلومات والموافقة عليها وتنفيذها وإبلاغها ومواءمتها مع عملية إدارة مخاطر تقنية المعلومات في المؤسسة المالية، بما في ذلك تحديد مخاطر تقنية المعلومات وتحليلها ومعالجتها ومراقبتها ومراجعتها على فترات زمنية مناسبة.

متطلبات الرقابة

1.	يجب تحديد عملية إدارة مخاطر تقنية المعلومات والموافقة عليها وتنفيذها والإبلاغ عنها.
2.	ينبغي قياس فعالية عملية إدارة مخاطر تقنية المعلومات وتقييمها دوريًا.
3.	يجب أن تتماشى عملية إدارة مخاطر تقنية المعلومات مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
4.	يجب أن تتناول عملية إدارة مخاطر تقنية المعلومات العمليات الفرعية التالية بوضوح، بما في ذلك على سبيل المثال لا الحصر:
	أ.	تحديد المخاطر وتحليلها وتصنيفها؛
	ب.	معالجة المخاطر؛
	ج.	الإبلاغ عن المخاطر؛ و
	د.	مراقبة المخاطر وتوصيفها.
5.	يجب أن تعالج عملية إدارة مخاطر تقنية المعلومات الأصول المعلوماتية للمؤسسة المالية، بما في ذلك على سبيل المثال لا الحصر:
	أ.	العمليات التجارية والبيانات ذات الصلة؛
	ب.	تطبيقات الأعمال؛
	ج.	مكونات البنية التحتية؛ و
	د.	علاقات الأطراف الخارجية والمخاطر المرتبطة بها.
6.	يجب أن تعالج عملية إدارة مخاطر تقنية المعلومات الجانب البشري في المؤسسة المالية (أي الموظفين الدائمين، والموظفين المتعاقدين، والأطراف الخارجية).
7.	يجب أن تبدأ عملية إدارة مخاطر تقنية المعلومات ، على سبيل المثال لا الحصر، في:
	أ.	مرحلة مبكرة من تنفيذ البرنامج والمشروع؛
	ب.	قبل الشروع في إجراء تغييرات حرجة وكبيرة على أصول المعلومات؛
	ج.	وقت الاستعانة بمصادر خارجية للخدمات؛ و
	د.	قبل شراء الأنظمة والأدوات والتقنيات الناشئة الجديدة (مثل تقنية دفتر الأستاذ الموزع ((DTL، وضمان العمليات الآلية (RPA) وما إلى ذلك)
8.	يجب أن تخضع أصول المعلومات الحالية لتقييم دوري لمخاطر تقنية المعلومات بناءً على مدى أهميتها، على سبيل المثال:
	أ.	يجب تقييم جميع أصول المعلومات الحرجة والحساسة للمهام مرة واحدة على الأقل في السنة؛ و
	ب.	يجب تقييم أصول المعلومات غير الحرجة بناء على أهميتها للأعمال.
9.	يجب أن تشتمل أنشطة إدارة مخاطر تقنية المعلومات أصحاب المصلحة التاليين، على سبيل المثال لا الحصر:
	أ.	أصحاب الأعمال والمستخدمون؛
	ب.	رؤساء أقسام/وظائف تقنية المعلومات؛
	ج.	الإداريون الفنيون؛ و
	د.	المتخصصون في الأمن السيبراني.
10.	يجب على المؤسسات المالية وضع وتنفيذ الاستجابة لمخاطر تقنية المعلومات (أي التجنب والتخفيف والنقل والقبول) وكذلك استراتيجيات التحكم التي تتوافق مع قيمة أصول المعلومات ورغبة المؤسسات المالية في المخاطرة.
11.	يجب تحديد مؤشرات المخاطر الرئيسية لتقنية المعلومات (KRIs) وتنفيذها ومراقبتها.

2.2.3 تحديد المخاطر وتحليلها

المبدأ

يجب تحديد أصول المعلومات وتسجيلها والحفاظ عليها حتى يتسنى جمع المعلومات حول التهديدات ذات الصلة، ويجب تحليل الضوابط الحالية والمخاطر المرتبطة بها بناءً على احتمالية حدوثها والتأثير الناتج.

متطلبات الرقابة

1.	يجب أن يتم تحديد مخاطر تقنية المعلومات وتوثيقها وتحديثها بشكل دوري في سجل المخاطر المركزي الرسمي.
2.	يجب تحديث سجل مخاطر تقنية المعلومات بانتظام.
3.	يجب أن يتناول تحليل مخاطر تقنية المعلومات ما يلي، على سبيل المثال لا الحصر:
	أ.	وصف أصول المعلومات وتصنيفها؛
	ب.	التهديد (التهديدات) المحتملة لأصول المعلومات؛
	ج.	التأثير والاحتمالية؛
	د.	ضوابط تقنية المعلومات الحالية؛
	هـ.	مالك المخاطر (صاحب العمل أو العملية)؛
	و.	مالك التنفيذ (جهة التحكم)؛ و
	ز.	المخاطر الكامنة والمتبقية المتعلقة بأصول المعلومات.

3.2.3 معالجة المخاطر

المبدأ

ينبغي معالجة مخاطر تقنية المعلومات المرتبطة بأصول المعلومات الخاصة بالمؤسسة المالية بشكل مناسب بناءً على المعايير المعمول بها (أي قبولها أو تجنبها أو نقلها أو تخفيفها).

متطلبات الرقابة

1.	يجب تحديد خطة معالجة مخاطر تقنية المعلومات والموافقة عليها والإبلاغ بها.
2.	يجب تنفيذ خطة معالجة مخاطر تقنية المعلومات وتقييمها دوريًا.
3.	يجب التعامل مع مخاطر تقنية المعلومات وفقًا لرغبة المؤسسة المالية في المخاطرة والتي حددها صاحب وظيفة الحوكمة ذات الصلة ووافقت عليها اللجنة التوجيهية.
4.	يجب أن تتضمن خطة معالجة مخاطر تقنية المعلومات التصميم والتنفيذ التفصيلي للضوابط اللازمة للتخفيف من المخاطر المحددة.
5.	يجب أن تضمن خطة معالجة مخاطر تقنية المعلومات أن قائمة خيارات معالجة المخاطر موثقة رسميًا (أي قبول المخاطر أو تجنبها أو نقلها أو تخفيفها من خلال تطبيق ضوابط تقنية المعلومات).
6.	يجب أن يكون قبول المخاطر هو الأقل تفضيلاً على تخفيف المخاطر من خلال تنفيذ الضوابط الأولية.
7.	يجب أن يتم توثيق قبول مخاطر تقنية المعلومات رسميًا واعتماده وتوقيعه من قبل صاحب العمل وإبلاغه إلى لجنة المخاطر، مما يضمن ما يلي:
	أ.	تقديم مبرر تفصيلي لقبول المخاطر، بما في ذلك على سبيل المثال لا الحصر ما يلي:
		1.	أثر عدم تطبيق الضوابط الرئيسية (أي من الناحية التشغيلية والمالية والمتعلق بالسمعة)؛ و
		2.	الضوابط التعويضية بدلاً من الضوابط الأولية لتخفيف المخاطر.
	ب.	مخاطر تقنية المعلومات مقبولة ضمن حدود رغبة المؤسسة المالية في المخاطرة؛
	ج.	عدم تعارض مخاطر تقنية المعلومات المقبولة مع لوائح البنك المركزي؛
	د.	توثيق استثناء منفصل لكل خطر فريد؛
	هـ.	تجديد قبول المخاطر بشكل دوري؛ و
	و.	عرض قبول المخاطر على لجنة المخاطر وإبلاغها به.
8.	يجب أن يتضمن تجنب مخاطر تقنية المعلومات قرارًا من صاحب العمل ولجنة المخاطر بإلغاء أو تأجيل نشاط أو مشروع معين يؤدي إلى مخاطر غير مقبولة في مجال تقنية المعلومات على الشركة.
9.	يجب أن يتوفر في نقل أو مشاركة مخاطر تقنية المعلومات ما يلي:
	أ.	مشاركة مخاطر تقنية المعلومات مع مقدمي الخدمات ذوي الصلة (الداخليين أو الخارجيين)؛ و
	ب.	الموافقة عليه من قبل مقدمي الخدمات المتلقيين (الداخليين أو الخارجيين).
10.	يجب أن يتضمن تطبيق ضوابط تقنية المعلومات بغرض التخفيف من مخاطر تقنية المعلومات ما يلي:
	أ.	تحديد الضوابط المناسبة لتقنية المعلومات؛
	ب.	تقييم نقاط القوة والضعف في ضوابط تقنية المعلومات؛
	ج.	اختيار الضوابط المناسبة لتقنية المعلومات؛ و
	د.	توثيق أي مخاطر متبقية والحصول على الموافقة على صاحب العمل ولجنة المخاطر عليها.
11.	يجب توثيق إجراءات معالجة مخاطر تقنية المعلومات في خطة معالجة المخاطر.

4.2.3 الإبلاغ عن المخاطر/مراقبتها وتوصيفها

المبدأ

يجب التعامل مع مخاطر تقنية المعلومات وفقًا لخطط العلاج المحددة ويجب مراجعتها ومراقبتها والإبلاغ عنها بشكل فعال.

متطلبات الرقابة

1.	يجب توثيق نتائج تقييم مخاطر تقنية المعلومات رسميًا وإبلاغها إلى أصحاب الأعمال المعنيين والإدارة العليا.
2.	يجب أن تتضمن نتائج تقييم مخاطر تقنية المعلومات المخاطر والتأثير والاحتمالية والتخفيف من المخاطر وحالة المعالجة.
3.	يجب مراقبة مخاطر تقنية المعلومات من حيث، على سبيل المثال لا الحصر:
	أ.	تتبع التقدم وفقًا لخطة معالجة المخاطر؛ و
	ب.	يتم تنفيذ ضوابط تقنية المعلومات المختارة والمتفق عليها.
4.	يجب مراقبة التصميم والفعالية التشغيلية لضوابط تقنية المعلومات المنقحة أو المطبقة حديثًا ومراجعتها بشكل دوري.
5.	يجب على أصحاب الأعمال المعنيين قبول نتائج تقييم مخاطر تقنية المعلومات.
6.	يجب المصادقة على نتائج تقييم مخاطر تقنية المعلومات من قبل لجنة المخاطر.
7.	يجب تحديد مؤشرات المخاطر الرئيسية لتقنية المعلومات (KRIs) وتنفيذها ومراقبتها.
8.	يجب تقديم ملف تعريف مخاطر تقنية المعلومات والبيانات ذات الصلة كمدخل إلى قسم المخاطر التشغيلية لصياغة ملف تعريف المخاطر على مستوى المؤسسة.
9.	ينبغي صياغة ملف تعريف مخاطر تقنية المعلومات وتقديمه إلى الإدارة العليا واللجنة التوجيهية ومجلس الإدارة دوريًا.

3.3 إدارة العمليات
يمكن تعريف إدارة عمليات تقنية المعلومات على أنها الوظيفة المسؤولة عن الإدارة والصيانة المستمرة للتطبيقات والبنى التحتية لتقنية المعلومات بالمؤسسة المالية لضمان تقديم المستوى المتفق عليه من خدمات تقنية المعلومات إلى الأعمال. ومن ثم، يجب أن تعالج المؤسسات المالية عوامل مخاطر تقنية المعلومات من خلال الإدارة والرقابة الفعالة.

1.3.3 إدارة الأصول

المبدأ

يجب إنشاء عملية إدارة الأصول لتوفير رؤية واضحة حول أصول المعلومات الخاصة بالمؤسسة المالية من خلال الحفاظ على قائمة جرد دقيقة وحديثة.

متطلبات الرقابة

1.	يجب تحديد عملية إدارة الأصول والموافقة عليها وتنفيذها والإبلاغ عنها.
2.	تجب مراقبة فعالية عملية إدارة الأصول وقياسها وتقييمها بشكل دوري.
3.	يجب أن تتضمن عملية إدارة الأصول، على سبيل المثال لا الحصر، ما يلي:
	أ.	تأهيل الأصول؛
	ب.	تحديد الأصول وتصنيفها ووسمها والتعامل معها؛
	ج.	التخلص من الأصول؛ و
	د.	وقف تشغيل الأصول.
4.	يجب أن يوفر سجل الأصول مستوى من التفاصيل، بما في ذلك (على سبيل المثال لا الحصر):
	أ.	اسم الأصل؛
	ب.	مالك الأصل؛
	ج.	أمين الأصل؛ أهمية الأصل؛
	د.	الموقع الفعلي للأصل ؛
	هـ.	الموقع المنطقي للأصل (منطقة الشبكة)؛
	و.	الأصل محدد على أنه مباشر ضمن نطاق صناعة بطاقات الدفع؛
	ز.	الأصل محدد على أنه مباشر ضمن نطاق صناعة بطاقات الدفع ؛
	ح.	معلومات التوفر أو النسخ الاحتياطي؛
	ط.	معلومات عقد الخدمة أو الترخيص؛
	ي.	الاتصالات التقنية (نظام التشغيل، والتطبيقات، وقاعدة البيانات، والشبكة)؛
	ك.	العمليات الأولية والثانوية التي يدعمها الأصل؛
	ل.	وقت التوقف المقبول عن العمل المتوافق مع إدارة استمرارية الأعمال - تحليل أثر أنقطاع الأعمال حيثما ينطبق ذلك؛
	م.	التأثير المالي لكل ساعة في حالة التوقف؛
	ن.	رقم عقد تكليف المورد؛
	س.	تفاصيل جهة التواصل مع المورد؛
	ص.	تفاصيل اتفاقية مستوى الخدمة الخاصة بالمورد؛ و
	ض.	تفاصيل تصنيف المورد.
5.	يجب الاحتفاظ بسجل الأصول وتحديثه على أساس سنوي، أو كلما تم إدخال أي أصل أو إزالته من المخزون.
6.	يجب على المؤسسات المالية:
	أ.	تعيين معايير تحديد الأصول الحيوية؛
	ب.	تحديد وصيانة وتحديث دوريًا القائمة الشاملة للأصول الحيوية؛
	ج.	مراقبة أداء الأصول الحيوية بشكل استباقي؛ و
	د.	ضمان وجود تدابير مرونة كافية للأصول الحيوية للحفاظ على توافر الخدمات الحيوية المطلوبة.
7.	يجب أن يكون مالك الأصل مسؤولاً ، على سبيل المثال لا الحصر، عما يلي:
	أ.	تصنيف ووسم الأصل؛
	ب.	تحديد ومراجعة حقوق الوصول والقيود، ومراعاة سياسات التحكم في الوصول المعمول بها في المؤسسات المالية؛
	ج.	التفويض بالتغييرات المتعلقة بالأصول؛ و
	د.	ضمان التوافق مع ضوابط الأمن السيبراني.
8.	يجب التخلص من الأصول بطريقة محكمة وآمنة عند انتهاء عمرها الإنتاجي وعند الوفاء بالالتزامات الأخرى ذات الصلة.

2.3.3 الاعتمادات المتبادلة
المبدأ
يجب تحديد الاعتمادات المتبادلة بين أصول المعلومات الحيوية وإدارتها من خلال نموذج الحوكمة لضمان توافر عمليات الأعمال.
متطلبات الرقابة
1. يجب على المؤسسات المالية تحديد وتنفيذ نموذج حوكمة قوي في ضوء ترابطها مع أصحاب المصلحة المعنيين (مثل مقدمي الخدمات والمؤسسات الحكومية وغيرها)
2. يجب على المؤسسات المالية تحديد الاعتمادات المتبادلة بين أصول المعلومات الهامة الخاصة بها.
3. وكجزء من الاختبارات التسعة والثمانون، يجب على المؤسسات أن تأخذ بعين الاعتبار الترابط بين سيناريوهات أصول المعلومات الحيوية ضمن بنيتها التحتية.
ملحوظة: لمزيد من متطلبات التحكم من أجل تحسين الصمود الشامل، يرجى الرجوع إلى الدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.

3.3.3 إدارة اتفاقيات مستوى الخدمة

المبدأ

يجب الاتفاق رسميًا على الشروط والأحكام التعاقدية التي تحكم الأدوار والعلاقات والالتزامات والمسؤوليات الخاصة بأصحاب المصلحة الداخليين والأطراف الخارجية، وتطويرها وضبطها بشكل كافٍ.

متطلبات الرقابة

1.	يجب تحديد اتفاقية مستوى خدمة تقنية المعلومات الداخلية رسميًا والموافقة عليها وإبلاغها إلى إدارة الأعمال ذات الصلة في المؤسسات المالية.
2.	يجب مراقبة وقياس وتقييم مدى فعالية اتفاقية مستوى الخدمة الداخلية لتقنية المعلومات.
3.	يجب أن تتضمن اتفاقية مستوى الخدمة الداخلية لتقنية المعلومات ما يلي، على سبيل المثال لا الحصر:
	أ.	مستوى الخدمة المتفق عليه بين وظائف الأعمال وقسم تقنية المعلومات؛
	ب.	أهداف محددة وقابلة للقياس لخدمات تقنية المعلومات مقابل مؤشرات الأداء الرئيسية المحددة؛ و
	ج.	أدوار ومسؤوليات أصحاب المصلحة في قطاع الأعمال وتقنية المعلومات.
4.	يجب تحديد عملية العلاقة مع الطرف الخارجي والموافقة عليها وتنفيذها والإبلاغ عنها.
5.	يجب مراقبة فعالية عملية العلاقة مع الطرف الخارجي وقياسها وتقييمها بشكل دوري.
6.	يجب تحديد اتفاقية مستوى الخدمة الرسمية وتوقيعها مع الطرف الخارجي.
7.	يجب أن تغطي عملية العلاقة مع الطرف الخارجي المتطلبات التالية، على سبيل المثال لا الحصر:
	أ.	يجب أن يكون لدى مقدمي الخدمات المعنيين بالاستعانة بمصادر خارجية عملية مناسبة لضمان توافر وحماية البيانات والتطبيقات التي يتم الاستعانة بمصادر خارجية لها؛
	ب.	إعداد التقارير الدورية ومراجعة وتقييم المتطلبات المتفق عليها تعاقديًا (في اتفاقيات مستوى الخدمة)؛
	ج.	التغييرات في تقديم الخدمات المقدمة؛
	د.	تنفيذ تقييم المخاطر كجزء من عملية الشراء؛
	هـ.	عملية التصعيد في حالة انتهاك اتفاقية مستوى الخدمة؛
	و.	الضمانات الإدارية والمادية والفنية التي تحمي بشكل معقول ومناسب سرية المعلومات وسلامتها وتوافرها؛
	ز.	ضمان قانوني من الطرف الخارجي لتقديم الدعم في الموقع الذي يفرض وجود مهندس دعم معتمد وذو خبرة في الموقع ضمن جدول زمني محدد لدعم المؤسسات المالية في المواقف السلبية؛
	ح.	الخروج من العقد أو إنهائه أو تجديده (بما في ذلك اتفاقيات الضمان إن وجدت)؛
	ط.	الامتثال لأطر العمل المعمول بها بما في ذلك على سبيل المثال لا الحصر الدليل االتنظيمي لأمن المعلومات للبنك المركزي والدليل التنظيمي لإدارة استمرارية الأعمال والدليل التنظيمي لحوكمة تقنية المعلومات - والقوانين واللوائح المعمول بها؛
	ي.	الحق في التدقيق (المؤسسات المالية أو جهة مستقلة)؛ و
	ك.	اتفاقية عدم الإفصاح ("NDA").

4.3.3 إدارة توافر وسعة تقنية المعلومات

المبدأ

يجب الحفاظ على توافر الخدمة لدعم وظائف أعمال المؤسسات المالية وتجنب تعطل وبطء أداء الأنظمة من خلال مراقبة عتبات النظام الحالية والتنبؤ بمتطلبات الأداء والسعة المستقبلية.

متطلبات الرقابة

1.	ينبغي تحديد عملية إدارة توافر وسعة تقنية المعلومات والموافقة عليها وتنفيذها.
2.	يجب مراقبة فعالية عملية إدارة توافر وسعة تقنية المعلومات وقياسها وتقييمها بشكل دوري.
3.	يجب وضع خطة توافر وسعة تقنية المعلومات واعتمادها وتقييمها دورياً.
4.	يجب تحديد خطة توافر وسعة تقنية المعلومات لمعالجة ما يلي، على سبيل المثال لا الحصر:
	أ.	السعة الحالية للأنظمة والموارد؛
	ب.	المواءمة مع احتياجات العمل الحالية والمستقبلية؛
	ج.	متطلبات التوافر العالية (بما في ذلك تعطل وبطء قنوات العملاء)؛
	د.	الأدوار والمسؤوليات اللازمة للحفاظ على الخطة؛ و
	هـ.	تحديد التبعيات على مقدمي الخدمات كجزء من تخطيط السعات لمعالجة متطلبات إدارة استمرارية الأعمال.
5.	يجب تحديد عتبات أداء النظام وتنفيذها.
6.	يجب مراقبة أداء النظام مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
	أ.	متطلبات العمل الحالية والمستقبلية؛
	ب.	اتفاقية مستوى الخدمة المتفق عليها مع الشركة؛
	ج.	البنى التحتية الحيوية لتقنية المعلومات؛
	د.	تعطل وبطء في النظام (النظم) الأساسية التي تدعم قنوات العملاء؛ و
	هـ.	الدروس المستفادة من مشكلات أداء النظام السابقة.
7.	يجب تحديد الانحرافات عن خطوط الأساس/عتبات السعة والأداء المحددة وتوثيقها ومتابعتها وإبلاغ الإدارة ولجنة خدمات تقنية المعلومات.

5.3.3 إدارة مركز البيانات

المبدأ

يتم تصميم وتنفيذ ضوابط مادية كافية لحماية مرافق ومعدات تقنية المعلومات من التلف والوصول غير المصرح به.

متطلبات الرقابة

1.	يجب تحديد الضوابط المادية والبيئية لإدارة مركز البيانات والموافقة عليها وتنفيذها.
2.	يجب رصد الضوابط المادية والبيئية وتقييمها بشكل دوري.
3.	يجب تنفيذ الضوابط المادية والبيئية اللازمة مثل على سبيل المثال لا الحصر:
	أ.	يجب أن يكون الوصول إلى مركز البيانات خاضعًا لرقابة صارمة ومتاحًا على أساس الحاجة إلى المعرفة؛
	ب.	يجب تسجيل دخول الزائرين إلى مركز البيانات ومرافقتهم من قبل شخص مخول؛
	ج.	أجهزة كشف الدخان؛
	د.	الحريق؛
	هـ.	طفايات الحريق؛
	و.	مراقبة الرطوبة؛
	ز.	مراقبة درجة الحرارة. و
	ح.	الدوائر التلفزيونية المغلقة.
4.	يجب أن يتوافق إسناد المهام لمركز البيانات مع المتطلبات المنشورة في تعاميم البنك المركزي بشأن تعليمات إسناد المهام إلى طرف ثالث والدليل التنظيمي لأمن المعلومات.
5.	يجب على المؤسسات المالية التأكد من تضمين تدابير الرقابة المناسبة في العقود المبرمة مع مقدمي الخدمات الذين يخططون لإسناد مهام مركز البيانات والتي تشمل على سبيل المثال لا الحصر:
	أ.	وجود حالة عمل موثقة لإسناد مهام خدمات مركز البيانات؛ و
	ب.	طبيعة ونوعية الوصول إلى مركز البيانات من قبل مزود الخدمة.

6.3.3 بنية الشبكة ومراقبتها

المبدأ

يجب تصميم ضوابط إدارة أحداث تقنية المعلومات وبنية الشبكة وتنفيذها لمراقبة عمليات تقنية المعلومات بشكل مستمر من أجل حماية شبكة المؤسسات المالية من الوصول غير المصرح به.

متطلبات الرقابة

1.	يجب على المؤسسات المالية تحديد سياسة هيكلية الشبكة والموافقة عليها وتنفيذها مع مراعاة ما يلي:
	أ.	موقف المؤسسة فيما يتعلق بالاستخدام المقبول للشبكة؛
	ب.	قواعد صريحة للاستخدام الآمن لموارد وخدمات وتطبيقات محددة للشبكة؛
	ج.	عواقب عدم الامتثال للقواعد الأمنية؛
	د.	موقف المؤسسة من إساءة استخدام الشبكة؛ و
	هـ.	الأساس (الأسس) المنطقية للسياسة ولأي قواعد أمنية محددة.
2.	يجب على المؤسسات المالية التأكد من تنفيذ ضوابط هيكلية الشبكة التالية، والتي تشمل على سبيل المثال لا الحصر:
	أ.	رسم تخطيطي للشبكة يوضح البنية التحتية الحالية الكاملة؛
	ب.	تجزئة الشبكة إلى نطاقات شبكية متعددة منفصلة بناءً على مستويات الثقة المطلوبة (8.6 النطاق العام، ونطاق سطح المكتب، ونطاق الخادم) وبما يتماشى مع المبادئ التصميمية ذات الصلة؛
	ج.	يجب أن يكون محيط كل نطاق من نطاقات الشبكة محميًا بشكل جيد بواسطة بوابة أمان (مثل جدار الحماية، موجه التصفية). وبالنسبة لكل بوابة أمنية، يجب وضع وتنفيذ قواعد منفصلة للوصول إلى الخدمة (الأمان) لضمان عدم السماح بمرور سوي حركة المرور المصرح بها؛
	د.	كافة حركات المرور الداخلية (مستخدمو المكتب الرئيسي، ومستخدمو الفرع، ومستخدمو الطرف الخارجي، إلخ) المارة إلى الشبكة الفرعية المراقبة أو الخوادم الداخلية يجب أن تمر عبر بوابتين أمنيتين (جدار الحماية)؛
	هـ.	يتم توجيه جميع عمليات الوصول إلى الإنترنت الصادرة من الشبكات الداخلية عبر خادم وكيل بحيث لا يُسمح بالوصول إلا للمستخدمين المعتمدين المصادق عليهم؛
	و.	يجب عزل شبكة الزائرين (الشبكة السلكية/اللاسلكية) وفصلها عن الشبكة الداخلية؛
	ز.	يجب أن يقوم جدار الحماية المحيط بالشبكة الفرعية المراقبة بإطلاق تنبيه وحظر المسح النشط ؛
	ح.	يجب تنفيذ جدار حماية تطبيقات الويب (WAF) ضد التطبيقات التي تواجه العملاء؛
	ط.	ضمان عدم وجود نقطة فشل مفردة تؤثر على توافر الخدمة الحرجة؛
	ي.	يجب نشر خادم مصادقة مركزي (AAA أو TACACS أو RADIUS، إلخ) لإدارة المصادقة والترخيص لأجهزة الشبكة؛
	ك.	يجب نشر خادم السجل المركزي (على سبيل المثال، خادم سجل النظام) لجمع السجلات وتخزينها من جميع أجهزة الشبكة؛
	ل.	يجب أن تبلغ فترة الاحتفاظ بالسجلات 12 شهرًا كحد أدنى؛
	م.	يجب على جميع أجهزة الشبكة مزامنة توقيتات الساعة الخاصة بها من خادم بروتوكول وقت الشبكة مركزي؛
	ن.	يجب أن تكون جميع اتصالات الشبكة عبر الشبكة الخارجية (WLAN) والإنترنت من خلال قناة مشفرة؛
	س.	يجب أن يقتصر الوصول عن بعد على مجموعة معينة من عناوين بروتوكول الإنترنت؛
	ص.	يجب أن تكون الإدارة عن بعد عبر قناة مشفرة (مثل SSL VPN وSSH)؛
	ش.	يجب أن يكون الوصول إلى الإدارة عن بعد للموردين محددًا بفترة زمنية ويتم منحه على أساس الحاجة إلى جانب أخذ الموافقة؛
	ض.	فحص أجهزة المؤسسة المالية قبل الدخول إلى الشبكة لضمان تطبيق السياسات الأمنية على الأجهزة قبل دخولها إلى شبكة المؤسسة؛ و
	ظ.	الفصل بين الواجبات داخل مكون البنية التحتية (مدعومًا بمصفوفة موثقة لملف التفويض).
3.	يجب على المؤسسات المالية التأكد من مراقبة الشبكة مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
	أ.	المسارات الإدارية بما في ذلك مسارات تسجيل الدخول والنشاط (مثل تغيير التكوين، وتغيير القاعدة، وما إلى ذلك)؛
	ب.	استخدام الموارد (المعالج والذاكرة)؛ و
	ج.	ربط الشبكة بجميع الفروع وأجهزة الصراف الآلي.

7.3.3 المعالجة الدفعية

المبدأ

يجب تحديد عملية الإدارة الدفعية والموافقة عليها وتنفيذها من أجل إدارة المعالجة المجمعة للمهام المؤتمتة بطريقة فعالة ومضبوطة.

متطلبات الرقابة

1.	يجب تحديد عملية الإدارة الدفعية والموافقة عليها وتنفيذها والإبلاغ عنها.
2.	يجب قياس فعالية عملية الإدارة الدفعية وتقييمها بشكل دوري.
3.	يجب أن تتضمن عملية الإدارة الدفعية ما يلي، على سبيل المثال لا الحصر:
	أ.	جداول بداية ونهاية اليوم؛
	ب.	الأدوار والمسؤوليات؛
	ج.	مراقبة الدفعات؛ و
	د.	معالجة الخطأ أو الاستثناء.
4.	يجب أن تتم الموافقة على التغييرات في جداول الدفعات من قبل أصحاب المصلحة المعنيين.
5.	يجب على المؤسسات المالية الاحتفاظ بسجل يحتوي على معلومات حول العمليات المجمعة لبداية ونهاية اليوم بالإضافة إلى حالته 8.6. (ناجحة أو فاشلة).

8.3.3 إدارة حوادث تقنية المعلومات

المبدأ

ينبغي إنشاء عملية إدارة حوادث تقنية المعلومات حتى يتسنى تحديد حوادث تقنية المعلومات التي تؤثر على أصول المعلومات الخاصة بالمؤسسة المالية والاستجابة لها والتعامل معها في الوقت المناسب، والإبلاغ عن الحوادث ذات الصلة إلى البنك المركزي، وفقًا لبروتوكول اتصال محدد.

متطلبات الرقابة

1.	يجب تحديد عملية إدارة حوادث تقنية المعلومات والموافقة عليها وتنفيذها والإبلاغ عنها.
2.	يجب قياس فعالية عملية إدارة حوادث تقنية المعلومات وتقييمها بشكل دوري.
3.	يجب أن تتضمن عملية إدارة حوادث تقنية المعلومات المتطلبات التالية، على سبيل المثال لا الحصر:
	أ.	تشكيل فريق معين مسؤول عن إدارة الحوادث؛
	ب.	خطة تواصل؛
	ج.	تفاصيل الموظفين الرئيسيين الذين يتعين إخطارهم؛
	د.	الموظفون المهرة والمدربون (باستمرار)؛
	هـ.	تحديد أولويات الحوادث وتصنيفها؛
	و.	التعامل مع الحوادث في الوقت المناسب، وتسجيل ورصد التقدم المحرز؛
	ز.	حماية الأدلة والتسجيلات ذات الصلة؛
	ح.	أنشطة ما بعد وقوع الحوادث مثل تحليل الأسباب الجذرية للحوادث؛ و
	ط.	الدروس المستفادة.
4.	يجب أتمتة عملية إدارة حوادث تقنية المعلومات من خلال مكتب خدمة تقنية المعلومات مثلاً.
5.	يجب إنشاء عملية لتوثيق تفاصيل الحادث، ويجب إبلاغ موظفي تقنية المعلومات المعنيين بالخطوات المتخذة المثمرة وغير والمثمرة على حد سواء من أجل اكتساب الخبرة العملية وكذلك للرجوع إليها في المستقبل لتعزيز الكفاءة.
6.	يجب تسجيل جميع طلبات المستخدم وحوادث تقنية المعلومات بالمعلومات التالية على سبيل المثال لا الحصر:
	أ.	رقم مرجعي فريد؛
	ب.	التاريخ والوقت؛
	ج.	اسم الخدمات والأنظمة المتأثرة؛
	د.	تحديث المالك المعني؛ و
	هـ.	التصنيف وترتيب الأولويات بناءً على مدى إلحاحها وتأثيرها.
7.	يجب تتبع جميع حوادث تقنية المعلومات وحلها وفقًا لمستوى الخدمة المتفق عليه.
8.	يجب إشراك فرق المؤسسات المالية ذات الصلة (عند الاقتضاء) لضمان التعامل المناسب مع الحادث.
9.	يجب على المؤسسات المالية إبلاغ "الإدارة العامة لمراقبة المخاطر السيبرانية" فور تحديد حادثة مصنفة على أنها "متوسطة" أو أعلى من ذلك والتي لها تأثير على العملاء، وفقًا الدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.
10.	يجب على المؤسسات المالية إبلاغ "الإدارة العامة لمكافحة المخاطر السيبرانية" فور تحديد تعطيل وبطء في تطبيق و/أو تطبيقات مهمة من شأنها التأثير على العملاء.
11.	يجب على المؤسسات المالية إخطار "الإدارة العامة لمكافحة المخاطر السيبرانية" قبل الكشف عن أي معلومات حول الحادث لوسائل الإعلام.
12.	يجب على المؤسسات المالية تقديم تقرير تفصيلي عن الحادث خلال خمسة (5) أيام إلى "الإدارة العامة لمكافحة المخاطر السيبرانية"، بما في ذلك التفاصيل التالية كحد أدنى:
	أ.	عنوان الحادث؛
	ب.	تحديد وتصنيف وتحديد أولويات الحادث؛
	ج.	تسجيل ومراقبة الحادث؛
	د.	حل وإغلاق الحادث؛
	هـ.	تقييم التأثير مثل الأمور المالية و/أو والمتعلقة بالبيانات و/أو العملاء و/أو السمعة؛
	و.	تاريخ ووقت الحادث؛
	ز.	اسم الخدمات والأنظمة المتأثرة؛
	ح.	تحليل السبب الجذري؛ و
	ط.	الإجراءات التصحيحية مع التواريخ المستهدفة.

9.3.3 إدارة المشكلات

المبدأ

يجب تحديد معايير وإجراءات الإبلاغ عن المشكلات للحد من الحوادث المتكررة وتقليل تأثير الحوادث على المؤسسات المالية.

متطلبات الرقابة

1.	يجب تحديد عملية إدارة المشكلات والموافقة عليها وتنفيذها والإبلاغ عنها.
2.	يجب قياس مدى فعالية عملية إدارة المشكلات وتقييمها بشكل دوري.
3.	يجب أن تتضمن عملية إدارة المشكلات المتطلبات التالية على سبيل المثال لا الحصر:
	أ.	تحديد المشكلة وتصنيفها وتحديد أولوياتها؛
	ب.	تسجيل المشكلة ورصدها؛
	ج.	حل المشكلة وإغلاقها؛
	د.	حماية الأدلة والسجلات ذات الصلة؛
	هـ.	تقييم التأثير مثل الأمور المالية و/أو والمتعلقة بالبيانات و/أو العملاء و/أو السمعة؛
	و.	تاريخ ووقت المشكلة؛
	ز.	اسم الخدمات والأنظمة المتأثرة؛
	ح.	تحليل السبب الجذري؛ و
	ط.	الإجراءات التصحيحية.
4.	يجب أن تحتفظ المؤسسات المالية بقاعدة بيانات لسجلات الأخطاء المعروفة.

10.3.3 النسخ الاحتياطي للبيانات وإمكانية استعادتها

المبدأ

يجب تحديد واعتماد وتنفيذ استراتيجية إدارة النسخ الاحتياطي للبيانات إلى جانب إجراءات النسخ الاحتياطي والاستعادة لضمان موثوقية بيانات المؤسسات المالية وتوافرها وإمكانية استعادتها.

متطلبات الرقابة

1.	يجب تحديد استراتيجية إدارة النسخ الاحتياطي للبيانات والموافقة عليها وتنفيذها.
2.	يجب أن تراعي سياسة إدارة النسخ الاحتياطي للبيانات ما يلي، على سبيل المثال لا الحصر:
	أ.	التوافق مع الدليل التنظيمي لإدارة استمرارية الأعمال الخاص بالبنك المركزي؛
	ب.	تنفيذ قدرات النسخ المتماثل والنسخ الاحتياطي والاسترداد؛
	ج.	مخزن البيانات؛
	د.	استرجاع البيانات؛ و
	هـ.	الاحتفاظ بالبيانات وفقًا للمتطلبات القانونية والتنظيمية والتجارية.
3.	يجب تحديد إجراءات النسخ الاحتياطي والاستعادة والموافقة عليها وتنفيذها.
4.	يجب قياس فعالية إجراء النسخ الاحتياطي والاستعادة وتقييمها بشكل دوري.
5.	يجب على المؤسسات المالية تحديد متطلبات النسخ الاحتياطي والاستعادة الخاصة بها مع الأخذ في الاعتبار ما يلي، على سبيل المثال لا الحصر:
	أ.	المتطلبات القانونية والتنظيمية؛
	ب.	متطلبات العمل بما يتماشى مع نقطة التعافي المستهدفة (RPO) المتفق عليها؛
	ج.	نوع النسخ الاحتياطية (دون اتصال بالإنترنت، عبر الإنترنت، كامل، تزايدي، وما إلى ذلك)؛ و
	د.	جدول النسخ الاحتياطي (يومي، أسبوعي، شهري، الخ).
6.	يجب على المؤسسات المالية التأكد من عمل نسخة احتياطية من المعلومات التالية على الأقل:
	أ.	التطبيقات؛
	ب.	برامج أنظمة التشغيل؛
	ج.	قواعد بيانات؛ و
	د.	تكوينات الجهاز.
7.	في حالة نسخ البيانات بين الموقع الرئيسي وموقع استرداد البيانات بعد الكوارث، يجب على المؤسسات المالية التأكد من حل جميع مشكلات النسخ في الوقت المناسب بحيث تكون البيانات الموجودة في موقع استرداد البيانات بعد الكوارث متزامنة مع الموقع الرئيسي وفقًا لنقطة التعافي المستهدفة (RPO) ووقت التعافي المستهدف (RTO).
8.	يجب على المؤسسات المالية التأكد من أن أوقات التعافي المستهدفة للخدمات الحيوية مثل أنظمة الدفع والخدمات المتعلقة بالعملاء وما إلى ذلك محددة بشكل مناسب مع مراعاة التوافرية العالية للعمليات الداعمة والحد الأدنى من التعطيل في حالة وقوع كارثة.
9.	يجب على المؤسسة المالية التأكد من وجود استثمارات كافية من منظور الأشخاص والعمليات والتقنية لتحقيق أوقات التعافي المستهدفة.
10.	يجب على المؤسسات المالية تنفيذ آلية بديلة للنسخ الاحتياطي والتكرار (مثل تفريغ المعاملات بالإضافة إلى النسخ الاحتياطي الكامل لقاعدة البيانات).
11.	يجب على المؤسسات المالية إجراء اختبارات دورية والتحقق من قدرة وسائط النسخ الاحتياطي على التعافي.
12.	يجب أن يتم تصنيف وسائط النسخ الاحتياطي بشكل مناسب.
13.	يجب تشفير وسائط النسخ الاحتياطي، بما في ذلك أقراص التخزين الخارجية (USB)، التي تحتوي على معلومات حساسة أو سرية قبل نقلها إلى خارج الموقع لتخزينها.

11.3.3 المحاكاة الافتراضية

المبدأ

يجب تحديد عملية رسمية لإنشاء الصور الافتراضية أو اللقطات أو الحاويات الافتراضية وتوزيعها وتخزينها واستخدامها وسحبها وإدارتها بطريقة خاضعة للرقابة وآمنة.

متطلبات الرقابة

يجب تحديد عملية لإعداد بيئة افتراضية ونشرها وتهيئتها والموافقة عليها وتنفيذها وإبلاغها من قبل المؤسسات المالية.
ويجب أن تخضع العملية لسياسات وإجراءات ومعايير محددة جيدا.
يجب قياس مدى فعالية عملية المحاكاة الافتراضية أو عملية التعئبة بالحاويات وتقييمها بشكل دوري.
يجب تزويد جميع المكونات الافتراضية المنشورة في المؤسسات المالية بنفس مستوى الأمان الذي تتمتع به البيئة غير الافتراضية.
يجب تكوين جميع المكونات الافتراضية بشكل ملائم باستخدام معايير الأمان الأساسية الدنيا المحددة والمعتمدة (MBSS) الخاصة بالمحاكاة الافتراضية أو التعبئة بالحاويات.
يجب تنفيذ آلية مصادقة قوية ومنح حق الوصول على أساس الحاجة إلى المعرفة أو على أساس أقل امتيازات لجميع البيئات الافتراضية بما في ذلك نظام التشغيل المضيف، ومراقب الأجهزة الافتراضية، وأنظمة تشغيل الضيف وأي مكونات أخرى ذات صلة.
يجب التعامل مع إنشاء الصور واللقطات الافتراضية وتوزيعها وتخزينها واستخدامها وسحبها وإتلافها بطريقة خاضعة للرقابة وآمنة.
يجب مراعاة ما يلي كجزء من المحاكاة الافتراضية/التعبئة بالحاويات، على سبيل المثال لا الحصر:

أ.	يجب التحكم في الوصول الإداري بإحكام حيث يجب تقييد الوصول عبر المسؤول المحلي؛
ب.	يجب أن تقتصر إدارة برامج مراقبة الأجهزة الافتراضية على المسؤولين فقط؛
ج.	يجب أن تكون بيئة الاختبار الافتراضية منفصلة ماديًا و/أو منطقيًا عن بيئة الإنتاج، بل ويجب ألا تعمل على نفس المضيف؛
د.	يجب تعطيل البرامج والخدمات غير الضرورية على الأجهزة الافتراضية ما لم تسمح الشركة بذلك؛
هـ.	يجب تمكين تسجيل التدقيق ومراقبته لجميع الأجهزة الافتراضية التي يجب أن تتضمن على سبيل المثال لا الحصر:
	1.	الإنشاء والنشر والإزالة؛
	2.	الأنشطة الجذرية والإدارية؛ و
	3.	إنشاء كائنات على مستوى النظام وتعديلها وحذفها.
و.	يجب وضع الضوابط المناسبة لحماية البيانات الحساسة والحيوية التي يتم استخدامها وإدارتها من خلال الصور الافتراضية أو اللقطات؛ و
ز.	يجب عمل نسخة احتياطية لجميع محركات الأقراص الافتراضية التي تستخدمها أنظمة تشغيل الضيف واختبارها بشكل منتظم، باستخدام نفس سياسة إدارة النسخ الاحتياطي المستخدمة في الأنظمة غير الافتراضية.

4.3 إدارة تغيير النظام
إدارة تغيير النظام عبارة عن عملية تحديد وتصميم واختبار وتنفيذ التغييرات المتعلقة بأصول المعلومات بما في ذلك على سبيل المثال لا الحصر التطبيق والبرمجيات والأجهزة والبيانات. وبالتالي، يجب معالجة عوامل المخاطر المتعلقة بإدارة تغيير النظام من قبل المؤسسات المالية من خلال التنفيذ المناسب لضوابط تقنية المعلومات المطلوبة.

1.4.3 حوكمة تغيير النظام

المبدأ

ينبغي إنشاء عملية إدارة التغيير لضمان تصنيف التغييرات في أصول المعلومات الخاصة بالمؤسسة المالية واختبارها والموافقة عليها قبل نشرها في بيئات الإنتاج

متطلبات الرقابة

1.	يجب تحديد عملية إدارة تغيير النظام والموافقة عليها وتنفيذها والإبلاغ عنها داخل المؤسسات المالية.
2.	يجب قياس فعالية عملية إدارة تغيير النظام وتقييمها بشكل دوري.
3.	يجب أن تخضع عملية إدارة تغيير النظام لسياسة وإجراءات إدارة التغيير التي يجب الموافقة عليها ومراقبتها ومراجعتها وتحديثها على أساس دوري و/أو عند حدوث تغييرات كبيرة في بيئة تقنية المعلومات أو تغييرات في القوانين والمتطلبات التنظيمية.
4.	يجب أن تعالج عملية إدارة تغيير النظام ما يلي، على سبيل المثال لا الحصر:
	أ.	تحديد متطلبات التغيير والموافقة عليها؛
	ب.	خطور التغيير وأولويته؛
	ج.	تقييم خطورة التغيير وتأثيره؛
	د.	تطوير التغيير؛
	هـ.	اختبار التغيير؛
	و.	طرح التغيير واسترجاعه؛
	ز.	الأدوار والمسؤوليات بالتغيير؛
	ح.	مستندات التغيير؛
	ط.	الوعي بالتغيير و/أو التدريب المقدم للمستخدمين؛ و
	ي.	مدخلات المجلس الاستشاري للتغيير ((CAB، إن وجدت.
5.	يجب تنفيذ نظام لسير العمل لأتمتة عملية إدارة التغيير من جانب المؤسسات المالية إلى أقصى حد ممكن.
6.	يجب تسجيل أي تغييرات في أصول المعلومات ومراقبتها وتوثيقها.
7.	يجب أن تكون بيئات النظام (أي التطوير والاختبار والإنتاج وما إلى ذلك) منفصلة تقنيًا ومنطقيًا.
8.	يجب التحكم في الوصول إلى بيئات النظام المختلفة ومراقبته بشكل صارم. من أجل القيام بذلك، يجب ضمان الفصل بين الواجبات ("SoD") بحيث لا يتحمل أي فرد مسؤوليتين متعارضتين مثل (التطوير والتجميع والاختبار والترحيل والنشر) في نفس الوقت.
9.	يجب إجراء التغييرات الطارئة في أصول المعلومات بطريقة خاضعة لرقابة صارمة ويجب أن تراعي ما يلي:
	أ.	يجب أن يكون عدد التغييرات الطارئة أقل تفضيلاً من التغييرات المخطط لها من أجل إبقاء هذه التغييرات في أدنى حد ممكن؛
	ب.	ينبغي تقييم التغييرات الطارئة من حيث تأثيرها على الأنظمة؛
	ج.	يجب الموافقة على التغييرات الطارئة من قبل المجلس الاستشاري للتغييرات الطارئة ("ECAB")؛
	د.	يجب أن يكون الحد الأدنى من الاختبار مقبولاً لتنفيذ التغييرات الطارئة؛
	هـ.	يجب استكمال التوثيق الرسمي للتغييرات الطارئة بعد التنفيذ؛
	و.	ينبغي إجراء مراجعة ما بعد التنفيذ لجميع التغييرات الطارئة؛ و
	ز.	يجب إجراء تحليل السبب الجذري لتحديد السبب الذي أدى إلى الحاجة إلى تغيير طارئ، بالإضافة إلى الاحتفاظ بسجل يعكس الدروس المستفادة ويقدم تقريرًا إلى جميع الموظفين المعنيين والإدارة واللجنة التوجيهية.
10.	يجب تمكين التدقيق الكافي لتسجيل التغييرات الطارئة المتعلقة بأصول المعلومات لأغراض الرجوع إليها أو التحقيق في المستقبل.

2.4.3 تحديد متطلبات التغيير والموافقة عليها
المبدأ
يجب تحديد التغييرات على أصول المعلومات بشكل رسمي وتوثيقها والموافقة عليها من قبل مالك الأصل المعني قبل تنفيذ التغيير في أصول المعلومات.
متطلبات الرقابة
1. يجب أن يبدأ طالب التغيير رسميًا بمتطلبات التغيير.
2. يجب أن تحدد متطلبات التغيير المتطلبات الوظيفية وغير الوظيفية، حيثما ينطبق ذلك.
3. يجب مراجعة متطلبات التغيير رسميًا والموافقة عليها من قبل مالك الأصل المعني.
4. يجب تقييم أي تغييرات في أصول المعلومات لمعرفة تأثيرها على الأنظمة قبل تنفيذ التغيير.
5. يجب أن تتم المصادقة على أي تغيير في أصول المعلومات من قبل المجلس الاستشاري للتغيير (48") قبل النشر في بيئة الإنتاج.
6. يجب مراجعة أي تغييرات في أصول المعلومات والموافقة عليها من قبل وظيفة الأمن السيبراني قبل تقديمها إلى "المجلس الاستشاري للتغيير" (مطلوب وفقًا للدليل التنظيمي لأمن المعلومات الخاص بالبنك المركزي، .7.3.3 إدارة التغيير، متطلبات التحكم، 4 - د).

3.4.3 اقتناء النظام

المبدأ

يجب إنشاء عملية اقتناء النظام لضمان تقييم المخاطر المرتبطة باقتناء النظام ومستوى خدمة البائعين ذات الصلة والتخفيف من حدتها بشكل كافٍ قبل اقتناء النظام.

متطلبات الرقابة

1.	يجب تحديد عملية اقتناء النظام والموافقة عليها وتنفيذها وإبلاغها من قبل المؤسسات المالية.
2.	يجب قياس مدى فعالية عملية اقتناء النظام وتقييمها بشكل دوري.
3.	يجب تحديد متطلبات النظام (أي الوظيفية وغير الوظيفية) رسميًا والموافقة عليها كجزء من عملية اقتناء النظام.
4.	ينبغي إجراء دراسة جدوى لتقييم المتطلبات الوظيفية وغير الوظيفية للنظام الجديد وخاصة بما يتوافق مع المتطلبات التنظيمية الخاصة بالبنك المركزي، والمتطلبات التنظيمية الأخرى المعمول بها.
5.	يجب إدراج تقييم البائعين في عملية اقتناء النظام لتقييم البائعين فيما يتعلق بعروضهم وقدراتهم على دعم النظام أثناء التنفيذ وبعده.
6.	يجب دعم عملية اقتناء النظام بخطة تنفيذ مفصلة تصف ما يلي على سبيل المثال لا الحصر:
	أ.	الأحداث الرئيسية لتنفيذ النظام (بما في ذلك جمع المتطلبات، والتطوير أو التخصيص، والاختبار، وبدء التشغيل وما إلى ذلك)؛
	ب.	الجدول الزمني لكل حدث رئيسي وتوابعه؛ و
	ج.	الموارد المخصصة للأحداث الرئيسية.
7.	يجب تقييم النظام الجاهز أو الحزمة الجاهزة على أساس ما يلي، على سبيل المثال لا الحصر:
	أ.	توافق النظام مع متطلبات المؤسسة المالية؛
	ب.	مصداقية النظام والوجود في السوق، إذا لزم الأمر؛ و
	ج.	تقييم البائع ومستوى الخدمة.

4.4.3 تطوير النظام

المبدأ

يجب توثيق منهجية تطوير النظام والموافقة عليها وتنفيذها لضمان تنفيذ تطوير نظام المؤسسة المالية بطريقة خاضعة للرقابة الصارمة.

متطلبات الرقابة

1.	يجب تحديد منهجية تطوير النظام والموافقة عليها وتنفيذها ونشرها.
2.	يجب مراقبة مدى فعالية منهجية تطوير النظام وتقييمها بشكل دوري.
3.	يجب أن تتناول منهجية تطوير النظام ما يلي، على سبيل المثال لا الحصر:
	أ.	نهج تطوير النظام مثل التطوير التقليدي والسريع وما إلى ذلك؛
	ب.	معايير الترميز الآمنة؛
	ج.	أنواع الاختبارات وأساليبها مثل اختبار الوحدة، واختبار الانحدار، واختبار الضغط، وما إلى ذلك؛
	د.	ضبط الإصدارات؛
	هـ.	التحكم بالجودة؛
	و.	ترحيل البيانات؛
	ز.	التوثيق؛ و
	ح.	تدريب المستخدم النهائي.
4.	يجب تحديد وثيقة تصميم النظام وتوثيقها والموافقة عليها.
5.	يجب أن تتناول وثيقة تصميم النظام متطلبات التصميم منخفضة المستوى للنظام المقصود، والتي تشمل على سبيل المثال لا الحصر ما يلي:
	أ.	متطلبات التكوين؛
	ب.	متطلبات التكامل؛
	ج.	متطلبات الأداء؛
	د.	متطلبات الأمن السيبراني؛ و
	هـ.	متطلبات تعريف البيانات.
6.	يجب أن تقوم وظيفة تقنية المعلومات أو فريق التطوير المعني في المؤسسات المالية بإجراء مراجعة آمنة للأكواد البرمجية من أجل:
	أ.	التطبيقات المطورة داخليًا؛ و
	ب.	التطبيقات المطورة خارجيًا إذا كان كود المصدر متاحًا.
7.	يجب على المؤسسات المالية التأكد من صياغة تقرير مراجعة الكود الآمن (أو ما يعادله، مثل بيان الضمان المستقل) في حالة عدم توفر كود المصدر لدى المؤسسة المالية.
8.	يجب تضمين ضوابط الأمن السيبراني في عملية تطوير النظام بما يتماشى مع الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
9.	يجب استخدام نظام ضبط الإصدارات لتتبع التعليمات البرمجية المصدرية أو إصدارات الإنشاء بين بيئات النظام المختلفة (أي التطوير والاختبار والإنتاج وغيرها).

5.4.3 الاختبار

المبدأ

يجب اختبار جميع التغييرات على نظم المعلومات بشكل شامل على بيئة الاختبار استناداً إلى حالات الاختبار المحددة والمعتمدة لضمان تلبية التغييرات لمتطلبات العمل وكذلك لتحديد العيوب أو نقاط الضعف قبل إطلاق التغييرات في بيئة الإنتاج.

متطلبات الرقابة

1.	يجب تحديد خطة الاختبار والموافقة عليها وتوثيقها رسميًا لإجراء التغييرات.
2.	يجب تحديد حالة الاختبار والموافقة عليها وتوثيقها للتغييرات. إضافة إلى ذلك، يجب أن تتناول حالة الاختبار ما يلي، على سبيل المثال لا الحصر:
	أ.	اسم حالة الاختبار والمعرف الفريد؛
	ب.	حالة الاختبار المصممة والمختبرة؛
	ج.	وصف حالة الاختبار مع التحديد الواضح لحالات الاختبار السلبية والإيجابية؛
	د.	أولوية الاختبار؛
	هـ.	تاريخ تنفيذ الاختبار؛
	و.	استخدام البيانات لاختبار الحالات؛
	ز.	حالة الاختبار (أي ناجح أم فاشل)؛
	ح.	النتيجة المتوقعة لحالة الاختبار؛ و
	ط.	متطلبات شهادة اختبار الطرف الثالث، إن وجدت، مثل مدى، تنفيذ، إلخ.
3.	كحد أدنى، ينبغي اعتبار أنواع الاختبارات التالية جزءًا من إدارة تغيير النظام.
	أ.	اختبار الوحدة؛
	ب.	اختبار تكامل النظام (SIT)؛
	ج.	اختبار التحمل (إن أمكن)؛
	د.	الاختبار الأمني؛ و
	هـ.	اختبار قبول المستخدم (UAT).
4.	يجب اختبار جميع التغييرات على نظام المعلومات بدقة في بيئة اختبار منفصلة وفقاً لحالات الاختبار المعتمدة.
5.	يجب اختبار جميع التغييرات وقبولها رسميًا من قبل مستخدمي الأعمال المعنيين.
6.	يجب أن يشمل الاختبار سيناريوهات حالات الاختبار الإيجابية والسلبية.
7.	يجب توثيق نتائج اختبار قبول المستخدم والاحتفاظ بها لأغراض مرجعية مستقبلية.
8.	يجب عدم استخدام بيانات الإنتاج لاختبار النظام في بيئة الاختبار. لا يجب استخدام لأغراض الاختبار سوى البيانات المطهرة.

6.4.3 متطلبات أمان التغيير

المبدأ
يجب تحديد متطلبات الأمن السيبراني واختبارها بدقة لجميع التغييرات في نظام المعلومات في بيئة اختبار من أجل تحديد الثغرات الأمنية فيها والتخفيف من حدتها قبل إدخالها في بيئة الإنتاج.

متطلبات الرقابة

1.	يجب أن تأخذ عملية إدارة تغيير النظام في الاعتبار الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي لتحديد واختبار وتنفيذ المتطلبات الأمنية لأي تغييرات في أصول المعلومات.

7.4.3 إدارة إصدار التغيير

المبدأ

يجب تحديد عملية إدارة إصدار التغييرات لضمان تخطيط تغييرات النظام بشكل ملائم وإصدارها إلى بيئة الإنتاج بطريقة خاضعة لرقابة صارمة.

متطلبات الرقابة

1.	يجب تحديد عملية إدارة الإصدار والموافقة عليها وتنفيذها والإبلاغ عنها.
2.	يجب مراقبة عملية إدارة الإصدار وتقييمها بشكل دوري.
3.	يجب أن تتناول عملية إدارة الإصدار ما يلي، على سبيل المثال لا الحصر:
	أ.	استراتيجية ونهج إصدار التغيير؛
	ب.	الأدوار والمسؤوليات لتنفيذ إصدارات التغيير؛
	ج.	الجدول الزمني لإصدار التغيير واللوجستيات الخاصة به؛
	د.	إجراءات طرح التغيير واسترجاعه؛ و
	ه.	ترحيل البيانات، عند الاقتضاء.
4.	يجب أن يتم إصدار التغييرات في النظام المناظر في موقع التعافي من الكوارث عند نجاح تنفيذ التغييرات في بيئة الإنتاج في الموقع الرئيسي.
5.	يجب إدخال التغيير كجزء من نافذة تغيير متفق عليها، ويجب أن يكون للاستثناءات عملية موافقة خاصة بها ونادراً ما يُسمح بها دون أسباب مقنعة.

8.4.3 إدارة تكوين النظام

المبدأ

يجب تحديد عملية إدارة تهيئة النظام والموافقة عليها وإبلاغها وتنفيذها للحفاظ على معلومات موثوقة ودقيقة حول عناصر التكوين ("CIs") لأصول المعلومات الخاصة بالمؤسسة المالية.

متطلبات الرقابة

1.	يجب تحديد عملية إدارة التكوين والموافقة عليها وتنفيذها وإبلاغها من قبل المؤسسات المالية.
2.	يجب مراقبة عملية إدارة التكوين وتقييمها بشكل دوري.
3.	يجب أن تتناول عملية إدارة التكوين ما يلي، على سبيل المثال لا الحصر:
	أ.	الأدوار والمسؤوليات لتنفيذ إدارة التكوين؛
	ب.	تحديد وتسجيل عناصر التكوين وأهميتها فيما يتعلق بعمليات الأعمال الداعمة لها؛
	ج.	العلاقات المتبادلة بين عناصر التكوين فيما بين أصول المعلومات المختلفة؛ و
	د.	التحقق الدوري من عناصر التكوين.
4.	يجب على المؤسسات المالية تنفيذ قاعدة بيانات إدارة التكوين ("CMCB") لتحديد المعلومات المتعلقة بأصول المعلومات الخاصة بالمؤسسة المالية والحفاظ عليها والتحقق منها.

9.4.3 إدارة حزم التحديثات والإصلاحات

المبدأ

يجب تحديد عملية إدارة حزم التحديثات والإصلاحات وتنفيذها لضمان تثبيت أحدث حزم التحديثات والإصلاحات القابلة للتطبيق وذات الصلة (أي الوظيفية أو غير الوظيفية) في الوقت المناسب لتجنب المشاكل التقنية بما في ذلك الاختراقات الأمنية بسبب الثغرات الموجودة في النظام.

متطلبات الرقابة

1.	يجب تحديد عملية إدارة التحديثات والإصلاحات والموافقة عليها وتنفيذها والإبلاغ عنها من قبل المؤسسات المالية.
2.	يجب مراقبة مدى فعالية عملية إدارة حزم التحديثات والإصلاحات وقياسها وتقييمها بشكل دوري.
3.	يجب تقييم جميع حزم التحديثات والإصلاحات بدقة للتأكد من مدى تأثيرها من قبل أصحاب المصلحة المعنيين بما في ذلك الأمن السيبراني قبل تنفيذها في بيئة الإنتاج.
4.	يجب الكشف على جميع الأنظمة أو فحصها بشكل دوري لتحديد أي حزم تحديثات أو تصحيحات أو ثغرات أمنية قديمة في الأنظمة.
5.	يجب أن يتبع نشر حزم التحديثات والإصلاحات عملية إدارة تغيير رسمية.
6.	يجب اختبار جميع حزم التحديثات والإصلاحات بدقة في بيئة اختبار منفصلة قبل إدخالها إلى بيئة الإنتاج لتجنب أي مشكلة في التوافق مع النظام والمكونات ذات الصلة.
7.	وينبغي نشر حزمة التحديثات والإصلاحات على الأنظمة والمكونات ذات الصلة بشكل منهجي.
8.	بعد نشر حزم التحديثات والإصلاحات في بيئة الإنتاج، يجب مراقبة الأنظمة بحثًا عن أي سلوك غير طبيعي، وإذا تم تحديد مثل هذا السلوك، يجب التحقيق بدقة لتحديد السبب الجذري وإصلاحه بشكل صحيح.
9.	يجب إرسال نافذة نشر حزم التحديثات والإصلاحات (أي الجدول) إلى الأعمال وأصحاب المصلحة المعنيين مسبقًا ويفضل أن يتم ذلك خلال ساعات غير الذروة والفترات غير المتجمدة لتجنب أي تعطيل للأعمال.
10.	يجب مراقبة المواجز الخارجية من بائعي البرمجيات أو المصادر الأخرى المعترف بها لتحديد أي ثغرات جديدة في النظام وتحديثها وتصحيحها وفقاً لذلك.

10.4.3 إدارة مشاريع تقنية المعلومات

المبدأ

يجب تحديد عملية رسمية والموافقة عليها وتنفيذها لإدارة مشروع تقنية المعلومات والمخاطر ذات الصلة بفعالية طوال دورة حياة المشروع.

متطلبات الرقابة

1.	يجب تحديد عملية إدارة مشروع تقنية المعلومات والموافقة عليها من قبل المؤسسات المالية.
2.	يجب أن تخضع عملية إدارة مشاريع تقنية المعلومات لدليل وسياسة وإجراءات إدارة مشاريع تقنية المعلومات المحددة والمعتمدة رسميًا لإدارة دورة حياة مشروع تقنية المعلومات من البداية حتى الإغلاق.
3.	يجب مراقبة مدى فعالية عملية إدارة مشروع تقنية المعلومات وقياسها وتقييمها بشكل دوري.
4.	يجب تزويد جميع مشاريع تقنية المعلومات بخطة المشروع التفصيلية، والتي تشمل على سبيل المثال لا الحصر ما يلي:
	أ.	تفاصيل نطاق العمل بما في ذلك أنشطة المشروع أو كل مرحلة من مراحل المشروع؛
	ب.	الأولويات والأحداث الرئيسية والجداول الزمنية المرتبطة بالمشروع أو كل مرحلة من مراحل المشروع؛
	ج.	المخرجات؛
	د.	الأدوار والمسؤوليات؛ و
	هـ.	المخاطر المرتبطة بأي مشاريع تقنية المعلومات.
5.	يجب تحديد الوثائق اللازمة لمشروع تقنية المعلومات والموافقة عليها والاحتفاظ بها للأغراض المرجعية المستقبلية بما في ذلك على سبيل المثال لا الحصر ما يلي:
	أ.	ميثاق المشروع؛
	ب.	تحليل المتطلبات وتدفق المعلومات التجارية وتدفق المعلومات التقنية؛
	ج.	تحليل الجدوى وكذلك تحليل التكاليف والفوائد؛ و
	د.	خطة المشروع التفصيلية.
6.	يجب إنشاء لجنة توجيهية لمشروع تقنية المعلومات تضم ممثلين من الفرق التجارية والفنية ذات الصلة للإشراف على الخطة والتقدم المحرز والمخاطر المرتبطة بمشاريع تقنية المعلومات.
7.	يجب تقييم جميع مشاريع تقنية المعلومات لمعرفة المخاطر التي قد تؤثر على نطاق المشاريع وجدولها الزمني وجودتها. يجب تخفيف أي مخاطر محددة ومراقبتها طوال دورة حياة المشروع.
8.	يجب الإبلاغ عن أي مخاطر كبيرة مرتبطة بمشروع تقنية المعلومات إلى اللجنة التوجيهية لمشروع تقنية المعلومات وإلى الإدارة العليا أو مجلس إدارة المؤسسة المالية في الوقت المناسب.
9.	يجب مراجعة جميع مخرجات المشروع بواسطة وظيفة مستقلة لضمان الجودة أو شخص مستقل يتم تزويده بمثل هذه المسؤولية قبل بدء المشروع في بيئة الإنتاج.
10.	يجب التخطيط لمراجعات ما بعد التنفيذ وتنفيذها لتحديد ما إذا كانت مشاريع تقنية المعلومات قد حققت الفوائد المتوقعة واستوفت متطلبات العمل/المستخدمين وامتثلت لدليل إدارة مشاريع تقنية المعلومات.
11.	يجب على المؤسسات المالية إبلاغ "الإدارة العامة لمكافحة المخاطر السيبرانية" بأي مشاريع كبرى لتحويل تقنية المعلومات، مثل تنفيذ النظام الأساسي، بعد الحصول على موافقة الإدارة العليا.
12.	يجب أن يشارك الأمن السيبراني خلال المراحل المختلفة من دورة حياة إدارة مشروع تقنية المعلومات بما يتماشى مع اعتبارات التحكم المنصوص عليها في الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.

11.4.3 ضمان الجودة

المبدأ

يجب تحديد عملية ضمان الجودة والموافقة عليها والإبلاغ عنها وتنفيذها للتأكد بشكل مستقل من جودة التغييرات أو التطوير في أصول المعلومات بما يتماشى مع متطلبات العمل/المستخدم قبل نقلها إلى بيئة الإنتاج.

متطلبات الرقابة

1.	ينبغي تحديد عملية ضمان الجودة والموافقة عليها وتنفيذها والإبلاغ عنها من قبل المؤسسات المالية.
2.	يجب مراقبة عملية ضمان الجودة وتقييمها بشكل دوري.
3.	يجب أن تتناول عملية ضمان الجودة ما يلي، على سبيل المثال لا الحصر:
	أ.	أدوار ومسؤوليات واضحة للموظفين الذين يقومون بأنشطة ضمان الجودة؛
	ب.	الحد الأدنى من متطلبات الجودة التي تحددها المؤسسات المالية بما في ذلك الأعمال وأي متطلبات تنظيمية أخرى معمول بها؛ و
	ج.	عملية تحديد السجلات المتعلقة بالجودة وصيانتها وسحبها.
4.	يجب أن يكون لوظيفة/إدارة ضمان الجودة وجود وتقارير مستقلة مع سلطة تقديم تقييم موضوعي.
5.	يجب تقييم جميع التغييرات أو التطوير في نظام المعلومات من قبل فريق ضمان الجودة قبل إطلاقه في بيئة الإنتاج.
6.	يجب لوظيفة ضمان الجودة تقديم تقرير بالنتائج التي تمت مراجعتها إلى أصحاب المصلحة المعنيين داخل المؤسسات المالية والبدء في التحسينات حيثما كان ذلك مناسبًا.

الملاحق

الملحق أ - كيفية طلب تحديث الدليل
يبين الرسم التوضيحي الوارد أدناه خطوات عملية طلب تحديث الدليل.
- معلومات تفصيلية مدعمة بالإيجابيات والسلبيات حول التحديث المقترح.
- يجب أولاً الموافقة على الطلب من قبل الرئيس التنفيذي للمعلومات قبل تقديمه إلى اللجنة التوجيهية لتقنية المعلومات.
- يجب أن تتم الموافقة على الطلب من قبل اللجنة التوجيهية لتقنية المعلومات في المؤسسة المالية.
- يجب إرسال الطلب رسميًا كتابيًا إلى مدير "الإدارة العامة لمكافحة المخاطر السيبرانية" عن طريق الرئيس التنفيذي للمؤسسة المالية أو المدير الإداري.
- ستقوم "الإدارة العامة لمكافحة المخاطر السيبرانية" بتقييم الطلب وإبلاغ المؤسسة المالية.
- يظل الدليل الحالي قابلاً للتطبيق أثناء دراسة التحديث المطلوب ومعالجته والموافقة عليه ثم الشروع في تنفيذه إن أمكن.

الملحق ب - نموذج طلب تحديث الدليل

طلب تحديث الدليل التنظيمي لحوكمة تقنية المعلومات

تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية بالبنك المركزي.

وسينظر البنك المركزي في الطلبات المقدمة من المؤسسات المالية لتحديث الدليل التنظيمي لحوكمة تقنية المعلومات الخاص به بناءً على المعلومات المقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل تحديث مطلوب. وترجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة على النحو الصحيح قبل أن يبدأ البنك المركزي عملية المراجعة

معلومات مقدم الطلب

توقيع مقدم الطلب* x	منصب مقدم الطلب*	التاريخ*
اسم مقدم الطلب*	المؤسسة المالية التي ينتمي إليها مقدم الطلب*

قسم الدليل*:

الغرض من التحديث المطلوب (بما في ذلك المعلومات التفصيلية عن إيجابياته وسلبياته)*:

المقترح*:

الموافقات

1. اعتماد الرئيس التنفيذي للمعلومات بالمؤسسة المالية*	التاريخ*
2. اعتماد اللجنة التوجيهية لتقنية المعلومات في المؤسسة المالية*	منصب المعتمد*	التاريخ*
3 . قرار البنك المركزي	موافقة البنك المركزي السعودي	التاريخ*

* تشير إلى الحقول الإلزامية

الملحق ج - كيفية طلب الإعفاء من الدليل
يبين الرسم التوضيحي الوارد أدناه عملية طلب الإعفاء من الدليل.
- وصف تفصيلي حول أسباب عدم تمكن المؤسسة المالية من الوفاء بإجراء التحكم المطلوب.
- بيان تفاصيل الضوابط البديلة المتاحة أو المقترحة.
- يجب أولاً الموافقة على طلب الإعفاء من قبل الرئيس التنفيذي للمعلومات قبل تقديمه إلى اللجنة التوجيهية لتقنية المعلومات.
- يجب أن تتم الموافقة على طلب الإعفاء من قبل أعضاء اللجنة التوجيهية لتقنية المعلومات في المؤسسة المالية.
- يجب أن يتم توقيع طلب الإعفاء من قبل مدير تقنية المعلومات ومالك (الشركة) ذي الصلة.
- يجب أن يتم إصدار طلب الإعفاء كتابيًا رسميًا إلى مدير "الإدارة العامة لمكافحة المخاطر السيبرانية" عبر الرئيس التنفيذي للمؤسسة المالية أو المدير العام.
- ستقوم "الإدارة العامة لمكافحة المخاطر السيبرانية" بتقييم طلب الإعفاء وإبلاغ المؤسسة المالية بذلك.
يظل الدليل الحالي قابلاً للتطبيق أثناء تقييم الإعفاء المطلوب ومعالجته، حتى لحظة منح الإعفاء.

الملحق د - نموذج طلب الأعفاء من الدليل

طلب الإعفاء من الدليل التنظيمي لحوكمة تقنية المعلومات الخاص بالبنك المركزي

تقديم إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية

سينظر البنك المركزي في طلبات الإعفاء المقدمة من المؤسسات المالية من الدليل التنظيمي لحوكمة تقنية المعلومات الخاص به بناءً على المعلومات المقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل إعفاء مطلوب. يُرجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة بشكل صحيح قبل أن يبدأ البنك المركزي في المراجعة.

معلومات مقدم الطلب

توقيع مقدم الطلب* x	منصب مقدم الطلب*	التاريخ*
اسم مقدم الطلب*	المؤسسة المالية التي ينتمي إليها مقدم الطلب*

مراقبة الدليل*:

وصف تفصيلي لسبب عدم إمكانية تنفيذ عنصر الرقابة*:

وصف تفصيلي لضوابط التعويض المتاحة أو المقترحة*:

الموافقات

1. موافقة مدير تقنية المعلومات في المؤسسة المالية	التاريخ*
2. اعتماد اللجنة التوجيهية لتقنية المعلومات في المؤسسة المالية*	منصب المعتمد*	التاريخ*
3. قرار البنك المركزي	موافقة البنك المركزي	التاريخ*

* تشير إلى الحقول الإلزامية

** صلاحية هذا الإعفاء سنة واحدة. تقع على عاتق المؤسسات المالية مسؤولية ضمان تجديد هذا الإعفاء.

الملحق هـ - قائمة المصطلحات

المدة	الوصف
التحكم في الوصول	وسائل التأكد من أن الوصول إلى الأصول مصرح به ومقيد بناءً على متطلبات العمل والأمن.
مهندسو التطبيقات	يحدد مهندسو التطبيقات التغييرات اللازمة بمجموعة التطبيقات عبر النظام البيئي. فهم يطورون ويديرون معايير خاصة بالتطبيقات مثل تصميم واجهة المستخدم، والعولمة، وخدمات الويب، وواجهات برمجة تطبيقات البوابة، و XML، والمحتوى. ويقدمون توصيات التصميم بناءً على إستراتيجية منظمة التطوير طويلة المدى ويطورون التطبيقات على مستوى المؤسسة وحلول التكامل المخصصة بما في ذلك التحسينات الرئيسية والواجهات والوظائف والميزات.
إدارة الأصول	العملية المنهجية لنشر الأصول وتشغيلها وصيانتها وتحديثها والتخلص منها بطريقة آمنة وفعالة من حيث التكلفة
مالك الأصل	يشير مصطلح "مالك الأصول" إلى الفرد أو المؤسسة الذي لديه مسؤولية إدارية معتمدة للتحكم في إنتاج وتطوير وصيانة واستخدام أصول المعلومات.
مصفوفة التفويض	مصفوفة تحدد الحقوق والأذونات الخاصة بدور محدد يحتاج إلى معلومات. وتسرد المصفوفة كل مستخدم، ومهام العملية التجارية التي يقوم بها، والأنظمة المتأثرة بها.
التدقيق	المراجعة والفحص المستقل للسجلات والأنشطة لتقييم فعالية ضوابط حوكمة تقنية المعلومات وضمان الامتثال للسياسات المعمول بها والإجراءات التشغيلية والمتطلبات القياسية والقانونية والتنظيمية ذات الصلة.
المصادقة	التحقق من هوية المستخدم أو العملية أو الجهاز، وغالباً ما يكون ذلك شرطاً أساسياً للسماح بالوصول إلى الموارد في النظام.
النسخة الاحتياطية	الملفات والأجهزة والبيانات والإجراءات المتاحة للاستخدام في حالة الفشل أو الفقدان، أو في حالة حذف أو تعليق نسخها الأصلية.
تطبيقات إدارة الأعمال	أي برنامج أو مجموعة من البرامج الحاسوبية التي يستخدمها مستخدمو الأعمال لأداء وظائف الأعمال المختلفة.
المعالجة الدفعية	المعالجة الدفعية هي معالجة المعاملات في مجموعة أو دفعة بدون تفاعل بشري أو بالحد الأدنى من التفاعل البشري.
عنصر التكوين (CI)	مكوّن بنية تحتية - أو عنصر، مثل طلب التغيير، مرتبط ببنية تحتية - يخضع (أو سيخضع) لسيطرة دارة التكوين
إدارة التغيير	التحديد والتنفيذ المحكم للتغييرات المطلوبة داخل الأعمال أو نظم المعلومات.
الرئيس التنفيذي للمعلومات	مسؤول تنفيذي رفيع المستوى يُشار إليه على أنه الرئيس التنفيذي للمعلومات أو كبير مسؤولي التقنية (10) / رئيس تقنية المعلومات أو صاحب المصلحة المعني الذي يكون مسؤولاً عن دعم تقنية المعلومات ومواءمة استراتيجيات تقنية المعلومات والأعمال، وتخطيط وتوفير الموارد وإدارة تقديم خدمات تقنية المعلومات والمعلومات ونشر الموارد البشرية المرتبطة بها.
التصنيف	تحديد مستوى الحساسية للبيانات والمعلومات التي ينتج عنها ضوابط أمنية لكل مستوى من مستويات التصنيف. يتم تعيين مستويات حساسية البيانات والمعلومات وفقًا لفئات محددة مسبقًا حيث يتم إنشاء البيانات والمعلومات أو تعديلها أو تحسينها أو تخزينها أو نقلها. ومستوى التصنيف هو مؤشر على قيمة أو أهمية البيانات والمعلومات الخاصة بالمؤسسة.
رئيس العمليات (COO)	مسؤول تنفيذي رفيع المستوى مسؤول عن التشغيل اليومي للمؤسسة.
البنى التحتية الحيوية لتقنية المعلومات	تشير إلى أصول المعلومات (أي المرافق والأنظمة والشبكات والعمليات والمشغلين الرئيسيين الذين يقومون بتشغيلها ومعالجتها)، والتي قد يؤدي فقدانها أو تعرضها للاختراقات الأمنية إلى تأثير سلبي كبير على توافر الخدمات الأساسية أو تكاملها أو تقديمها، بما في ذلك الخدمات التي قد تؤدي إلى خسائر جسيمة في الممتلكات، إلى جانب ملاحظة الآثار الاقتصادية و/أو الاجتماعية الكبيرة.
الضوابط التعويضية	ضوابط إدارية و/أو تشغيلية و/أو فنية (أي إجراءات وقائية أو تدابير مضادة) تستخدمها منظمة بدلاً من الضوابط الموصى بها في خطوط الأساس المنخفضة أو المتوسطة أو العالية التي توفر حماية مكافئة أو قابلة للمقارنة لنظام المعلومات.
التعبئة في الحاويات	وحدة البرمجيات التي تحزم التعليمات البرمجية وجميع تبعياتها.
إخفاء البيانات	تقنية محوسبة لحجب عرض المعلومات الحساسة أو معلومات تحديد الهوية الشخصية.
مسؤول قاعدة البيانات	مسؤول قاعدة البيانات، المعروف في كثير من الأحيان في اللغة الإنجليزية بالاختصار DBA، وهو دور عادةً ما يكون ضمن قسم تقنية المعلومات، وهو مسؤول عن إنشاء قاعدة بيانات المؤسسة وصيانتها والنسخ الاحتياطية والاستعلام عنها وضبطها وتعيين حقوق المستخدم وأمنها.
التعافي من الكوارث	البرامج والأنشطة والخطط المصممة لاستعادة وظائف وخدمات الأعمال الحيوية للمؤسسات إلى وضع مقبول، بعد التعرض للحوادث السيبرانية وحوادث تقنية المعلومات أو تعطل هذه الخدمات.
الهيكلية المؤسسية	وصف التصميم الجوهري الأساسي لمكونات نظام العمل، أو لعنصر واحد من عناصر نظام العمل (مثل التقنية)، والعلاقات فيما بينها، والطريقة التي تدعم بها أهداف المؤسسة.
دراسة الجدوى	مرحلة من مراحل منهجية دورة حياة تطوير النظام (SDLC) التي تبحث في جدوى وكفاية الموارد اللازمة لتطوير أو اقتناء حل نظام ما لتلبية حاجة المستخدم.
موثقة رسميا	الوثائق التي يتم كتابتها والموافقة عليها من قبل القيادة العليا ونشرها على الأطراف المعنية.
فترة التجميد	على سبيل المثال أيام إيداع الرواتب وأيام العطلات الرسمية أو الوطنية.
مراقب الأجهزة الافتراضية	يسمح مراقب الأجهزة الافتراضية لحاسوب مضيف واحد بدعم العديد من الآلات الافتراضية الضيفة (VMs) من خلال مشاركة موارده افتراضياً، مثل الذاكرة والمعالجة.
حادثة	حدث يعرض أو يحتمل أن يعرض سرية أو سلامة أو توافر نظام المعلومات أو المعلومات التي يعالجها النظام أو يخزنها أو ينقلها أو يشكل انتهاكًا أو تهديدًا وشيكًا بانتهاك السياسات الأمنية أو الإجراءات الأمنية أو سياسات الاستخدام المقبول.
إدارة الحوادث	مراقبة وكشف الأحداث على نظم المعلومات وتنفيذ الاستجابات المناسبة لتلك الأحداث.
أصول المعلومات	جزء من المعلومات المخزنة بأي شكل من الأشكال، والتي تعتبر "ذات قيمة" للمؤسسة.
الاعتمادات المتبادلة	مجموعة التفاعل مع اعتماد أصول المعلومات على بعضها البعض من أجل تقديم مجموعة من الأعمال أو المهام.
إدارة التغيير والإصدار في مجال تقنية المعلومات	نهج شامل واستباقي لإدارة الانتقال من الحالة التنظيمية الحالية إلى الحالة التنظيمية المرغوبة، مع التركيز بشكل خاص على العناصر البشرية أو "غير الملموسة" الحاسمة للتغيير
مرافق تقنية المعلومات	البيئة المادية التي توجد فيها البنية التحتية لتقنية المعلومات.
مخاطر تقنية المعلومات	مخاطر الأعمال المرتبطة باستخدام تقنية المعلومات وملكيتها وتشغيلها ومشاركتها والتأثير عليها واعتمادها داخل المؤسسة.
اللجنة التوجيهية لتقنية المعلومات	لجنة على مستوى الإدارة التنفيذية تساعد في تنفيذ استراتيجية تقنية المعلومات وتشرف على الإدارة اليومية لتقديم خدمات تقنية المعلومات ومشاريع تقنية المعلومات، وتركز على جوانب التنفيذ.
مؤشر الأداء الرئيسي (KPI)	مؤشرات الأداء الرئيسية نوع من قياس الأداء الذي يقيم نجاح منظمة أو نشاط معين تشارك فيه لتحقيق أهداف وغايات معينة.
مؤشر المخاطر الرئيسية (KRI)	مقياس يستخدم للإشارة إلى احتمالية تجاوز نشاط أو مؤسسة ما لمدى تقبلها للمخاطر المحددة. وتستخدم المؤسسات مؤشرات المخاطر الرئيسية لتعطيها إشارة مبكرة لزيادة التعرض للمخاطر في المجالات الوظيفية المختلفة للمؤسسة.
احتمالية	عامل مرجح يعتمد على تحليل احتمالية قدرة تهديد معين على استغلال ثغرة أمنية معينة.
المؤسسة المالية	المؤسسات المالية التابعة للبنك المركزي.
الحاجة إلى المعرفة	تقييد البيانات، والتي تعتبر حساسة ما لم يكن لدى الشخص حاجة محددة لمعرفتها؛ لواجبات العمل الرسمية.
نظام معد مسبقًا	البرامج الموجودة بالفعل والمتاحة من مصادر تجارية.
التعهيد	الحصول على السلع أو الخدمات عن طريق التعاقد مع مورد أو مقدم خدمة.
حزمة تحديث إصلاح	تحديث لنظام التشغيل، أو التطبيق، أو أي برنامج آخر تم إصداره خصيصًا لتصحيح مشكلات معينة في البرنامج.
إدارة حزم التحديثات والإصلاحات	الإعلان عن تنقيحات نظام التشغيل والأكواد البرمجية، وتحديدها، ونشرها، وتثبيتها، والتحقق منها بطريقة منتظمة.
التعافي	إجراء أو عملية لاستعادة أو التحكم في شيء تم تعليقه أو تلفه أو سرقته أو فقده.
نقطة التعافي المستهدفة	النقطة الزمنية التي يجب استعادة البيانات إليها بعد التعطل. ويتم تحديد نقطة التعافي المستهدفة على أساس فقدان البيانات المقبول في حالة تعطل العمليات. فهو يشير إلى أقرب نقطة زمنية مقبولة لاستعادة البيانات. وتحدد نقطة التعافي المستهدفة بشكل فعال مقدار فقدان البيانات المسموح به في حالة التعطل.
وقت التعافي المستهدف	مقدار الوقت المسموح به لاستعادة وظيفة العمل أو المورد بعد وقوع الكارثة.
اختبار الانحدار	اختبار برنامج تم اختباره مسبقاً بعد التعديل للتأكد من عدم إدخال أو اكتشاف عيوب في مناطق غير متغيرة من البرنامج، نتيجة للتغييرات التي تم إجراؤها.
المخاطر المتبقية	المخاطر المتبقية بعد قيام الإدارة بتنفيذ الاستجابة للمخاطر.
الاحتفاظ	طول الفترة الزمنية التي يجب الاحتفاظ فيها بالمعلومات أو البيانات أو سجلات الأحداث أو النسخ الاحتياطية، بغض النظر عن الشكل (أي الورقي والإلكتروني).
المخاطرة	مقياس لمدى تعرض المؤسسة للتهديد بسبب ظرف أو حدث محتمل، وعادة ما تنتج عن: (1) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (2) احتمالية الحدوث.
سجل المخاطر	سجل المخاطر جدول يُستخدم كمستودع لجميع المخاطر التي تم تحديدها ويتضمن معلومات إضافية حول كل خطر، مثل فئة المخاطر، ومالك المخاطر، وإجراءات التخفيف المتخذة.
تحمل المخاطر	التباين المقبول بين الأداء وتحقيق الأهداف. راجع أيضًا "الرغبة في المخاطرة".
معالجة المخاطر	عملية تعديل المخاطر التي يمكن أن تتضمن تجنب المخاطر من خلال اتخاذ قرار بعدم البدء أو الاستمرار في النشاط الذي يؤدي إلى المخاطرة؛ أو المخاطرة أو زيادة المخاطرة من أجل متابعة فرصة ما؛ أو إزالة مصدر المخاطرة؛ أو تغيير الاحتمالية؛ أو تغيير العواقب؛ أو مشاركة المخاطرة مع طرف أو أطراف أخرى؛ أو الاحتفاظ بالمخاطرة بقرار مستنير. يُشار أحيانًا إلى علاجات المخاطر التي تتعامل مع العواقب السلبية باسم "تخفيف المخاطر" و"القضاء على المخاطر" و"منع المخاطر" و"تقليل المخاطر". يمكن أن تؤدي معالجات المخاطر إلى خلق مخاطر جديدة أو تعديل المخاطر الحالية.
تحليل السبب الجذري	نهج خاص بالأنظمة قائم على المبادئ لتحديد الأسباب الأساسية المرتبطة بمجموعة معينة من المخاطر.
مخطط مصفوفة المسؤولية والمحاسبة والاستشارة والتبليغ	يوضح من هو المسؤول والخاضع للمساءلة والمستشار والمطلع ضمن الدليل التنظيمي.
اختبار الأمان	عملية تهدف إلى ضمان اشتمال الأنظمة والتطبيقات المعدلة أو الجديدة على ضوابط أمنية وحماية مناسبة وعدم إدخال أي ثغرات أو نقاط ضعف أمنية قد تعرض الأنظمة أو التطبيقات الأخرى للخطر أو إساءة استخدام النظام أو التطبيق أو معلوماته، والحفاظ على الوظائف على النحو المنشود.
التصميم حسب الأمان	منهجية لتطوير الأنظمة والبرمجيات وتصميم الشبكات تسعى إلى جعل الأنظمة والبرمجيات والشبكات خالية من نقاط الضعف/الثغرات في الأمن السيبراني ومحصّنة ضد الهجمات الإلكترونية قدر الإمكان من خلال تدابير مثل: الاختبار المستمر، وضمانات المصادقة والالتزام بأفضل ممارسات البرمجة والتصميم.
الفصل بين الواجبات	المبدأ الأساسي الذي يهدف إلى تقليل الأخطاء والاحتيال عند معالجة مهام محددة. يتم تحقيق ذلك من خلال وجود العديد من الأشخاص ذوي الامتيازات المختلفة المطلوبة لإكمال المهمة.
اتفاقية مستوى الخدمة (SLA)	تحدد المسؤوليات المعينة لمقدم الخدمة وتضع توقعات العميل.
اختبار التحمل	نوع من اختبارات الأداء التي يتم إجراؤها لتقييم نظام أو مكوّن في حدود أعباء العمل المتوقعة أو المحددة أو خارجها، أو مع انخفاض توافر الموارد مثل الوصول إلى الذاكرة أو الخوادم.
اقتناء النظام	الإجراءات الموضوعة لشراء برمجيات التطبيق، أو الترقية، بما في ذلك تقييم الاستقرار المالي للمورد وسجله وموارده ومراجعه من العملاء الحاليين
إدارة تكوين النظام	التحكم في التغييرات التي تطرأ على مجموعة من عناصر التكوين خلال دورة حياة النظام.
الطرف الخارجي	أي منظمة تعمل كطرف في علاقة تعاقدية لتوفير السلع أو الخدمات (وهذا يشمل الموردين ومقدمي الخدمات).
تهديد	أي ظرف أو حدث يحتمل أن يؤثر سلبًا على العمليات المؤسسية (بما في ذلك المهمة أو الوظائف أو الصورة أو السمعة) أو الأصول المؤسسية أو الأفراد من خلال نظام معلومات عن طريق الوصول غير المصرح به أو التدمير أو الإفصاح أو تعديل المعلومات و/أو الحرمان من الخدمة.
اختبار الوحدة	أسلوب اختبار يستخدم لاختبار منطق البرنامج داخل برنامج أو وحدة نمطية معينة.
اختبار قبول المستخدم (UAT)	الاعتماد على حالات الاستخدام أو الإجراءات الخاصة بكيفية تصميم النظام للأداء والتأكد من أن الشخص الذي يتبع الإجراء يحصل على النتيجة المرجوة.
الثغرة الأمنية	ضعف في نظام المعلومات أو إجراءات أمان النظام أو وسائل الرقابة الداخلية أو التنفيذ التي يمكن استغلالها أو تشغيلها بواسطة مصدر تهديد.
المالك	فرد أو مجموعة تمتلك أو تحوز الحقوق والمسؤوليات الخاصة بمؤسسة أو كيان أو أصل.

مكافحة الاحتيال

دليل مكافحة الإحتيال المالي
الرقم: 44021528 التاريخ (م): 2022/10/11 | التاريخ (هـ): 1444/3/16 الحالة:نافذ
انطلاقاً من دور البنك المركزي الإشرافي والرقابي، وحرصاً منه على تعزيز حماية القطاع المصرفي والمتعاملين معه من التعرض لعمليات الاحتيال المالي والأساليب الاحتيالية، واستناداً الى الصلاحيات المنوطة به بموجب نظامه الصادر بالمرسوم الملكي رقم (م/36) وتاريخ 1442/4/11هـ، والأنظمة الأخرى ذات العلاقة.

مرافق الإصدار المحدث لدليل مكافحة الاحتيال المالي (Counter Fraud Framework)، والذي يهدف إلى تحسين مستوى الممارسات في مكافحة الاحتيال وذلك من خلال تطبيق مجموعة من الضوابط التي تساهم في رفع مستوى النضج لمكافحة الاحتيال بشكل استباقي وأكثر فاعلية للحد من مخاطر الاحتيال، ويتعين على البنوك والمصارف العاملة في المملكة الالتزام بما ورد فيه وفق الإجراءات الأتية:
1. عمل تقييم دقيق للوضع الحالي لإجراءات مكافحة الاحتيال مقارنةً بما ورد في دليل مكافحة الاحتيال المالي (Gap Assessment)؛ لتحديد مواطن الضعف في البنك/ المصرف وتقييم مستوى النضج وفق ما ورد في الدليل من تعريف لـ(Maturity Level) ، وتزويد البنك المركزي بتقارير شهرية حيالها اعتباراً من تاريخ 30 نوفمبر 2022م.
2. وضع خطة عمل (Roadmap)؛ لتحقيق درجة النضج الثالث كحد أدنى للضوابط الواردة في دليل مكافحة الاحتيال خلال (9) أشهر من تاريخه، بعد تقييم الوضع الحالي في بيئة البنك/ المصرف بشكل دقيق وتزويد البنك المركزي بها في موعد أقصاه تاريخ 30 نوفمبر 2022م.
3. استيفاء موافقة مجلس إدارة البنك/ المصرف على خطة العمل (Roadmap) وسبل الدعم
  اللازمة لإنفاذها.
4. يتعين على البنك/ المصرف الالتزام التام بمتطلبات دليل مكافحة الاحتيال المالي في موعد أقصاه تاريخ 29 يونيو 2023م.
5. إعداد تقرير سنوي مفصل من إدارة المراجعة الداخلية - ولها الاستعانة ببيوت الخبرة - يوضح مدى الالتزام بمتطلبات دليل مكافحة الاحتيال المالي ابتداءً من نهاية الربع الرابع من عام
  2023م.
6. يتم تزويد البنك المركزي بخطة العمل المشار إليها في البند (2)، وكذلك التقارير المشار في البند (1)و (5) إلى البريد الإلكتروني: CRC.compliance@SAMA.GOV.sa
7. يحلّ دليل مكافحة الاحتيال المالي المرافق محلّ دليل مكافحة الاحتيال المالي الصادر بموجب التعميم رقم (41071315) وتاريخ 1441/12/27هـ ، وذلك ابتداءً من تاريخ 29 يونيو 2023م.
للإحاطة، والعمل بموجبه اعتباراً من تاريخه.

1. مقدمة

1.1. مقدمة إلى الدليل

أدى التقدم التقني إلى تغييرات سريعة في القطاع المالي. ومع السماح للعملاء بالوصول الفوري إلى المنتجات والخدمات، أدى هذا التحول الرقمي إلى زيادة تعرضهم للاحتيال. وبعد مرحلة الحوادث الصغيرة التي تؤثر على الأفراد، أصبحنا نشهد هجمات احتيال واسعة النطاق عبر الإنترنت نظمتها مجموعات مُنظمة دولية. تعرّض هذه الهجمات العملاء لتهديدات أكثر تعقيدًا من أي وقت مضى، ومن الضروري أن تحمي المؤسسات المالية الأصول بشكل صحيح والتخفيف من حدة مخاطر استغلال العملاء. لا يتسبب الاحتيال في ضرر عاطفي وخسائر مالية للعملاء فحسب، بل يمكن أن يضر أيضًا بسمعة المؤسسات وسلامتها المالية، مما يقلل الثقة في القطاع المالي بشكل عام في المملكة العربية السعودية.
يدرك القطاع المالي معدل تطور مخاطر الاحتيال وأهمية الضوابط للحيلولة دون الاحتيال المشتبه فيه وكشفه والاستجابة له. إن تقديم نهج فعال لإدارة مخاطر الاحتيال سيساعد المملكة العربية السعودية على تحقيق رؤية 2030 التي تهدف إلى بناء بيئة أعمال مستقرة ومزدهرة ومتنوعة مع حماية أفراد المجتمع وجعل المملكة وجهة غير جذابة للمحتالين.
وضع البنك المركزي السعودي* دليلاً لمكافحة الاحتيال المالي ("الدليل") لتمكين المؤسسات التي تخضع للوائح التنظيمية ("المؤسسات المالية") من تحديد المخاطر المتعلقة بالاحتيال ومعالجتها بشكل فعال. فيما يلي أهداف هذا الدليل:
1.	إعداد نهج مشترك لمعالجة مخاطر الاحتيال داخل المؤسسات المالية.
2.	تحقيق مستوى مناسب من النضج لضوابط الاحتيال داخل المؤسسات المالية.
3.	ضمان إدارة مخاطر الاحتيال بشكل صحيح في جميع المؤسسات المالية.
سيتم استخدام الدليل لإجراء تقييم دوري لمستوى النضج ومراجعة فعالية ضوابط مكافحة الاحتيال في المؤسسات المالية. يعتمد هذا الدليل على متطلبات البنك المركزي ومعايير الاحتيال في القطاع.

2.1. تعريف الاحتيال
يتم تعريف الاحتيال على أنه أي فعل مقصود يهدف إلى الحصول على منفعة غير مشروعة أو التسبب في خسارة لطرف آخر. ويمكن أن يكون ذلك بسبب استغلال الوسائل الفنية أو الوثائقية، أو العلاقات أو الوسائل الاجتماعية، أو استخدام القوى الوظيفية، أو الإهمال المتعمد أو استغلال نقاط الضعف في الأنظمة أو المعايير، بشكل مباشر أو غير مباشر.
لدعم تعريف الاحتيال، ينبغي على المؤسسات المالية أن تحيط علمًا بالقائمة غير الشاملة لأنواع الاحتيال المُدرجة في الملحق.

3.1. النطاق
يحدد الدليل المبادئ ومتطلبات الرقابة لبدء وتنفيذ وحفظ ومراقبة وتحسين ضوابط مكافحة الاحتيال داخل المؤسسات المالية التي تخضع لرقابة البنك المركزي. تشمل المبادئ ومتطلبات الرقابة منع الاحتيال واكتشافه والاستجابة له، بالإضافة إلى حوكمة برنامج مكافحة الاحتيال في المؤسسة. ويجب تنفيذ الدليل بالتزامن مع أطر البنك المركزي الأخرى، ولا سيما الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي ("الدليل التنظيمي لأمن المعلومات")، الذي يجب الرجوع إليه لمعرفة أي متطلبات محددة تتعلق بالأمن السيبراني.

4.1. نطاق التطبيق
ينطبق الدليل على جميع المؤسسات المالية العاملة في المملكة العربية السعودية بناءً على تقدير البنك المركزي. يتولى البنك المركزي إخطار المؤسسات المالية التي يجب عليها لتنفيذ الدليل والامتثال له.

5.1. المسؤوليات
تم تفويض الدليل من البنك المركزي، وسيتم تعميمه على المؤسسات المالية لتنفيذه. البنك المركزي هو الجهة المالكة لهذا الدليل والجهة المسؤولة كذلك عن تحديثه بصفة دورية. تتولى المؤسسات المالية مسؤولية تنفيذ الدليل والامتثال له.

6.1. التفسير
يتولى البنك المركزي، باعتباره مالك الدليل، وحدة المسؤولية عن تقديم تفسيرات للمبادئ ومتطلبات الرقابة، إذا لزم الأمر.

7.1. الجمهور المستهدف
هذا الدليل مُعد للإدارة العليا والإدارة التنفيذية وأصحاب الأعمال وأعضاء إدارة مكافحة الاحتيال المالي في المؤسسة المالية والمسؤولين عن تخطيط وتحديد وتنفيذ ومراجعة ضوابط مكافحة الاحتيال المالي عبر خطوط الدفاع الثلاثة.

8.1. المراجعة والتحديثات والحفظ
يراجع البنك المركزي الدليل دوريًا لتحديد مدى فعاليته، بما في ذلك مدى فعالية الدليل في التصدي لتهديدات ومخاطر الاحتيال الناشئة. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث الدليل بناءً على نتائج المراجعة.
إذا رأت إحدى المؤسسات المالية أن تحديث الدليل مطلوب، فيجب على المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي. يراجع البنك المركزي التحديث المطلوب، وإذا أمكن، سيتم تعديل الدليل في الإصدار المُحدَث التالي. ستظل المؤسسة المالية مسؤولة عن الالتزام بالدليل حتى تحديث الإصدار.
يُرجى الرجوع إلى "الملحق ج - كيفية طلب تحديث الدليل» للتعرف على عملية طلب تحديث بالدليل.
سيتم تنفيذ مراقبة الإصدار للحفاظ على الدليل. عند إجراء أي تغييرات، سيتم إيقاف الإصدار السابق، وسيتم نشر الإصدار الجديد وتعميمه في جميع المؤسسات المالية. ولتيسير الأمور على المؤسسات المالية، يجب الإشارة بوضوح إلى التغييرات في الدليل.

9.1. دليل القراءة
يتم تقسيم الدليل على النحو التالي. يتناول الفصل الثاني هيكل الدليل، ويقدم تعليمات عن كيفية تطبيق الدليل. تعرض الفصول من الثالث إلى السادس الدليل الفعلي، بما في ذلك مجالات مكافحة الاحتيال المالي والمجالات الفرعية والمبادئ ومتطلبات الرقابة.

2. هيكل الدليل والميزات

1.2. الهيكل

يتمحور الدليل حول أربعة مجالات رئيسية، وهي:
•	الحوكمة
•	المنع
•	الكشف
•	الاستجابة
ينطوي كل مجال على عدة مجالات فرعية. يركز المجال الفرعي على موضوع محدد يتعلق بمكافحة الاحتيال المالي. عندما يكون من المفيد تحديد متطلبات الرقابة بشكل أكبر، يتم تقسيم المجال الفرعي إلى قطاعات فرعية. لكل مجال فرعي (أو قسم فرعي)، ينص الدليل على المبدأ ومتطلبات الرقابة ذات الصلة.
•	يلخص المبدأ المجموعة الرئيسية من ضوابط مكافحة الاحتيال المالي المتعلقة بالمجال الفرعي (أو القسم الفرعي).
•	تعكس متطلبات المراقبة ضوابط مكافحة الاحتيال المقررة التي يجب أن تأخذها المؤسسات المالية في الاعتبار عند تصميم وتنفيذ برنامج مكافحة الاحتيال.
ويجب تنفيذ الدليل في ضوء مبادئ المجالات الفرعية إلى جانب متطلبات المراقبة المرتبطة بها.
تم ترقيم متطلبات المراقبة بشكل فريد وفقًا لنظام الترقيم التالي في جميع أنحاء الدليل:
الشكل 1 - نظام ترقيم متطلبات المراقبة
يوضح الشكل أدناه الهيكل العام للدليل، ويشير إلى مجالات دليل مكافحة الاحتيال المالي والمجالات الفرعية والقطاعات الفرعية، بما في ذلك الإشارة إلى القسم المعمول به من الدليل.
الشكل 2 - هيكل دليل مكافحة الاحتيال المالي
للمساعدة في اتساق التنفيذ في المؤسسات المالية، يحتوي الملحق (أ) على قائمة بمصطلحات محددة. عند استخدام مصطلح محدد في المجالات والمجالات الفرعية في الفصول من الثالث إلى السادس، يتم إدراجه بنص مائل (على سبيل المثال، الاحتيال الداخلي، وتقييم مخاطر الاحتيال، والمراقبة الاستخبارية، وما إلى ذلك).

2.2. استناد الدليل إلى المبادئ
يستند الدليل إلى المبادئ، وتدعمه مجموعة محددة من متطلبات المراقبة، مما يتيح للمؤسسات المالية تبنّي نهج قائم على المخاطر ضمن الأنظمة المعمول بها في المملكة العربية السعودية. هذا يعني أنها تنص على المبادئ الرئيسية لمكافحة الاحتيال المالي التي يتعين على المؤسسات المالية ترسيخها وتحقيقها. وتوفر قائمة متطلبات الرقابة المقررة توجيهات إضافية، ويجب على المؤسسات المالية أن تضعها بعين الاعتبار. عند عدم التمكن من تنفيذ متطلبات رقابة معينة، يجب على المؤسسة المالية اتباع عملية استثناء تتضمن النظر في ضوابط تعويضية متناسبة مع العمليات التجارية، ومتابعة قبول المخاطر الداخلية، وأخيرًا طلب إعفاء رسمي من البنك المركزي. ستكون الموافقة على طلبات الإعفاء وفقًا لتقدير البنك المركزي. الرجاء الإطلاع على الملحق (هـ) للحصول على تفاصيل إجراء - كيفية طلب الإعفاء من الدليل.

3.2. التقييم الذاتي والمراجعة والتدقيق
سيخضع تنفيذ الدليل في المؤسسات المالية لتقييم ذاتي دوري. تجري المؤسسات المالية التقييم الذاتي بناءً على استبيان. ستتم مراجعة التقييمات الذاتية وتدقيقها من جانب البنك المركزي لتحديد مستوى الامتثال للدليل ومستوى نضج مكافحة الاحتيال بالمؤسسات المالية. الرجاء الإطلاع على "4.2 نموذج نضج مكافحة الاحتيال" لمزيد من التفاصيل حول نموذج نضج مكافحة الاحتيال.

4.2. نموذج نضج مكافحة الاحتيال

سيتم قياس مستوى نضج مكافحة الاحتيال المالي بمساعدة نموذج نضج مُحدد مسبقًا. يميز نموذج نضج مكافحة الاحتيال المالي بين 6 مستويات للنضج (0، 1، 2، 3، 4 و5)، التي تم تلخيصها في الجدول أدناه. من أجل تحقيق المستويات 3 أو 4 أو 5، يجب على المؤسسات المالية أولاً أن تستوفي جميع معايير مستويات النضج السابقة.

مستوى النضج	التعريف والمعايير	إيضاح
0 غير موجود	لا توجد وثائق. لا يوجد وعي أو اهتمام ببعض ضوابط مكافحة الاحتيال المالي.	لا توجد ضوابط لمكافحة الاحتيال. قد لا يكون هناك وعي بمجال المخاطر المحدد، أو لا توجد خطط حالية لتنفيذ ضوابط مكافحة الاحتيال المالي هذه.
1 مخصصة	لم يتم تحديد ضوابط مكافحة الاحتيال المالي أو تم تعريفها جزئيًا. يتم تنفيذ ضوابط مكافحة الاحتيال المالي بطريقة غير متسقة. لم يتم تعريف ضوابط مكافحة الاحتيال المالي بشكل كامل.	يختلف تصميم وتنفيذ مراقبة مكافحة الاحتيال المالي حسب الإدارة أو الجهة المسؤولة. قد يؤدي تصميم مراقبة مكافحة الاحتيال المالي إلى التخفيف جزئيًا فقط من حدة المخاطر المحددة، وقد يكون التنفيذ غير متسق.
2 متكررة، ولكن غير رسمية	يعتمد تنفيذ ضوابط مكافحة الاحتيال المالي على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.	توجد ضوابط متكررة لمكافحة الاحتيال المالي. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي. هناك اعتبار محدود للمراجعة المُنظمة أو اختبار بعض الضوابط.
3 مُنظم وذو طابع رسمي	يتم تحديد ضوابط مكافحة الاحتيال المالي والموافقة عليها وتنفيذها بطريقة مُنظمة ورسمية. تم تنفيذ ودمج قدرة نظام كشف الاحتيال المالي. يمكن إثبات تنفيذ ضوابط مكافحة الاحتيال المالي. يتم إعداد تقارير لمتابعة أداء الرقابة على مكافحة الاحتيال المالي.	يتم وضع سياسات ومعايير وإجراءات مكافحة الاحتيال المالي. يتم تنفيذ ضوابط مكافحة الاحتيال المالي ودمجها. توجد قدرة نظام كشف الاحتيال لمنع الاحتيال واكتشافه بشكل استباقي عبر جميع المنتجات والقنوات. تتم مراقبة الامتثال لوثائق مكافحة الاحتيال المالي (أي السياسات والمعايير والإجراءات)، ويُفضل أن يكون ذلك باستخدام أداة الحوكمة والمخاطر والامتثال (GRC). يتم تحديد مؤشرات الأداء الرئيسية ورفع تقارير عنها لمراقبة تنفيذ الضوابط.
4 مُدار وقابل للقياس	يتم تقييم فعالية ضوابط مكافحة الاحتيال المالي دوريًا وتحسينها عند الضرورة. يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.	يجري قياس فعالية ضوابط مكافحة الاحتيال المالي المُطبقة وتقييمها دوريًا. يتم استخدام مؤشرات المخاطر الرئيسية وتقارير التوجهات لرصد الوضع القائم وفق القدرة في تحمل المخاطر وإعطاء تحذير مبكر بشأن المشكلات الناشئة المحتملة. يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط مكافحة الاحتيال المالي.
5 متكيّف	تخضع ضوابط مكافحة الاحتيال المالي لخطة تحسين مستمر.	يركز برنامج مكافحة الاحتيال المالي على مستوى المؤسسة على الامتثال المستمر والفعالية وتحسين ضوابط مكافحة الاحتيال المالي. يتم دمج ضوابط مكافحة الاحتيال المالي مع إطار وممارسات إدارة المخاطر على مستوى المؤسسة.

الجدول 1 - نموذج نضج مكافحة الاحتيال المالي

الهدف من الدليل هو إعداد نهج فعال لمعالجة وإدارة مخاطر مكافحة الاحتيال داخل القطاع المالي. ولتحقيق مستوى نضج مناسب لمكافحة الاحتيال المالي، يجب على المؤسسات المالية أن تعمل على الأقل وفق مستوى النضج الثالث أو مستوى أعلى كما هو موضح أدناه.

1.4.2. مستوى النضج الثالث
لتحقيق المستوى الثالث من النضج، يجب على المؤسسة المالية أن تحدد وتوافق وتنفذ ضوابط مكافحة الاحتيال المالي بما يتماشى مع متطلبات الرقابة في هذا الدليل. يتضمن ذلك تنفيذ قدرة نظام كشف الاحتيال لمنع الاحتيال وكشفه بشكل استباقي.
وبالإضافة إلى ذلك، يجب على المؤسسة المالية أن تراقب الامتثال لوثائق مكافحة الاحتيال. يجب أن تشير وثائق مكافحة الاحتيال المالي بوضوح إلى "لماذا" و"ماذا" و"كيف" يجب تنفيذ ضوابط مكافحة الاحتيال المالي. تتألف وثائق مكافحة الاحتيال المالي من سياسات ومعايير وإجراءات مكافحة الاحتيال المالي.

الشكل 3 - هرم توثيق مكافحة الاحتيال المالي

يجب إقرار سياسة مكافحة الاحتيال وتفويضها من مجلس إدارة المؤسسة المالية، وتوضيح "سبب" أهمية مكافحة الاحتيال وحماية العملاء بالنسبة للمؤسسة المالية. يجب أن تسلط السياسة الضوء على النطاق العام لمكافحة الاحتيال المالي
يجب إعداد البرنامج والمسؤوليات الرئيسية لمكافحة الاحتيال المالي و"ماهية" مبادئ وأهداف مكافحة الاحتيال المالي.
واستنادًا إلى سياسة مكافحة الاحتيال المالي، يجب إعداد معايير مكافحة الاحتيال المالي. تحدد هذه المعايير "ماهية" ضوابط مكافحة الاحتيال المالي التي يجب تنفيذها، مثل العناية الواجبة والمصادقة والوقاية والكشف وما إلى ذلك. تدعم المعايير وتعزز سياسة مكافحة الاحتيال المالي، ويجب اعتبارها خطوط أساس مكافحة الاحتيال المالي.
وترد تفاصيل المهام والأنشطة التي يجب أن يؤديها موظفو المؤسسة المالية خطوة بخطوة في إجراءات مكافحة الاحتيال المالي. تصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة مكافحة الاحتيال المالي في بيئة العمل.
يجب مراقبة التقدم المُحرز الفعلي في التنفيذ والأداء والامتثال لضوابط مكافحة الاحتيال المالي دوريًا باستخدام مؤشرات الأداء الرئيسية.

2.4.2. مستوى النضج الرابع
لتحقيق مستوى النضج الرابع، يجب على المؤسسات المالية قياس وتقييم فعالية ضوابط مكافحة الاحتيال المالي المُنفذة دوريًا لتحقيق مستوى النضج الثالث. ولقياس وتقييم ما إذا كانت ضوابط مكافحة الاحتيال المالي فعالة، يجب تحديد مؤشرات المخاطر الرئيسية(KRIs). يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية لرصد الزيادة المحتملة في التعرض لمخاطر الاحتيال والسماح باتخاذ إجراءات لتخفيف حدة المخاطر قبل حدوث زيادة في حالات الاحتيال.

3.4.2 مستوى النضج الخامس
يركز مستوى النضج الخامس على التحسين المستمر لضوابط مكافحة الاحتيال المالي. يتم تحقيق التحسين المستمر من خلال التحليل المستمر لأهداف وإنجازات حوكمة مكافحة الاحتيال المالي وتحديد التحسينات الهيكلية. يجب دمج ضوابط مكافحة الاحتيال المالي مع ممارسات إدارة المخاطر على مستوى المؤسسة ودعمها بمراقبة آلية في الوقت الحقيقي لتقييم فعالية الرقابة. يجب أن يكون أصحاب العمليات التجارية مسؤولين عن مراقبة الامتثال لضوابط مكافحة الاحتيال المالي، وقياس فعالية ضوابط مكافحة الاحتيال المالي، ودمج ضوابط مكافحة الاحتيال المالي ضمن إطار إدارة المخاطر على مستوى المؤسسة.

3. الحوكمة
يتحمل مجلس الإدارة والقيادة التنفيذية للمؤسسة المالية المسؤولية النهائية عن وضع برنامج لمكافحة الاحتيال المالي؛ وإتاحة القيادة والتوجيه؛ وإبراز ثقافة مكافحة الاحتيال المالي داخل المؤسسة وخارجها. يجب أن يتضمن البرنامج استراتيجية مكافحة الاحتيال المالي لتحديد الأهداف التنظيمية، وسياسة مكافحة الاحتيال المالي التي تحدد المسؤوليات والمتطلبات الإلزامية، وهيكل الحوكمة مع التقارير الداخلية والخارجية المرتبطة بها التي تتماشى مع حجم المؤسسة ومستوى التعقيد بها لرصد إدارة مخاطر الاحتيال والإشراف عليها.

الشكل 4 - مجال الحوكمة

1.3. هيكل الحوكمة

المبدأ
يجب على المؤسسات المالية إعداد واستدامة هيكل حوكمة مكافحة الاحتيال المالي الخاص بالإدارة العليا مع تولي مسؤولية الإشراف والرقابة على جميع جوانب برنامج مكافحة الاحتيال المالي التنظيمي.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية إنشاء وضمان عمل لجنة حوكمة مخصصة لمكافحة الاحتيال (CFGC).
ب.	يجب أن يرأس أحد أعضاء اللجنة التنفيذية لجنة الحوكمة المخصصة لمكافحة الاحتيال (CFGC) (على سبيل المثال، الرئيس التنفيذي (CEO) أو رئيس إدارة المخاطر (CRO) أو ما يعادله).
ج.	يجب تمثيل المناصب التالية كحد أدنى في لجنة الحوكمة المخصصة لمكافحة الاحتيال (CFGC):
	1.	رئيس مكافحة الاحتيال/المدير الأول المسؤول عن برنامج مكافحة الاحتيال المالي.
	2.	رئيس إدارة المخاطر.
	3.	الرئيس التنفيذي للعمليات.
	4.	رئيس الأعمال الرقمية.
	5.	رؤساء إدارات الأعمال ذات الصلة أو أصحاب المنتجات (على سبيل المثال، مدير عام البيع لشؤون الأفراد / الشركات).
	6.	كبار المديرين من جميع الإدارات المشاركة في إدارة مخاطر الاحتيال (على سبيل المثال، إدارة المخاطر التشغيلية، والأمن السيبراني، وإدارة مكافحة الاحتيال المالي، والتحليلات، والامتثال).
	7.	يجب أن يحضر التدقيق الداخلي بصفة "مراقب".
د.	يجب إعداد ميثاق لجنة الحوكمة المختصة بمكافحة الاحتيال والموافقة عليه، وأن يعكس الميثاق ما يلي:
	1.	أهداف اللجنة.
	2.	سلطة اللجنة ومساءلتها.
	3.	الأدوار والمسؤوليات.
	4.	الحد الأدنى لعدد ودور المشاركين في الاجتماع المطلوب لاستيفاء النصاب القانوني.
	5.	وتيرة عقد الاجتماعات (الحد الأدنى على أساس ربع سنوي).
	6.	إجراء التصعيد لقضايا أو حوادث الاحتيال إلى مستوى مجلس الإدارة.
	7.	توثيق وحفظ محاضر الاجتماعات وقراراتها.
هـ.	يجب أن تكون لجنة الحوكمة المختصة بمكافحة الاحتيال مسؤولة على الأقل عن:
	1.	الموافقة والدعم والتواصل والمراقبة:
		أ.	استراتيجية مكافحة الاحتيال المالي.
		ب.	سياسة مكافحة الاحتيال المالي.
		ج.	إطار عمل إدارة مخاطر الاحتيال الذي يجب أن يتضمن كحد أدنى ما يلي:
			i.	عملية المراقبة الاستخباراتية.
			ii.	تقييم مخاطر الاحتيال.
			iii.	قابلية مخاطر الاحتيال
			iv.	مؤشرات المخاطر الرئيسية للاحتيال.
		د.	معلومات الإدارة
	2.	توفير القيادة والتوجيه والإشراف على برنامج مكافحة الاحتيال المالي في المؤسسة المالية.
و.	يجب على المؤسسات المالية تعيين رئيس مؤهل وذي خبرة مناسبة لمكافحة الاحتيال المالي ليكون مسؤولاً عن برنامج مكافحة الاحتيال المالي على مستوى الإدارة العليا (راجع متطلبات الرقابة 5.3.هـ).
ز.	يجب على المؤسسات المالية إعداد عملية موثقة ومعتمدة لميزانية مكافحة الاحتيال المالي وتحديد أولويات الإنفاق التي يجب أن تتماشى مع الأهداف الإستراتيجية لمكافحة الاحتيال.
ح.	يجب مراقبة الميزانية العامة لمكافحة الاحتيال المالي ومراجعتها دوريًا وتعديلها وفقًا لذلك من لجنة الحوكمة المختصة بمكافحة الاحتيال لتلبية احتياجات مكافحة الاحتيال المالي واحتياجات العمل.
ط.	يجب على المؤسسات المالية تحديد أدوار ومسؤوليات الإدارة العليا وموظفي إدارة مكافحة الاحتيال المالي باستخدام مصفوفة تعيين المسؤولية، المعروفة أيضًا باسم "RACI". يجب أن تحدد مصفوفة "RACI" من المسؤول والخاضع للمساءلة عن عمليات وضوابط مكافحة الاحتيال المالي، وكذلك من يجب استشارته أو إعلامه.

2.3. استراتيجية مكافحة الاحتيال المالي

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على استراتيجية مكافحة الاحتيال المالي التي تتماشى مع الأهداف الاستراتيجية العامة للمؤسسة، حيث تحدد مبادرات مكافحة الاحتيال المالي القصيرة والطويلة الأجل وتعميم خطة عمل لتحقيقها.
متطلبات الرقابة
أ.	يجب تحديد استراتيجية مكافحة الاحتيال والموافقة عليها وتنفيذها وحفظها.
ب.	يجب ترجمة المبادرات الإستراتيجية لمكافحة الاحتيال المالي إلى خارطة طريق محددة، بما في ذلك على سبيل المثال لا الحصر، النظر في ما يلي:
	1.	الجداول الزمنية لتنفيذ المبادرات.
	2.	المالك المسؤول عن تنفيذ المبادرة.
	3.	كيف ستعمل المبادرات على سد الفجوات بين البيئات الحالية والمستهدفة.
	4.	دمج المبادرات في استراتيجية متماسكة لمكافحة الاحتيال المالي تتوافق مع استراتيجية العمل.
	5.	أوجه الاعتماد والتداخلات والتآزر والتأثيرات بين المشاريع وتحديد الأولويات.
ج.	يجب أن تتماشى استراتيجية مكافحة الاحتيال المالي مع:
	1.	الأهداف الإستراتيجية العامة للأعمال للمؤسسة المالية.
	2.	الاستراتيجيات الأوسع نطاقًا التي قد تؤثر على مخاطر الاحتيال وضوابطه، على سبيل المثال، الأمن السيبراني وتكنولوجيا المعلومات والجرائم المالية (مكافحة غسيل الأموال (AML) والعناية الواجبة تجاه العملاء(CDD)).
	3.	متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية وأي أنظمة أخرى معمول بها في المملكة العربية السعودية.
د.	يجب أن تعالج استراتيجية مكافحة الاحتيال المالي على الأقل ما يلي:
	1.	النضج الحالي للمؤسسة المالية، بما في ذلك أهم التحديات المتعلقة بالاحتيال التي تواجهها.
	2.	متطلبات الأشخاص والعمليات والتكنولوجيا لتنفيذ الاستراتيجية وإدارة الاحتيال بشكل استباقي في حدود القدرة على تحمل المخاطر.
	3.	الاتجاه المستقبلي لبرنامج مكافحة الاحتيال المالي في المؤسسة المالية، والمبادرات المطلوبة للانتقال بنجاح إلى الحالة المستقبلية المرغوبة.
	4.	التغييرات المعروفة في مشهد الاحتيال (على سبيل المثال، زيادة التحول الرقمي في منتجات الخدمات المالية، أو التهديدات الخارجية الجديدة، أو اللوائح التنظيمية الجديدة، أو التوجيهات).
هـ.	يجب على المؤسسة المالية مراجعة استراتيجية مكافحة الاحتيال المالي الخاصة بها وتحديثها عند الحاجة على أساس دوري أو كلما كان هناك تغيير جوهري:
	1.	داخليًا (على سبيل المثال، نموذج عمل المؤسسة المالية، أو البيئة التشغيلية، أو استراتيجية العمل).
	2.	خارجيًا (على سبيل المثال، مشهد الاحتيال أو الأنظمة واللوائح المعمول بها).

3.3. سياسة وإجراءات مكافحة الاحتيال المالي

المبدأ
يجب على المؤسسات المالية تحديد سياسة مكافحة الاحتيال المالي والموافقة عليها وإبلاغها وتنفيذها لتحديد الالتزام والأهداف الخاصة بمكافحة الاحتيال المالي وتوفير المتطلبات لأصحاب المصلحة المعنيين؛ والإجراءات المرتبطة بها لتحديد المهام والأنشطة بالتفصيل التي يجب أن يقوم بها الموظفون.
متطلبات الرقابة
أ.	ينبغي تحديد سياسة وإجراءات مكافحة الاحتيال المالي والموافقة عليها ونشرها وتنفيذها.
ب.	يجب أن تراعي سياسات وإجراءات مكافحة الاحتيال المالي المخاطر المحددة في تقييم مخاطر الاحتيال، ومشهد الاحتيال المتطور ونموذج عمل المؤسسة المالية وعملياتها، ويجب مراجعتها دوريًا لضمان إدارة المخاطر المحددة بشكل فعال.
ج.	يجب أن تكون سياسة مكافحة الاحتيال المالي متاحة بسهولة لجميع الموظفين والمتعاقدين والأطراف الخارجية ذات الصلة، بما في ذلك جميع الفروع والشركات التابعة المملوكة للأغلبية.
د.	يجب أن تتطلب سياسة مكافحة الاحتيال المالي من المؤسسات المالية اتباع جميع أنظمة ولوائح مكافحة الاحتيال المالي المعمول بها، ومتطلبات مشغلي الدفع.
هـ.	يجب أن تتضمن سياسة مكافحة الاحتيال المالي كحد أدنى ما يلي:
	1.	مالك محدد يتمتع بالأقدمية والدور المناسبين (على سبيل المثال، رئيس قسم مكافحة الاحتيال المالي).
	2.	الأهداف العامة لمكافحة الاحتيال في المؤسسة المالية ونطاقها.
	3.	بيان نية مجلس الإدارة الداعم لأهداف مكافحة الاحتيال.
	4.	المتطلبات الأساسية لتوفير نهج متسق ومتناسب وفعال لإدارة مخاطر الاحتيال.
	5.	مسؤوليات أصحاب المصلحة الرئيسيين والأطراف الخارجية ذات الصلة الذين يؤدون دورًا في إدارة الاحتيال أو منعه أو كشفه أو الاستجابة له عبر خطوط الدفاع الثلاثة (على سبيل المثال، الإدارة العليا، والامتثال، والتدقيق الداخلي).
	6.	متطلبات التصعيد والإبلاغ في حالة انتهاك السياسة.
و.	يجب أن تحدد إجراءات مكافحة الاحتيال المالي المهام والأنشطة بالتفصيل التي يجب أن يؤديها الموظفون في بيئة التشغيل لعملية مكافحة الاحتيال المالي وعمليات المراقبة (على سبيل المثال، تقييم مخاطر المنتج، ومعالجة التنبيهات، والتحقيقات).
ز.	بالنسبة للمؤسسات المالية التي يقع مقرها الرئيسي في المملكة العربية السعودية، يجب أن تنطبق سياسة مكافحة الاحتيال المالي على جميع الفروع الدولية والشركات التابعة. إذا كان قانون ولاية قضائية أخرى يحظر الامتثال، فيجب توثيق الإعفاء والموافقة عليه.

4.3. الأدوار والمسؤوليات

المبدأ
يجب على المؤسسات المالية تحديد أدوار ومسؤوليات مكافحة الاحتيال المالي والموافقة عليها وتنفيذها عبر خطوط الدفاع الثلاثة، ويجب أن يكون لدى جميع أصحاب المصلحة المعنيين مستوى مناسب من المعرفة لاستيعاب التوقعات المتعلقة بدورهم.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد واعتماد وتنفيذ أدوار ومسؤوليات مكافحة الاحتيال المالي لجميع أصحاب المصلحة المعنيين والتأكد من تعميمها واستيعابها.
ب.	يجب أن يكون مجلس الإدارة مسؤولاً عن:
	1.	إعداد برنامج مكافحة الاحتيال المالي.
	2.	تحديد الأسلوب من الإدارة العليا لإرساء ثقافة مكافحة الاحتيال المالي من خلال مدونة قواعد السلوك (أو ما يعادلها).
	3.	ضمان وضع إطار عمل قوي لإدارة مخاطر الاحتيال والحفاظ عليه لإدارة مخاطر الاحتيال.
	4.	التأكد من تخصيص ميزانية كافية لمكافحة الاحتيال المالي واستخدامها ومراقبتها.
	5.	الموافقة على ميثاق لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC).
	6.	المصادقة (بعد الاعتماد من لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC)):
		أ.	أدوار ومسؤوليات الإدارة العليا المسؤولة عن برنامج مكافحة الاحتيال المالي.
		ب.	استراتيجية مكافحة الاحتيال المالي.
		ج.	سياسة مكافحة الاحتيال المالي.
		د.	مخرجات تقييم مخاطر الاحتيال.
		هـ.	قابلية مخاطر الاحتيال.
ج.	يجب أن يكون رئيس مكافحة الاحتيال المالي مسؤولاً عن ما يلي:
	1.	وضع وتنفيذ وحفظ:
		أ.	استراتيجية مكافحة الاحتيال المالي.
		ب.	سياسة مكافحة الاحتيال المالي.
		ج.	تقييم مخاطر الاحتيال.
		د.	قابلية مخاطر الاحتيال.
		هـ.	مؤشرات المخاطر الرئيسية للاحتيال.
	2.	تعزيز واستدامة الأسلوب المتبع من الإدارة العليا لتقديم ثقافة الامتثال لمدونة قواعد السلوك.
	3.	وضع برنامج مكافحة الاحتيال القائم على المخاطر الذي يتناول الأشخاص والعمليات والتكنولوجيا، بما في ذلك الأنظمة المناسبة لمنع الاحتيال وكشفه والاستجابة له.
	4.	ضمان وضع معايير وإجراءات مفصلة لمكافحة الاحتيال المالي والموافقة عليها وتنفيذها.
	5.	ضمان استمرارية فعالية نظم وضوابط مكافحة الاحتيال المالي في ضوء التهديدات المتطورة التي تم تحديدها من خلال المراقبة الاستخبارية.
	6.	إبلاغ لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) دوريًا بآخر التطورات بشأن المبادرات الإستراتيجية لمكافحة الاحتيال وحالة التنفيذ.
	7.	إنشاء إدارة لمكافحة الاحتيال المالي تتمتع بالموارد الكافية وتتحمل المسؤولية عن المتطلبات الموضحة في المجال الفرعي 5.3.
	8.	الجمع والإشراف على تقارير المعلومات الإدارية على مستوى المؤسسة التي يتم إعدادها فيما يتعلق بمخاطر وأداء مكافحة الاحتيال المالي.
	9.	إخطار البنك المركزي فورًا بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة بما يتماشى مع متطلبات الإخطار الإشرافي المدرجة في المجال الفرعي 7.3.
	10.	اتخاذ الإجراء اللازم عند تلقي إخطار بأي حوادث احتيال كبيرة أو تحقيقات أو انتهاكات لسياسة أو معايير مكافحة الاحتيال، وتقديم التقارير إلى مجلس الإدارة أو لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) حسب الاقتضاء.
	11.	تحديد برنامج التوعية المستمرة بالاحتيال في المؤسسة بالتنسيق مع الإدارات المعنية (مثل العمليات والاتصالات والموارد البشرية).
د.	كحد أدنى، يجب أن تكون الإدارة العليا مسؤولة عن:
	1.	ضمان امتثال الموظفين لمدونة قواعد السلوك وسياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
	2.	ضمان حصول الموظفين على تدريب يتماشى مع متطلبات برنامج التدريب والتوعية لمكافحة الاحتيال.
	3.	إعداد ومراجعة تقارير المعلومات الإدارية المنتظمة لمراقبة مخاطر وأداء مكافحة الاحتيال المالي.
	4.	إخطار لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) عندما يكون التصعيد مطلوبًا (على سبيل المثال، النتائج الداخلية السلبية المتعلقة بضوابط مكافحة الاحتيال المالي أو تجاوز قابلية مخاطر الاحتيال).
	5.	إدارة خسائر الاحتيال من خلال العمليات والضوابط في نطاق المساءلة الخاص ضمن قابلية مخاطر الاحتيال المتفق عليها في المؤسسة.
	6.	الحفاظ على النظم والضوابط المناسبة لمنع الاحتيال وكشفه والاستجابة له.
هـ.	يجب أن يكون المدير (المديرون) المسؤولون عن عمليات الاحتيال (على سبيل المثال، إدارة تنبيهات الاحتيال والاستجابة لحالات الاحتيال المُبلغ عنها والتعامل مع حالات الاحتيال) مسؤولين عن:
	1.	التأكد أن جميع عمليات الاحتيال المشتبه بها، بما في ذلك تنبيهات النظام والإحالات اليدوية للموظفين والعملاء يتم تحديد أولوياتها بشكل مناسب والتحقيق فيها وتسجيل النتيجة بشكل مناسب.
	2.	اتخاذ خطوات فورية لمنع المزيد من المخاطر واتخاذ الإجراء /الإجراءات التصحيحية عند تحديد عملية احتيال.
	3.	إخطار الأطراف الخارجية المعنية (مثل سلطات إنفاذ القانون).
و.	يجب أن تكون إدارة المراجعة الداخلية مسؤولة عن:
	1.	تحديد مجموعة شاملة من المجالات القابلة للمراجعة فيما يتعلق بمخاطر الاحتيال.
	2.	تقييم مخاطر الاحتيال وتحديد أولوياتها أثناء التخطيط للمراجعة.
	3.	إجراء عمليات مراجعة الاحتيال وإعداد تقارير موضوعية مستقلة.
ز.	يجب أن يكون جميع موظفي المؤسسة المالية مسؤولين عن:
	1.	الامتثال لسياسات ومعايير وإجراءات مكافحة الاحتيال المالي المعمول بها.
	2.	الإبلاغ عن أي شبهات احتيال في الوقت المناسب.
ح.	يجب على المؤسسات المالية التأكد من أن حالات الاحتيال الداخلي المشتبه فيها أو الفعلية يحقق فيها أفراد ذوو أقدمية مناسبة (على سبيل المثال، إذا كان الاحتيال يتعلق بمدير، فيجب أن يتولى فرد ذو أقدمية أعلى مسؤولية الإشراف على التحقيق والموافقة عليه)؛ والاستقلالية (على سبيل المثال، يجب على إدارة المراجعة الداخلية أو إدارة رقابية مماثلة إجراء التحقيق مع المحققين للحيلولة دون حدوث أي تضارب محتمل في المصالح).
ط	يجب على المؤسسات المالية إجراء مراجعة دورية لأدوار ومسؤوليات الموظفين ذوي المسؤوليات المتعلقة بالاحتيال للتأكد من أنها تعكس أفضل الممارسات، وتتناول أنماط الاحتيال الشائعة وتتوافق مع مشهد الاحتيال ونموذج العمل.
ي.	يجب على المؤسسات وضع خطة تعاقب رسمية لمكافحة الاحتيال المالي بالتنسيق مع إدارة الموارد البشرية مع مراعاة الاعتماد على الموظفين الرئيسيين في مكافحة الاحتيال المالي الذين يضطلعون بأدوار ومسؤوليات مهمة للغاية.

5.3. إدارة مكافحة الاحتيال المالي

المبدأ
يجب على المؤسسات المالية تأسيس وتسيير أعمال إدارة مختصة بمكافحة الاحتيال المالي تتولى مسؤولية التشغيل اليومي لبرنامج مكافحة الاحتيال المالي.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تأسيس وتسيير أعمال إدارة مختصة بمكافحة الاحتيال المالي تتولى مسؤولية التشغيل اليومي لبرنامج مكافحة الاحتيال، وتشمل مهام الإدارة ما يلي بحد أدنى:
	1.	المراقبة والإشراف على الامتثال لسياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
	2.	تصميم وتنفيذ ضوابط مكافحة الاحتيال المالي المطلوبة على مستوى المؤسسة التي تغطي أبعاد الموظفين والعمليات والتكنولوجيا.
	3.	إجراء تقييم متعمق لمخاطر الاحتيال على مستوى المؤسسة.
	4.	تحليل بيانات مكافحة الاحتيال والمعلومات الاستخبارية لتحديد توجهات الاحتيال بشكل استباقي.
	5.	مشاركة المعلومات الاستخبارية ومكافحة الاحتيال المالي مع البنك المركزي والمؤسسات الأخرى في القطاع.
	6.	ضبط أنظمة مكافحة الاحتيال المالي بشكل استباقي وتفاعلي.
	7.	مراقبة عمليات مكافحة الاحتيال المالي.
	8.	إجراء تحقيقات شاملة في الاحتيال وتحديد الأسباب الجذرية لحوادث الاحتيال وتوثيق الإجراءات التصحيحية.
	9.	مراقبة تدابير قابلية مخاطر الاحتيال والانخراط النشط في فريق عمل إدارة الأزمات إذا تم انتهاك الحد المحدد مع التأثير على العملاء (انظر متطلبات الرقابة 3.1.4.د).
	10.	ضمان مواءمة قدرات مكافحة الاحتيال المالي مع الأمن السيبراني والجرائم المالية.
	11.	تقديم تقارير دورية إلى الإدارة العليا تغطي على الأقل ما يلي:
		أ.	نتائج تقييم مخاطر الاحتيال.
		ب.	أنواع الاحتيال المُحددة.
		ج.	قياس قابلية مخاطر الاحتيال والأداء وفق الحدود والقيود.
		د.	خسائر الاحتيال التشغيلي والاحتيال على للعملاء.
ب.	يجب على المؤسسات المالية تقييم التسلسل الإداري الأنسب لإدارة مكافحة الاحتيال المالي استنادًا إلى الهيكل التنظيمي؛ وسلطة اتخاذ القرار؛ واطلاع اللجنة التنفيذية/المجلس؛ ومساءلة الإدارة العليا ومسؤولياتها.
ج.	يجب على المؤسسات المالية تقييم متطلبات التوظيف في إدارة مكافحة الاحتيال المالي على أساس دوري واستجابة للتغييرات الجوهرية في الأعمال والمشهد التشغيلي والاحتيالي أو تقييم مخاطر الاحتيال في المؤسسات المالية.
د.	يجب أن يراعي تقييم متطلبات التوظيف كلاً من القدرة الاستيعابية (عدد الموارد) والقدرات (المهارات والخبرة) المطلوبة.
هـ.	يجب أن يتمتع رئيس إدارة مكافحة الاحتيال المالي بالمهارات والخبرة، التي تتألف مما يلي على الأقل:
	1.	فهم ومعرفة معمقة بمخاطر الاحتيال في القطاع المالي.
	2.	معرفة راسخة بتهديدات الاحتيال الرقمي والأنواع الشائعة، إلى جانب التوجهات الناشئة التي تؤثر على مؤسسات القطاع المالي وعملائها.
	3.	تصميم وتنفيذ التكنولوجيا والضوابط بناءً على حالات الاستخدام لتخفيف حدة مخاطر الاحتيال والتهديدات.
	4.	استخدام البيانات والتحليلات لمنع الاحتيال بشكل استباقي وحماية العملاء.
و.	يجب أن تضم إدارة مكافحة الاحتيال المالي على الأقل موظفين ذوي مهارات وخبرات في:
	1.	مخاطر الاحتيال والأنواع المتعلقة بالمنتجات التي تقدمها المؤسسة (على سبيل المثال، الخبرة في الاحتيال في الدفع، وعمليات الاحتيال، والهندسة الاجتماعية).
	2.	مخاطر الاحتيال والأنواع المتعلقة بقنوات التسليم التي تقدمها المؤسسة، ولا سيما القنوات الرقمية مثل الإنترنت والهاتف المحمول.
	3.	تحليلات بيانات مكافحة الاحتيال المالي لتمكين تحليل كميات كبيرة من المعاملات والتحديد الاستباقي لتهديدات الاحتيال.
	4.	تكنولوجيا مكافحة الاحتيال لضمان عمل الأنظمة بفعالية مع السيناريوهات ذات الصلة بالمخاطر التي تواجهها المؤسسة المالية.
	5.	تحليل المعلومات الاستخبارية والبيانات لتحديد توجهات الاحتيال والسبب الجذري لحوادث الاحتيال.
	6.	تحقيقات الاحتيال، بدءًا من الإخطار الأوليّ بحادث محتمل وحتى الانتهاء والإجراءات التصحيحية.
	7.	إعداد التقارير وإصدار المعلومات الإدارية لمراقبة أداء الاحتيال التنظيمي.
ز.	يجب على المؤسسات المالية النظر في تصعيد حالات الاحتيال للأدوار في إدارة مكافحة الاحتيال المالي.
ح.	يجب على المؤسسات المالية وضع خطة تدريب وتوفير تدريب دوري لتطوير والحفاظ على كفاءة الموظفين في إدارة مكافحة الاحتيال المالي.
ط.	عند استخدام خدمات أو موارد تابعة لجهات خارجية (على سبيل المثال، المتعاقدين أو الخدمات المُدارة) للوفاء بمسؤوليات إدارة مكافحة الاحتيال المالي، يجب على المؤسسات المالية التأكد من فحص الموارد ومراقبتها بشكل مناسب.

6.3. معلومات الإدارة

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لإبلاغ المعلومات الإدارية لتمكين الإدارة العليا من مراقبة مخاطر وأداء مكافحة الاحتيال المالي.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لإبلاغ المعلومات الإدارية لمراقبة مخاطر وأداء مكافحة الاحتيال المالي.
ب.	يجب إبلاغ معلومات إدارة الاحتيال إلى الإدارة العليا ولجنة الحوكمة المختصة بمكافحة الاحتيال على أساس دوري وعلى أساس مخصص حسب الاقتضاء (على سبيل المثال، إذا تم تحديد نوع جديد أو غير عادي).
ج.	يجب على المؤسسات المالية تنسيق تجميع معلومات إدارة الاحتيال لضمان إمكانية الإبلاغ عن صورة شاملة لجميع عمليات الاحتيال التي تؤثر على المؤسسة أو عملائها.
د.	يجب على المؤسسات المالية تحديد المعلومات الإدارية المناسبة لإبلاغ الإدارة العليا بشكل مناسب بمخاطر وأداء مكافحة الاحتيال المالي. كحد أدنى، يجب أن يشمل ذلك:
	1.	نتائج تقييم مخاطر الاحتيال.
	2.	قياس قابلية مخاطر الاحتيال والأداء وفق الحدود والقيود.
	3.	حجم تنبيهات الاحتيال التي تم الإخطار بها بواسطة:
		أ.	العملاء
		ب.	الموظفين
		ج.	أنظمة الاحتيال
	4.	حجم وتوجهات حالات الاحتيال التي تم التعامل معها، مُقسمة حسب المنتج والنوع.
	5.	أنواع جديدة تم تحديدها.
	6.	قيمة الأخطاء الوشيكة أو عمليات الاحتيال المحتملة التي تم اكتشافها ومنعها.
	7.	قيمة حالة الاحتيال التي تم التعامل معها (القيمة الإجمالية لحالة الاحتيال، بما في ذلك الخسائر الفعلية والمحتملة).
	8.	خسائر الاحتيال، مُقسمة حسب المنتج ونوع الدفع (حيثما ينطبق ذلك) والنوع، بما في ذلك:
		أ.	خسائر العملاء
		ب.	الخسائر التشغيلية.
	9.	قيمة المبالغ المستردة للعملاء بعد الاحتيال.

7.3. الإخطارات الإشرافية

المبدأ
يجب على المؤسسات المالية إخطار البنك المركزي على الفور بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة للتخفيف من مخاطر الاحتيال التي تؤثر على عملاء إضافيين أو مؤسسات أخرى أو القطاع المالي في المملكة العربية السعودية.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية إخطار الإدارة العامة لمكافحة المخاطر الإلكترونية في البنك المركزي فورًا بما يلي:
	1.	أي تصنيف احتيالي جديد سواء أدى إلى خسارة مالية أم لا (على سبيل المثال، نوع الاحتيال الذي لم يتم ملاحظته مسبقًا أو اكتشاف محاولة احتيال جديدة).
	2.	عندما يرتكب شخص خارجي أو يحاول ارتكاب عملية احتيال كبيرة ضده.
	3.	عندما يرتكب أحد موظفي إحدى المؤسسات المالية عملية احتيال داخلية كبيرة ضد أحد عملائها، أو قد يكون مذنبًا بارتكاب جرم خطير فيما يتعلق بالصدق أو النزاهة فيما يتعلق بالالتزامات التنظيمية للمؤسسة.
	4.	عند الاشتباه في الاحتيال الأمني لنقطة النهاية للدفع بالجملة أو تحديده.
	5.	عند تحديد مخالفة كبيرة في السجلات المحاسبية للمؤسسة، والتي قد تكون مؤشرًا على الاحتيال المالي.
ب.	عند تقييم ما إذا كان الاحتيال يعتبر كبيرًا بالنسبة للوفاء بمتطلبات الإخطار المذكورة أعلاه، يجب على المؤسسات المالية أن تراعي على الأقل ما يلي:
	1.	قيمة أي خسارة مالية أو خسارة مالية محتملة للمؤسسة أو عملائها (يجب أن تراعي القيمة حادث احتيال فردي أو إجمالي الخسائر الناجمة عن حوادث متصلة).
	2.	عدد العملاء المتأثرين.
	3.	الإضرار بسمعة المؤسسة والقطاع المالي الأوسع.
	4.	ما إذا كان قد تم انتهاك أي لائحة.
	5.	ما إذا كان الحادث يعكس نقاط ضعف في ضوابط مكافحة الاحتيال في المؤسسة.
	6.	إذا كان من المحتمل أن يؤثر الحادث على المؤسسات المالية الأخرى.
ج.	يجب على المؤسسات المالية استخدام النموذج القياسي لإعداد التقارير في الملحق (ز) لإخطار البنك المركزي.
د.	كحد أدنى، يجب على المؤسسات المالية أن تذكر مصدر الحادث؛ والأساليب المستخدمة؛ والأطراف ذات الصلة (الداخلية والخارجية)؛ والإجراءات التصحيحية؛ والخسائر، إن وجدت، في الإخطار الموجه إلى البنك المركزي. إذا لم تتوافر جميع المعلومات المطلوبة في وقت الإخطار، يجب عرض أي فجوات على البنك المركزي على الفور مع تقدم التحقيق.

8.3. تقنية مكافحة الاحتيال المالي

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ استراتيجية لتوفير أو تطوير وتنفيذ أنظمة وتقنيات مكافحة الاحتيال المالي لإدارة مخاطر الاحتيال التي تتعرض لها.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد واعتماد وتنفيذ استراتيجية لتوفير أو تطوير أنظمة وتقنيات مكافحة الاحتيال المالي لمنع الاحتيال وكشفه والاستجابة له.
ب.	يجب على المؤسسات المالية تنفيذ أنظمة وتقنيات مكافحة الاحتيال المالي والتحقق من أنها تعمل على النحو المنشود.
ج.	يجب أن تسترشد مخرجات تقييم مخاطر الاحتيال بالتقنية المطلوبة، ويجب أن تكون الأنظمة متناسبة مع مدى قدرة المؤسسة على تحمل المخاطر.
د.	سواء تم الحصول على نظام الاحتيال من أحد الموردين أو تم تطويره داخليًا، يجب على المؤسسات المالية مراعاة المتطلبات التالية كحد أدنى:
	1.	تشارك إدارة مكافحة الاحتيال المالي في تصميم وتنفيذ النظام تحت إشراف لجنة الحوكمة المختصة بمكافحة الاحتيال.
	2.	توثيق الأساس المنطقي للسيناريوهات التي تم وضعها والحدود المُطبقة.
	3.	تصميم النظام والقواعد، أو يمكن تخصيصها لتتوافق مع المنتجات والخدمات ومخاطر الاحتيال بالمؤسسة.
	4.	يمكن تنفيذ القواعد الجديدة في الوقت المناسب لاستهداف الوقاية والكشف عن الأنواع الجديدة أو الناشئة التي تم تحديدها من خلال المراقبة الاستخبارية.
	5.	يقتصر الوعي بقواعد منع وكشف الاحتيال الداخلي المحتمل على مجموعة مقيدة وموثقة من الأدوار التي لا تشمل الموظفين أو الأطراف الخارجية المسؤولة عن تشغيل العمليات والضوابط التي تتم مراقبتها (على سبيل المثال، الفروع / الموظفين الذين يتعاملون مع العملاء أو فرق المدفوعات التشغيلية ).
	6.	يجب أن تتبع تغييرات التكوين مبادئ إدارة تغيير النظام ومتطلبات الرقابة في الدليل التنظيمي لحوكمة تقنية المعلومات الصادر عن البنك المركزي ("الدليل التنظيمي لحوكمة تقنية المعلومات").
	7.	يمكن للمؤسسة شرح وتوضيح تهديدات الاحتيال التي تم تصميم السيناريوهات لمراقبتها والتخفيف من حدتها.
	8.	عند استخدام التعلم الآلي أو الذكاء الاصطناعي، لا يجب أن يكون النظام "صندوقًا أسود"، ويجب أن يكون قابلاً للتدقيق (على سبيل المثال، يجب أن تتمتع المؤسسة بالقدرة على اختبار ما صُمِمت الخوارزميات للقيام به وما إذا تم تنفيذها بشكل صحيح).
	9.	تم وضع خطط استمرارية الأعمال والتعافي من كوارث تقنية المعلومات بما يتماشى مع متطلبات الدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.

9.3. المراجعة الداخلية لمكافحة الاحتيال المالي

المبدأ
يجب على المؤسسات المالية إجراء عمليات المراجعة وفقًا لمعايير المراجعة المقبولة عمومًا وإطار / إطارات البنك المركزي ذي الصلة للتحقق من تنفيذ تصميم مكافحة الاحتيال بشكل مناسب وتشغيله على النحو المنشود.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية ضمان إجراء عمليات مراجعة مكافحة الاحتيال المالي بشكل مستقل ووفقًا لمعايير المراجعة المقبولة عمومًا وأطر البنك المركزي ذات الصلة.
ب.	يجب على المؤسسات المالية إعداد دورة مراجعة تحدد وتيرة عمليات مراجعة مكافحة الاحتيال المالي.
ج.	يجب على المؤسسات المالية وضع خطة مراجعة رسمية لمكافحة الاحتيال المالي تتناول الموظفين والعمليات والمكونات التقنية.
د.	يجب أن تتماشى وتيرة مراجعة مكافحة الاحتيال المالي مع مخرجات تقييم مخاطر الاحتيال، والنظر في مدى أهمية ومخاطر نظام مكافحة الاحتيال المالي أو الرقابة أو العملية.
هـ.	يجب على إدارة المراجعة الداخلية في المؤسسات المالية إنجاز التحقق الدوري من صحة تنفيذ الإجراءات التصحيحية ذات الصلة بمكافحة الاحتيال المالي، بما في ذلك تلك الناتجة عن تعليمات البنك المركزي.
و.	يجب على المؤسسات المالية التأكد من أن مدققي مكافحة الاحتيال المالي يتمتعون بالمستوى المطلوب من الكفاءات والمهارات اللازمة لتقييم وتقدير مدى كفاية سياسات وإجراءات وعمليات وضوابط مكافحة الاحتيال المالي المطبقة بشكل فعال.
ز.	يجب أن تشمل تقارير مراجعة مكافحة الاحتيال المالي، على الأقل، ما يلي:
	1.	تضمين النتائج والتوصيات واستجابة الإدارة مع خطة عمل محددة والجهة المسؤولة والقيود المفروضة على النطاق فيما يتعلق بعمليات مراجعة مكافحة الاحتيال المالي.
	2.	يتم توقيعها وتأريخها وتوزيعها بحسب الصيغة المحددة.
	3.	تقديمها إلى لجنة المراجعة على أساس دوري.
ح.	يجب إعداد عملية متابعة لملاحظات المراجعة لتتبع ورصد ملاحظات المراجعة الخاصة بمكافحة الاحتيال المالي.

4. المنع
يشتمل البرنامج الفعال لمكافحة الاحتيال المالي على عمليات وضوابط لمنع الاحتيال لتسهيل تحديد التهديدات والتخفيف من حدة مخاطر حدوث الاحتيال. تعتبر هذه العمليات والضوابط استباقية، وتهدف إلى منع المحتال من التصرف قبل أن يتسبب في ضرر للمؤسسة أو عملائها.

الشكل 5 - مجال المنع

1.4 إدارة المخاطر

المبدأ
يجب تحديد إطار إدارة مخاطر الاحتيال والموافقة عليه وتنفيذه، ويجب أن يتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
متطلبات الرقابة
أ.	يجب تحديد إطار إدارة مخاطر الاحتيال والموافقة عليه وتنفيذه.
ب.	يجب قياس فعالية إطار إدارة مخاطر الاحتيال وتقييمها بشكل دوري باستخدام مؤشرات الأداء الرئيسية، بما في ذلك على الأقل حجم وقيمة حالات الاحتيال.
ج.	يجب مواءمة إطار إدارة مخاطر الاحتيال مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
د.	يجب أن يتناول إطار إدارة مخاطر الاحتيال على الأقل ما يلي:
	1.	المراقبة الاستخباراتية.
	2.	تقييم مخاطر الاحتيال.
	3.	قابلية مخاطر الاحتيال.
	4.	مؤشرات المخاطر الرئيسية.
هـ.	يجب أن تشمل أنشطة إدارة مخاطر الاحتيال، على سبيل المثال لا الحصر، أصحاب المصلحة التاليين:
	1.	أصحاب الأعمال والمستخدمين.
	2.	المخاطر التشغيلية.
	3.	إدارة مكافحة الاحتيال المالي.
	4.	إدارة الأمن السيبراني وإدارة تقنية المعلومات.
	5.	الموارد البشرية.
	6.	إدارة التحول الرقمي.

1.1.4 المراقبة الاستخباراتية

المبدأ
يجب على المؤسسات المالية الاعتماد على مجموعة متنوعة من مصادر البيانات الداخلية والخارجية لتحديد ومراقبة تهديدات الاحتيال الناشئة.
متطلبات الرقابة
أ.	يجب تحديد عملية مراقبة استخبارات الاحتيال والموافقة عليها وتنفيذها.
ب.	عند تحديد عملية المراقبة الاستخباراتية، يجب على المؤسسات المالية أن تراعي مبادئ تحليل التهديدات السيبرانية الصادرة عن البنك المركزي.
ج.	يجب أن تخضع فعالية المراقبة الاستخباراتية للاحتيال لتقييم دوري لتقدير ما إذا كانت المصادر المُستخدمة شاملة وما إذا كانت المعلومات الاستخبارية المُجمعة تسهم في منع الاحتيال.
د.	يجب أن تتضمن عملية المراقبة الاستخباراتية ما يلي:
	1.	مسح وجمع وتحليل وتقييم ونشر المعلومات حول التهديدات الحالية والناشئة.
	2.	تسجيل التفاصيل ذات الصلة بالتهديدات المحددة، مثل طريقة العمل والجهات الفاعلة والدوافع وأصل الهجمات (على سبيل المثال، مجموعة الجريمة المنظمة والولاية القضائية) ونوع التهديدات.
	3.	اتخاذ الإجراءات اللازمة لمواجهة التهديدات الحالية والناشئة.
	4.	تبادل المعلومات الاستخبارية ذات الصلة مع أصحاب المصلحة الداخليين والخارجيين (على سبيل المثال، إدارة الأمن السيبراني، إدارة العمليات التجارية أو البنك المركزي).
هـ.	يجب أن تعتمد أنشطة المراقبة الاستخباراتية على مجموعة من مصادر المعلومات لإعداد فهم شامل لمشهد الاحتيال في المؤسسة المالية. كحد أدنى، يجب أن تشمل ما يلي:
	1.	تقارير المراجعة الداخلية ومخرجات التحقيق في الاحتيال وتحليل سيناريو الاحتيال الذي يغطي محاولات الاحتيال الفعلية لتحديد أساليب وتقنيات وإجراءات الاحتيال الشائعة.
	2.	أنواع الاحتيال الجديدة والناشئة التي تم تحديدها بواسطة أنظمة كشف الاحتيال أو محققي الاحتيال أو إدارة مكافحة الاحتيال المالي.
	3.	الرؤى من إدارات الدعم (مثل المراجعة الداخلية والامتثال وأحداث الأمن السيبراني وإدارة الحوادث).
	4.	مصادر خارجية موثوقة وذات صلة بشأن توجهات الاحتيال محليًا وعالميًا (على سبيل المثال، الوكالات الحكومية، ومنتديات وأحداث الاحتيال، وموردي أنظمة مكافحة الاحتيال المالي، والمعلومات مفتوحة المصدر، ومصادر الاشتراك).
و.	يجب على المؤسسات المالية، إلى الحد الذي لا يحظره القانون أو الشروط التعاقدية، أن تتعاون في تبادل معلومات مكافحة الاحتيال المالي بما في ذلك أنواع الاحتيال الناشئة، ومعلومات تهديدات الاحتيال حول المجموعات التي قد ترتكب عمليات الاحتيال، وأساليب وتقنيات وإجراءات الاحتيال الشائعة وتوجهات السوق مع البنك المركزي والمؤسسات الأخرى في القطاع.
ز.	يجب على المؤسسات المالية مشاركة معلومات تسجيل الدخول لحالات الاحتيال المؤكدة (على سبيل المثال، معرف الهاتف المحمول أو معرف الجهاز، عنوان بروتوكول الإنترنت) من خلال اللجنة القطاعية لمكافحة الاحتيال.
ح.	يجب على المؤسسات المالية إجراء تحليل لمعلومات تسجيل الدخول التي تشاركها المؤسسات المالية الأخرى لتقييم مستوى التعرض لعملائها وتسجيل الإجراءات المكتملة في ورقة سجل التحليل التي قد تخضع لمراجعة مستقلة.

2.1.4 تقييم مخاطر الاحتيال

المبدأ
يجب على المؤسسات المالية إجراء تقييم لمخاطر الاحتيال لتحديد مخاطر الاحتيال التي يتعرضون لها أو يتعرض لها عملاؤها وتقييم فعالية الضوابط المعمول بها للتخفيف من حدة المخاطر.
متطلبات الرقابة
أ.	يجب على المؤسسة المالية إجراء تقييم لمخاطر الاحتيال على مستوى المؤسسة كجزء من برنامجها لمكافحة الاحتيال المالي.
ب.	يجب أن يستند تقييم مخاطر الاحتيال إلى منهجية موثقة لتقييم مخاطر الاحتيال.
ج.	كحد أدنى، يجب أن تتضمن منهجية تقييم مخاطر الاحتيال ما يلي:
	1.	تحديد مخاطر الاحتيال الكامنة التي تتعرض لها المؤسسة المالية وعملائها.
	2.	تقييم احتمالية حدوث المخاطر الكامنة وأثرها على المؤسسة المالية وعملائها في حالة وقوع المخاطر الكامنة.
	3.	اختبار فعالية الضوابط المعمول بها لمنع المخاطر الكامنة التي تم تحديدها وكشفها والاستجابة لها.
	4.	تحديد مخاطر الاحتيال المتبقية التي تظل المؤسسة المالية معرضة لها بعد اختبار الضوابط المطبقة.
	5.	وضع خطط عمل لمعالجة المخاطر المتبقية التي تقع خارج نطاق القدرة على تحمل المخاطر أو التي قد تؤدي إلى خرق اللوائح.
	6.	المراقبة المستمرة لخطط العمل للتحقق من أن المخاطر في حدود يمكن تحملها.
د.	يجب تسجيل المخاطر التي تم تحديدها في تقييم مخاطر الاحتيال في سجل مركزي رسمي.
هـ.	يجب توثيق الإجراءات الرامية إلى معالجة الفجوات التي تم تحديدها في تقييم مخاطر الاحتيال في خطة العلاج ومراجعتها للتأكد من ملاءمتها وفعاليتها للحد من المخاطر.
و.	يجب أن تتم الموافقة رسميًا على نتائج تقييم مخاطر الاحتيال من جانب مسؤول العمل المعنيّ.
ز.	عند تقييم مخاطر الاحتيال، يجب على المؤسسات المالية مراعاة ما يلي:
	1.	كل من عمليات الاحتيال التي يرتكبها أشخاص من خارج المؤسسة (احتيال خارجي) وعمليات الاحتيال التي يرتكبها أشخاص يعملون في المؤسسة أو بمساعدة منهم (احتيال داخلي).
	2.	مخرجات المراقبة الاستخباراتية وتقييمات التهديد.
	3.	حوادث الاحتيال وأحداث الخسارة.
	4.	نمذجة التهديدات المحتملة للمؤسسة من خلال تحليل سيناريو الاحتيال.
	5.	المخاطر المتعلقة بالمنتجات - المنتجات والخدمات المُقدمة وكيف يمكن استخدامها لارتكاب عمليات الاحتيال.
	6.	مخاطر العملاء - قاعدة عملاء المؤسسة، بما في ذلك، على سبيل المثال لا الحصر، نوع العميل (على سبيل المثال، عميل فرد أو شركة أو جهة خاضعة للتنظيم)؛ عدد العملاء مستوى الوعي بالاحتيال؛ والتعرض للاحتيال.
	7.	مخاطر قناة التنفيذ - القنوات التي يمكن للعميل استخدامها للتواصل مع المؤسسة المالية أو الوصول إلى منتجاتها وخدماتها، مع مراعاة خاصة لمخاطر التفاعل عن بُعد مع زيادة التحول الرقمي للمنتجات.
	8.	مخاطر المعاملات - طرق إجراء المعاملات أو استلام الأموال أو تحويل القيمة.
	9.	مخاطر الولاية القضائية - المخاطر الإضافية التي يمكن فيها استخدام المنتجات والخدمات في بلد أجنبي.
	10.	مخاطر الأطراف الخارجية - الاستعانة بأطراف خارجية لتقديم الخدمات إلى المؤسسة أو عملائها.
	11.	المخاطر الأمنية لنقطة النهاية للدفع بالجملة - مخاطر مدفوعات الجملة الشاملة، بما في ذلك التواصل (المؤسسة المالية مع مؤسسة مالية أخرى، والمؤسسة المالية مع النظام)؛ الأنظمة (محطة العمل)؛ الموظفين والعمليات.
ح.	يجب على المؤسسات المالية ضمان مراعاة تقييم مخاطر الاحتيال للاحتيال عبر الإنترنت، بما في ذلك التفاعل مع نموذج إدارة مخاطر الأمن السيبراني الخاص بالمؤسسة المالية.
ط.	يجب إجراء تقييم مخاطر الاحتيال على الأقل على أساس سنوي.
ي.	علاوة على ذلك، يجب على المؤسسات المالية تحديث تقييم مخاطر الاحتيال الخاص بها ليشمل التغييرات في بيئة مخاطر الاحتيال الداخلية أو الخارجية. تشمل هذه التغييرات، على سبيل المثال لا الحصر، ما يلي:
	1.	تحديد فجوة أو نقطة ضعف جديدة في بيئة الرقابة.
	2.	المتطلبات التنظيمية الجديدة.
	3.	المنتجات والخدمات الجديدة.
	4.	القنوات الجديدة للتسويق والمنصات الرقمية الجديدة.
	5.	عمليات الاستحواذ التجارية الجديدة.
	6.	بيع أو التصرف في أجزاء من أعمال المؤسسة المالية.
	7.	التغييرات في البيئة الداخلية (مثل الهيكل التنظيمي).
	8.	الحصول على معلومات جديدة في المراقبة الاستخباراتية للاحتيال.

3.1.4 القدرة على تحمل المخاطر

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتطبيق قابلية مخاطر الاحتيال عند تصميم وتنفيذ أنظمة وضوابط مكافحة الاحتيال المالي.
متطلبات الرقابة
أ.	يجب تحديد مدى استعداد المؤسسة المالية لقابلية مخاطر الاحتيال لتحديد مستوى مخاطر الاحتيال التي ترغب المؤسسة المالية في تحملها.
ب.	يجب أن تستند قدرة المؤسسة المالية في قابلية مخاطر الاحتيال إلى نتائج تقييم مخاطر الاحتيال، وأن تتماشى مع القدرة العامة على تحمل المخاطر في المؤسسة.
ج.	عند تحديد قابلية مخاطر الاحتيال، يجب على المؤسسات المالية وضع تدابير ذات عتبات وحدود مرتبطة بها تعالج التأثير على كل من:
	1.	المؤسسة المالية (على سبيل المثال، خسائر الاحتيال، والإضرار بالسمعة)؛
	2.	وعملائها (على سبيل المثال، خسائر العملاء، عدد ضحايا الاحتيال، الإزعاج).
د.	في حالة انتهاك حد قابلية مخاطر الاحتيال مما يؤثر على العملاء، يجب على المؤسسة المالية التصعيد إلى الإدارة العليا والبدء في عملية إدارة الأزمات التي ينبغي أن:
	1.	إشراك الرئيس التنفيذي وكبار المسؤولين الآخرين في المؤسسة المالية.
	2.	اشتراط عقد اجتماعات أسبوعية على الأقل حتى يتم حل المشكلة ويعود الإجراء إلى مستوى مقبول.
هـ.	يجب مراجعة قابلية مخاطر الاحتيال على أساس سنوي على الأقل واعتمادها رسميًا من قبل مجلس الإدارة.
و.	يجب مراقبة قابلية مخاطر الاحتيال وتحديثها لإجراء تغييرات جوهرية على نموذج أعمال المؤسسة المالية.

4.1.4 مؤشرات المخاطر الرئيسية

المبدأ
يجب على المؤسسات المالية تحديد مؤشرات المخاطر الرئيسية والموافقة عليها ومراقبتها لقياس وتقييم الموقف وفق قابلية مخاطر الاحتيال المتفق عليها وتقديم إشارة مبكرة إلى زيادة التعرض لمخاطر الاحتيال.
متطلبات الرقابة
أ.	يجب أن تستند مؤشرات المخاطر الرئيسية التي تحددها المؤسسة المالية إلى منهجية موثقة تتطلب ما يلي:
	1.	ترصد مؤشرات المخاطر الرئيسية التعرض للمخاطر المحددة في تقييم مخاطر الاحتيال.
	2.	تنظر مؤشرات المخاطر الرئيسية في المخاطر التي تتعرض لها المؤسسة (على سبيل المثال، خسائر الاحتيال، والتأثير على السمعة، والإدارة التشغيلية لتنبيهات الاحتيال) وعملائها (على سبيل المثال، خسائر العملاء).
	3.	تعتمد لجنة الحوكمة المختصة بمكافحة الاحتيال مؤشرات المخاطر الرئيسية، أو لجنة المخاطر الأوسع التي تدير برنامج مكافحة الاحتيال المالي بما يتماشى مع المتطلبات المدرجة في المجال الفرعي 1.3.
	4.	لكل مؤشر مخاطر رئيسي مالك معتمد يتحمل المسؤولية عن مراقبة المؤشر واتخاذ الإجراءات المبكرة إذا تجاوز التعرض للمخاطر قابلية مخاطر الاحتيال.
	5.	سيتم الإبلاغ بشكل دوري عن مؤشرات المخاطر الرئيسية إلى الإدارة العليا وأصحاب المصلحة المعنيين (على الأقل، كل ربع سنوي).
	6.	يجب مراجعة مؤشرات المخاطر الرئيسية وتحديثها على الأقل على أساس سنوي وبوتيرة أعلى استجابة للتغيرات المادية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ب.	يجب أن تكون مؤشرات المخاطر الرئيسية تطلعية، وتقدم إشارة مبكرة لزيادة التعرض لمخاطر الاحتيال بدلاً من مجرد قياس حجم الاحتيال أو الخسائر (على سبيل المثال، الضوابط المصنفة على أنها غير فعالة في اختبار الرقابة؛ أو فشل الموظفين في إكمال التدريب الإلزامي على الاحتيال؛ أو تنبيهات الاحتيال التي لم تتم مراجعتها ضمن اتفاقيات مستوى الخدمة المحددة).
ج.	عند إعداد مؤشرات المخاطر الرئيسية، يجب على المؤسسات المالية وضع الحدود التي تسمح لها بتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من أو عند أو أعلى من موضع القدرة على تحمل المخاطر المستهدف.
د.	يجب على المؤسسات المالية التأكد من أن المقاييس المرتبطة بمؤشرات المخاطر الرئيسية كاملة ودقيقة، ويتم إعدادها في الوقت المناسب.

2.4 العناية الواجبة

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ معايير لتقييم مخاطر الاحتيال المرتبطة بالموظفين والعملاء والأطراف الخارجية لمنع إنشاء علاقات خارج نطاق القدرة على تحمل مخاطر الاحتيال وإدارة مخاطر الاحتيال طوال مدة العلاقة.
متطلبات الرقابة
أ.	يجب تحديد معايير العناية الواجبة وتعميمها وتنفيذها.
ب.	يجب أن تتم الموافقة على معايير العناية الواجبة من جانب الأفراد ذوي المسؤولية المناسبة (على سبيل المثال، العناية الواجبة للموظفين في الموارد البشرية).
ج.	يجب أن تراعي معايير العناية الواجبة الموظفين والعملاء والأطراف الخارجية.
د.	يجب أن تتماشى معايير العناية الواجبة مع المخاطر المحددة في تقييم مخاطر الاحتيال.
هـ.	يجب على المؤسسات المالية مراجعة وتحديث معايير العناية الواجبة على أساس دوري واستجابة للتغيرات المادية في مشهد الاحتيال، أو تقييم مخاطر الاحتيال في المؤسسة المالية، أو مجموعات العملاء التي تخدمها المؤسسة المالية، أو التغييرات في المنتجات أو الخدمات التي تقدمها.
و.	يجب قياس مدى فعالية معايير العناية الواجبة الخاصة بالاحتيال وتقييمها بشكل دوري.
ز.	يجب أن تشمل معايير العناية الواجبة ما يلي:
	1.	فحوصات ومتطلبات العناية الواجبة التي يجب إجراؤها لتقديم فهم مستنير لمخاطر الاحتيال.
	2.	عندما يجب إجراء العناية الواجبة.
	3.	الدور (الأدوار) الوظيفي المسؤول عن إجراء العناية الواجبة والموافقة عليها.
	4.	العلامات الحمراء أو العلامات التحذيرية التي قد تشير إلى زيادة خطر الاحتيال وتؤدي إلى ضرورة التصعيد أو استكمال عمليات التحقق الإضافية.
	5.	العلامات الحمراء أو العلامات التحذيرية التي تشير إلى أن الموظف أو العميل أو الطرف الخارجي خارج نطاق القدرة على تحمل المخاطر، ويجب رفض العلاقة أو إنهاؤها.
	6.	الخطوات الواجب اتخاذها لإنهاء العلاقات خارج نطاق القدرة على تحمل المخاطر.

1.2.4 العناية الواجبة للموظفين

المبدأ
يجب على المؤسسات المالية التأكد من إجراء فحوصات خلفية للموظفين، بما في ذلك المتعاقدين، لتقليل التعرض لمخاطر الاحتيال الداخلي والإضرار بالسمعة الناتج عن تصرفات موظفي المؤسسة المالية.
متطلبات الرقابة
أ.	يجب أن تعكس إجراءات العناية الواجبة للموظفين مخاطر الاحتيال الداخلي الذي يؤثر على المؤسسة المالية.
ب.	يجب أن تهدف العناية الواجبة للموظفين إلى تحديد هوية الموظف ونزاهته والتحقق من أوراق اعتماده، مما يمكّن المؤسسة المالية من تحديد ما إذا كان مناسبًا للمنصب.
ج.	يجب أن تتكون العناية الواجبة للموظفين من التحقق والفحوصات الخلفية للموظف، بما في ذلك على سبيل المثال لا الحصر:
	1.	تأكيد الهوية.
	2.	فحص الخلفية الجنائية.
	3.	فحص تضارب المصالح.
	4.	التحقق من صحة المؤهلات المزعومة.
	5.	فحوصات التوظيف السابقة.
د.	يجب أن تكون العناية الواجبة للموظفين:
	1.	يجب إجراؤها كجزء من عملية التوظيف.
	2.	يجب إعادة التقييم عندما ينتقل موظف حالي إلى دور جديد.
	3.	يتم إعادة تنفيذها بشكل دوري وفقًا لنهج قائم على المخاطر (على سبيل المثال، إعادة إجراء فحص السلوك الإجرامي أو الاحتيالي للتحقق من أن الموظفين ما زالوا مناسبين للمنصب).
هـ.	يجب على المؤسسات المالية تقييم الأدوار التي تمثل خطرًا كبيرًا للاحتيال وتوثيق أي فحوصات معززة مطلوبة.
و.	يجب الاحتفاظ بنتائج فحوصات العناية الواجبة للموظفين بما يتماشى مع سياسات إدارة سجلات المؤسسة المالية فيما يتعلق بالمعلومات الشخصية.

2.2.4 العناية الواجبة تجاه العملاء

المبدأ
يجب على المؤسسات المالية وضع ضوابط لتسجيل هويات العملاء والتحقق من صحتها لتقليل التعرض لخسائر الاحتيال الخارجي.
متطلبات الرقابة
أ.	عند إنشاء علاقة جديدة مع العميل، يجب على المؤسسات المالية التأكد من هوية العميل والتحقق منها للتأكد بشكل معقول من عدم تعرضه لمخاطر الاحتيال.
ب.	يجب أن تتماشى العناية الواجبة تجاه العملاء مع سياسات المؤسسة المالية بشأن مكافحة غسل الأموال ومكافحة تمويل الإرهاب.
ج.	يجب إجراء العناية الواجبة تجاه العملاء كجزء من عملية الإلحاق وفي الأوقات المناسبة في العلاقة المستمرة مع العميل (على سبيل المثال، إضافة منتج ائتماني جديد).
د.	يجب تعزيز العناية الواجبة تجاه العملاء من خلال فحوصات إضافية للعملاء ذوي المخاطر العالية أو استجابة لتهديد الاحتيال المتزايد (على سبيل المثال، في حالة الاشتباه في انتحال الشخصية أو كان هناك قلق بشأن صحة أو شرعية المستندات المقدمة لإثبات الهوية أو إثبات التاريخ المالي) .
هـ.	عندما تبدأ علاقة مع العملاء عن بُعد (على سبيل المثال، عبر الإنترنت)، يجب على المؤسسات المالية تقييم مخاطر انتحال الشخصية وإنشاء حسابات وهمية، وتنفيذ الضوابط المناسبة للتخفيف من المخاطر، بما في ذلك على سبيل المثال لا الحصر:
	1.	التأكد من ربط رقم الهاتف أو الهوية الوطنية/الإقامة بتطبيق عميل واحد فقط. في حالة تحديد استثناء (على سبيل المثال، أحد أفراد الأسرة المُعالين)، يجب إجراء فحوصات العناية الواجبة الإضافية للتحقق من صحة التطبيق ويجب إعداد حالات استخدام المراقبة.
	2.	المصادقة على طلب فتح الحساب عبر البوابة الوطنية لتسجيل الدخول الموحد باستخدام المصادقة البيومترية (على سبيل المثال، التعرف على الوجه من جهة وطنية موثوقة).
	3.	التحقق من أن ملكية رقم الهاتف مسجلة لنفس المستخدم من خلال جهة موثوقة (أي مطابقة اسم صاحب الحساب وبطاقة الهوية الوطنية).
	4.	بما في ذلك آلية كلمة المرور لمرة واحدة التي توضح أنه يتم فتح حساب جديد كشكل من أشكال التحقق. يجب إرسال كلمة المرور لمرة واحدة إلى رقم الهاتف الذي تم التحقق منه.
	5.	يجب إرسال إشعار استكمال فتح الحساب إلى رقم الهاتف الذي تم التحقق منه والمسجل للحساب وكذلك إلى رقم الهاتف المسجل في البوابة الوطنية لتسجيل الدخول الموحد.
	6.	يتطلب استخدام العنوان الوطني المسجل.
	7.	عندما يتم توفير البطاقة المادية، يجب أن تكون:
		أ.	يتم إرسالها إلى العنوان الوطني المسجل للعميل فقط؛
		ب.	أو يتم استلامها من جهاز الصّراف الآلي مع التحقق من العميل باستخدام المصادقة البيومترية.
	8.	بعد الإعداد الأولي، يجب وضع قيود على الحساب (على سبيل المثال، الحد المخفض لقيمة المعاملة) حتى الوقت الذي تتحقق فيه المؤسسة المالية من أن العميل حقيقي (على سبيل المثال، استخدام آلية المصادقة البيومترية من خلال التعرف على الوجه من طرف وطني موثوق به بشكل دوري، التواجد الفعلي في فرع أو كشك مدعوم بالقياسات البيومترية، ونمط منتظم لنشاط الحساب على مدى فترة من الزمن).
	9.	إعداد حالات استخدام شاملة لتحديد الحسابات الوهمية المحتملة بشكل استباقي وتنفيذ مراقبة حالات الاستخدام من خلال برامج الكشف (على سبيل المثال، قيمة الأموال الواردة، وارتفاع وتيرة المعاملات، وأنماط المعاملات التي لا تتناسب مع السلوكيات المتوقعة، والزيادة المفاجئة في النشاط بعد السكون).
	10.	القياس والتقييم الدوري لفعالية الضوابط للتخفيف من حدة مخاطر انتحال الشخصية وإنشاء حسابات وهمية.

3.2.4 العناية الواجبة تجاه الأطراف الخارجية

المبدأ
يجب على المؤسسات المالية التأكد من إجراء العناية الواجبة المتناسبة مع الأطراف الخارجية لفهم مخاطر الاحتيال المرتبطة بالعلاقات التجارية والتأكد من إدارة الأطراف الخارجية بشكل مناسب للتخفيف من المخاطر.
متطلبات الرقابة
أ.	يجب أن تتكون العناية الواجبة تجاه الأطراف الخارجية من عمليات فحص وإجراءات فحص بناءً على نهج قائم على المخاطر للسماح بتقييم مخاطر الاحتيال التي تمثلها العلاقة.
ب.	يجب إجراء العناية الواجبة تجاه الأطراف الخارجية قبل الدخول في الالتزام بعلاقة جديدة
ج.	يجب مراجعة العناية الواجبة تجاه الأطراف الخارجية دوريًا أو بعد وجود سبب يشير إلى زيادة خطر الاحتيال (على سبيل المثال، المخاوف بشأن سلوك طرف خارجي أو موظفيه؛ أو المقالات الإعلامية السلبية).
د.	يجب تعزيز العناية الواجبة تجاه الطرف الخارجي من أجل:
	1.	الأطراف الخارجية ذات المخاطر العالية أو ممثليهم
	2.	الأطراف الخارجية التي تقدم خدمات حيوية للمؤسسة المالية.
هـ.	يجب أن تتضمن عمليات التحقق من العناية الواجبة المعززة تجاه الطرف الخارجي خطوات إضافية لتقييم مخاطر الاحتيال التي تمثلها العلاقة (على سبيل المثال، الفحص الإضافي أو تقييم نهج الطرف الخارجي لإدارة مخاطر الاحتيال).
و.	عندما تقوم إحدى المؤسسات المالية بالاستعانة بمصادر خارجية لتنفيذ الخدمات لصالح مؤسسة خارجية، يجب على هذا الطرف الخارجي الالتزام بسياسة مكافحة الاحتيال المالي الخاصة بالمؤسسة المالية أو تطبيق نهج مماثل.

3.4 التدريب والتوعية

المبدأ
يجب تحديد برنامج للتوعية بالاحتيال والموافقة عليه وتنفيذه للموظفين والعملاء والأطراف الخارجية في المؤسسة المالية.
متطلبات الرقابة
أ.	يجب تحديد برنامج التوعية بالاحتيال والموافقة عليه وتنفيذه لتعزيز الوعي بمخاطر الاحتيال والتوعية بشأن منع الاحتيال المحتمل وكشفه والاستجابة له وإرساء ثقافة إيجابية لمكافحة الاحتيال المالي.
ب.	يجب أن يتضمن برنامج التوعية بالاحتيال تغطية ما يلي:
	1.	الموظفين في المؤسسة المالية.
	2.	عملاء المؤسسة المالية.
	3.	الأطراف الخارجية التي لها علاقات مع المؤسسة المالية.
ج.	يجب أن يتكون برنامج التوعية بالاحتيال من مواد تدريبية وتعليمية وتوعوية ترتبط ارتباطًا مباشرًا بالمخاطر والتهديدات المحددة في تقييم مخاطر الاحتيال.
د.	يجب أن يتضمن برنامج التوعية بالاحتيال ما يلي:
	1.	تحديد طبيعة وحجم ونطاق التدريب والتعليم الذي سيتم تقديمه.
	2.	أن يكون مصممًا ليناسب الفئات المستهدفة المختلفة.
	3.	تنفيذه عبر قنوات متعددة.
هـ.	يجب أن تتم أنشطة برنامج التوعية بالاحتيال بشكل دوري وعلى مدار العام.
و.	يجب على المؤسسات المالية التأكد من تحديث البرنامج سنويًا على الأقل لمراعاة التغييرات في مشهد تهديدات الاحتيال أو استجابة لتهديدات الاحتيال الجديدة المُحددة في المراقبة الاستخباراتية.
ز.	عندما يؤثر نوع الاحتيال الجديد أو الناشئ على المؤسسة المالية وعملائها، يجب على المؤسسات المالية اتخاذ إجراءات فورية لتوعية الموظفين والعملاء والأطراف الخارجية ذات الصلة بالتهديد والتدابير الوقائية التي يتعين اتخاذها (حيثما ينطبق ذلك).
ح.	يجب على المؤسسات المالية مراقبة وتقييم فعالية برنامج التوعية بالاحتيال وتنفيذ التحسينات عند الاقتضاء.

1.3.4 تدريب الموظفين وتوعيتهم بشأن الاحتيال

المبدأ
يجب على المؤسسات المالية تحديد وتقديم برنامج تدريب وتوعية للموظفين حول الاحتيال لتمكين الموظفين من التعرف على الاحتيال والإبلاغ عنه على الفور.
متطلبات الرقابة
أ.	يجب أن يمكَّن التدريب على مكافحة الاحتيال المالي الموظفين من اكتساب فهم ومعرفة واضحة عن سياسات وإجراءات مكافحة الاحتيال المالي في المؤسسة المالية ومسؤولياتهم الشخصية فيما يتعلق بمنع الاحتيال واكتشافه.
ب.	يجب تقديم التدريب لجميع الموظفين أثناء عملية الإعداد أو بعدها بفترة قصيرة وتحديثها على فترات منتظمة.
ج.	يجب أن يكون برنامج التدريب والتوعية بشأن الاحتيال في المؤسسة المالية قائمًا على المخاطر، بما في ذلك متطلبات تزويد بعض الموظفين بتدريب متخصص اعتمادًا على مخاطر الاحتيال المرتبطة بدورهم الوظيفي (على سبيل المثال، المديرين الذين يشغلون مناصب السلطة، والموظفين الذين يتعاملون مع العملاء في الفروع، والموظفين الذين ينفذون ضوابط مكافحة الاحتيال المالي والمحققين في حوادث الاحتيال).
د.	يجب أن يتضمن التدريب على مكافحة الاحتيال المالي اختبار معرفة لتقييم ما إذا كان الموظف قد فهم المحتوى. يجب أن يُطلب من الموظفين الذين لم يجتازوا اختبار المعرفة إعادة التدريب ويجب مراقبة معدلات النجاح، مع اتخاذ الإجراء في حالة حدوث إخفاقات متكررة (على سبيل المثال، إعادة التدريب عبر طريقة أخرى أو إلغاء سلطة الرقابة على مكافحة الاحتيال المالي حتى اجتياز التدريب).
هـ.	يجب تدريب أعضاء مجلس الإدارة والإدارة العليا في المؤسسات المالية على مكافحة الاحتيال بما يتناسب مع أهمية أدوارهم الوظيفية (على سبيل المثال، الوعي بالاحتيال، ووضع الثقافة والحوكمة المناسبة).
و.	يجب تعزيز التدريب المُقدم رسميًا من خلال نشاط تثقيف الموظفين المستمر للحفاظ على الوعي العام بالاحتيال لدى الموظفين (على سبيل المثال، إصدار تذكيرات وتعميمات حول المؤشرات المحتملة للاحتيال وأنواع الاحتيال الشائعة).
ز.	يجب على المؤسسات المالية حفظ سجلات التدريب على مكافحة الاحتيال المُقدم للموظفين وأنشطة التوعية التي تم إجراؤها.
ح.	يجب أن يكون لدى المؤسسات المالية عملية موثقة لإدارة الموظفين غير الملتزمين بمتطلبات التدريب الخاصة بأدوارهم الوظيفية.

2.3.4 توعية العملاء بعمليات الاحتيال

المبدأ
يجب على المؤسسات المالية تحديد وتنفيذ برنامج نشاط لتوعية العملاء بالاحتيال لزيادة فهم العملاء لمخاطر الاحتيال؛ ومساعدة العملاء على التعرف على محاولات الاحتيال ومقاومتها؛ وإبلاغهم بكيفية الإبلاغ عن الاحتيال.
متطلبات الرقابة
أ.	يجب أن يقدم نشاط التوعية بالاحتيال للعملاء التعريف المناسب بالوقت المناسب علاوة على تعزيز الوعي بالاحتيال.
ب.	يجب أن يتضمن النشاط الذي يتم تقديمه من خلال برنامج التوعية بالاحتيال للعملاء على ما يلي كحد أدنى:
	1.	معلومات عن تهديدات الاحتيال وعمليات النصب التي قد يتعرض لها العملاء.
	2.	مسؤوليات العملاء حول مكافحة الاحتيال.
	3.	كيف يمكن للعملاء منع أنفسهم من التحول لضحايا احتيال.
	4.	كيفية إبلاغ المؤسسة المالية إذا كان العميل يعتقد أنه وقع ضحية للاحتيال.
ج.	يجب أن يكون نشاط توعية العملاء بالاحتيال مصممًا خصيصًا لتوجهات الاحتيال الحالية التي تؤثر على المؤسسة المالية وقطاعها، بما في ذلك على سبيل المثال لا الحصر، أنواع الاحتيال التي تمت ملاحظتها ونقطة الثغرة التي أدت إلى الاحتيال (على سبيل المثال، الرسائل النصية القصيرة والبريد الإلكتروني ووسائل التواصل الاجتماعي).
د.	يجب أن يغطي نشاط توعية العملاء بالاحتيال مدة دورة العمل مع العميل (على سبيل المثال، الإلحاق والتغييرات في مقتنيات المنتج والمعاملات والتسويات).
هـ.	يجب على المؤسسات المالية تقديم مواد توعية للعملاء من خلال جميع قنوات التواصل المقدمة للعميل (على سبيل المثال، موقع الويب، وتطبيق الهاتف المحمول، والبريد الإلكتروني، والبريد، والرسائل النصية القصيرة).
و.	يجب على المؤسسات المالية تقديم تعليم إضافي حول الحماية من الاحتيال للعملاء الذين قد يكونون عرضة لعملية احتيال أو كانوا ضحايا لها (على سبيل المثال، الدعم عبر الهاتف أو المواد الإضافية عبر البريد الإلكتروني أو البريد).

3.3.4 توعية الأطراف الخارجية بالاحتيال

المبدأ
يجب على المؤسسات المالية تحديد وتقديم برنامج متناسب لتوعية الأطراف الخارجية بالاحتيال مع تحديد التوقعات فيما يتعلق بنشاط مكافحة الاحتيال المالي والإبلاغ الفوري عن الأنشطة المشبوهة.
متطلبات الرقابة
أ.	يجب توثيق متطلبات الوعي بالاحتيال لدى الأطراف الخارجية والاتفاق عليها في الترتيبات التعاقدية حيثما ينطبق ذلك.
ب.	يجب على المؤسسات المالية تقديم مواد توعية بشأن الاحتيال على أساس المخاطر إلى الأطراف الخارجية في بداية العلاقة وتحديثها دوريًا حسب الحاجة.
ج.	يجب أن تتضمن متطلبات توعية الأطراف الخارجية بالاحتيال كحد أدنى ما يلي:
	1.	إرساء ثقافة إيجابية لمكافحة الاحتيال المالي.
	2.	أدوار ومسؤوليات الطرف الخارجي فيما يتعلق بالاحتيال.
	3.	توافق الرسائل المخصصة مع مخاطر الاحتيال في الخدمات التي يقدمها الطرف الخارجي.
	4.	آليات الإبلاغ المتاحة للطرف الخارجي.

4.4. المصادقة

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على معيار للمصادقة على بيانات اعتماد وتعليمات العملاء والموظفين والأطراف الخارجية لضمان حماية المعلومات ومنع الوصول أو الإجراءات غير المصرح بها. يجب أن يكون هذا قائمًا على المخاطر ويستخدم المصادقة متعددة العوامل.
متطلبات الرقابة
أ.	يجب على المؤسسة المالية تحديد معيار المصادقة والموافقة عليه وتنفيذه والحفاظ عليه مع مدخلات من إدارة مكافحة الاحتيال المالي وفريق الأمن السيبراني.
ب.	يجب أن يراعي معيار المصادقة الخاص بالمؤسسة المالية المخاطر المحددة في تقييم مخاطر الاحتيال وتقييم مخاطر الأمن السيبراني.
ج.	يجب أن يراعي معيار المصادقة وصول العملاء إلى المنتجات والخدمات، ووصول الموظفين والأطراف الخارجية إلى أنظمة المؤسسات المالية.
د.	عند تحديد معيار المصادقة، يجب على المؤسسات المالية أن تراعي متطلبات الرقابة التالية الموضحة في الدليل التتنظيمي لأمن المعلومات:
	1.	5.3.3 إدارة الهوية والوصول
	2.	13.3.3 الخدمات المصرفية الإلكترونية
هـ.	يجب أن يغطي معيار المصادقة الخاص بالمؤسسة المالية القنوات الرقمية (مثل الخدمات عبر الإنترنت وتطبيقات الهاتف المحمول) والقنوات غير الرقمية (مثل الهاتف وأجهزة الصّراف الآلي والفروع).
و.	يجب على المؤسسات المالية أن تتبنى نهجًا قائمًا على المخاطر في المصادقة مع تعليمات أو أنشطة ذات مخاطر أعلى تخضع للمصادقة متعددة العوامل قبل اتخاذ إجراء بشأنها.
ز.	يجب ألا تتألف المصادقة متعددة العوامل التي تجريها المؤسسات المالية لتحديد الهوية أو التحقق من المعاملة من كلمات مرور لمرة واحدة يتم إرسالها عبر الرسائل النصية القصيرة فقط. يجب على المؤسسات المالية تنفيذ عوامل إضافية، بما في ذلك على سبيل المثال لا الحصر:
	1.	الموافقة على المعاملات من خلال تطبيق الهاتف المحمول (على سبيل المثال، إرسال إشعار دفع إلى تطبيق الهاتف المحمول على جهاز موثوق به).
	2.	خصائص الجهاز (على سبيل المثال، جهاز محمول موثوق به/معروف).
	3.	تحديد الموقع الجغرافي (على سبيل المثال، التحقق من الموقع أو عنوان بروتوكول الإنترنت أو التحقق من شبكة الهاتف المحمول).
	4.	السمات السلوكية (على سبيل المثال، الاختلافات في حجم المعاملة المعتادة و/أو القيمة و/أو الوتيرة و/أو العملة).
	5.	السمات السلوكية البيومترية (على سبيل المثال، تحديد التغييرات في الطريقة التي يستخدم بها العميل أو الموظف المتصفح أو الجهاز).
ح.	عند إرسال كلمة مرور لمرة واحدة عبر الرسائل النصية القصيرة، يجب تحديد الغرض والمبلغ واسم التاجر بوضوح بما يتماشى مع نماذج الإشعارات المعتمدة من البنك المركزي.
ط.	يجب أن تكون كلمات المرور لمرة واحدة المُرسلة عبر الرسائل النصية القصيرة باللغة التي يحددها العميل في الحساب (على سبيل المثال، العربية أو الإنجليزية).
ي.	يجب على المؤسسات المالية تحديد التعليمات أو الأنشطة عالية المخاطر في معيار المصادقة، التي يجب أن تتضمن، على سبيل المثال لا الحصر، ما يلي:
	1.	عملية التسجيل للوصول إلى المنتج عبر الإنترنت أو تطبيق الهاتف المحمول.
	2.	تفعيل رمز مميز (token) على جهاز جديد أو إضافي.
	3.	إضافة بطاقة ائتمان/خصم إلى المحفظة الرقمية على جهاز محمول.
	4.	إعادة تعيين بيانات اعتماد الأمان بعد المحاولات الفاشلة للوصول إلى الهاتف أو الإنترنت أو المرافق البعيدة.
	5.	تسجيل الدخول إلى المنتجات الرقمية من جهاز أو موقع غير معروف مسبقًا.
	6.	المدفوعات إلى المحفظة الإلكترونية أو المحفظة الرقمية.
	7.	المعاملات أو عمليات السحب أو تحويل الأموال عالية المخاطر (على سبيل المثال، تجاوز الحدود/العتبات المحددة مسبقًا، أو التحويلات الكبيرة نسبيًا مقارنة بالرصيد الإجمالي أو التحويلات/التحويلات الدولية).
	8.	إضافة أو تعديل المستفيدين.
	9.	تغيير بيانات صاحب الحساب (مثل العنوان أو بيانات التواصل).
	10.	تغيير اللغة المُستخدمة في الحساب (على سبيل المثال، من العربية إلى الإنجليزية).
	11.	إعادة تعيين كلمة المرور أو رقم التعريف الشخصي.
	12.	إصدار وتفعيل بطاقة خصم/ائتمان الجديدة.
	13.	إعادة تنشيط الحسابات الخاملة أو الخدمات المحظورة.
	14.	مجموعة من الأنشطة التي قد تشير إلى الاحتيال أو الاستيلاء على الحساب (على سبيل المثال، درجة المخاطر المجمعة بعد محاولات تسجيل الدخول الفاشلة، أو شراء بطاقات الهدايا، أو استخدام جهاز جديد أو تحديد الموقع الجغرافي الجديد).
ك.	يجب أن تطلب المؤسسات المالية عامل مصادقة خارجيًا (على سبيل المثال، مكالمة هاتفية إلى الرقم الموجود في الحساب الذي يتطلب التحقق من المعلومات الآمنة، أو زيارة فعلية إلى أحد الفروع، أو إنشاء رمز مميز (token) بكلمة مرور مؤقتة مرتبطة بجهاز، أو كلمة مرور لمرة واحدة) للتحقق من صحة تعليمات عندما:
	1.	يتم اكتشاف محاولة تسجيل دخول المستخدم إلى خدمات الهاتف المحمول والإنترنت كجلسة شاذة (على سبيل المثال، يختلف معرف الجهاز أو الموقع عن معايير تسجيل الدخول المعروفة مسبقًا أو يتم وضع علامة على عنوان بروتوكول الإنترنت باعتباره خطرًا).
	2.	يتم توجيه المعاملة من جهاز غير موثوق به إلى مستفيد تمت إضافته حديثًا.
	3.	تجاوز معدل تحويل غير طبيعي (على سبيل المثال، خمس عمليات تحويل في الساعة لعميل تجزئة).
ل.	يجب على المؤسسات المالية تقييد النشاط إذا تم تحديد جلسة شاذة على المعاملات ذات المستوى المنخفض حتى تتمكن المؤسسة من مصادقة الطلب الصادر من العميل الحقيقي ويمكنها جعل الجهاز موثوقًا به.
	1.	يجب أن تحدد المؤسسة المالية المعاملات ذات المستوى المنخفض في معايير منع الاحتيال (راجع 6.4).

5.4. الاحتيال والجرائم المالية والمواءمة السيبرانية

المبدأ
يجب على المؤسسات المالية التأكد من توافق القدرات التشغيلية لفريق الأمن السيبراني ومكافحة الاحتيال المالي والجرائم المالية لردع الاحتيال.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد وتنفيذ عملية لمواءمة القدرات التشغيلية لفريق مكافحة الاحتيال المالي والأمن السيبراني والجرائم المالية، التي ينبغي أن تشمل على الأقل ما يلي:
	1.	تحديد أدوار ومسؤوليات واضحة بين فرق إدارة مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني.
	2.	التدريب المتبادل بين فرق إدارة مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني.
	3.	إجراء اتصالات متعددة التخصصات بين إدارات الجرائم الإلكترونية والمالية ومكافحة الاحتيال لتبادل المعرفة بانتظام.
	4.	تطوير فرق عمل مشتركة بين إدارات مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني لمواءمة ممارسات العمل وإشراك المؤسسة بشكل جماعي.
	5.	عقد ورش عمل مشتركة لتقييم التهديدات أو تحليل سيناريوهات الاحتيال مع وحدات الأعمال لتحديد التهديدات بشكل جماعي وتبادل الرؤى من المراقبة الاستخباراتية.
	6.	تخزين معلومات التهديدات ذات الصلة في مستودع مركزي، مع تقييد الوصول إلى أصحاب المصلحة المعنيين.
	7.	تحديد الفرص لتوحيد أنظمة وأدوات منع الاحتيال والكشف السيبراني (على سبيل المثال، توفير البيانات حول مراقبة المستخدم أو موقع العميل من خلال عنوان بروتوكول الإنترنت).
	8.	مواءمة نهج الاستجابة لحوادث الجرائم الإلكترونية والمالية والاحتيال حيث تقع الحوادث عبر القدرات.
	9.	تنسيق الإجراءات التصحيحية لتعطيل المجموعات المنظمة التي تنظم عمليات الاحتيال (على سبيل المثال، إزالة مواقع الويب المزيفة التي تم إعدادها للحصول على بيانات العملاء).
	10.	إجراء تدريبات مشتركة للدروس المستفادة بأثر رجعي في أعقاب حوادث الاحتيال المتعلقة بالبيانات والأنظمة والعمليات والضوابط التي تشمل مكافحة الاحتيال المالي والجرائم المالية والقدرات السيبرانية.

6.4. معايير منع الاحتيال

المبدأ
يجب أن تكون المؤسسات المالية قد حددت ووافقت ونفذت وحافظت على معايير منع الاحتيال التي يجب أن تتماشى مع مخاطر الاحتيال التي تؤثر على المؤسسة وعملائها.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد المعايير والموافقة عليها وتنفيذها وحفظها للمساعدة في منع الاحتيال ومعالجة مخاطر الاحتيال الداخلي ومخاطر الاحتيال الخارجي التي تؤثر على المؤسسة.
ب.	يجب على المؤسسات المالية مراجعة وتحديث معايير منع الاحتيال على أساس دوري واستجابة للتغيرات الجوهرية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ج.	يجب مراقبة الامتثال لمعايير منع الاحتيال.
د.	يجب قياس فعالية معايير منع الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
هـ.	يجب استخدام نتائج تقييم مخاطر الاحتيال لتحديد أين يتم تركيز نشاط الوقاية، ويجب أن تكون الضوابط متناسبة مع قدرة المؤسسة على تحمل المخاطر.
و.	قد تكون معايير منع الاحتيال يدوية أو آلية، ويجب أن تتضمن على الأقل ما يلي:
	1.	الضوابط المُطبقة لمنع الاحتيال (على سبيل المثال، الفصل بين الواجبات، والموافقة والتصعيد، وتدريب الموظفين، والقيود على الوصول، والعناية الواجبة والتحقق من النزاهة، والإخطار بتغييرات الحساب، وحدود المعاملات، وشيكات الاكتتاب).
	2.	الأنظمة والتقنيات المُستخدمة لمنع الاحتيال (مثل إدارة الهوية والوصول، والمصادقة، وإصدار كلمات المرور لمرة واحدة، والقياسات البايومترية).
	3.	الأدوار والمسؤوليات المتعلقة بمنع الاحتيال (على سبيل المثال، مراجعة طلبات العملاء عند الإلحاق، وتصميم التدريب، والعناية الواجبة، واختبار النظام).
	4.	الأساس المنطقي الذي يوضح سبب ملاءمة ضوابط الوقاية للمخاطر التي تواجهها المؤسسة.
ز.	يجب على المؤسسات المالية أن تحدد النهج المتبع في وضع حدود وعتبات للضوابط الوقائية (حيثما ينطبق ذلك) في معايير منع الاحتيال، مع مراعاة ما يلي:
	1.	نتائج تقييم مخاطر الاحتيال.
	2.	حوادث الاحتيال والخسائر الناجمة.
	3.	قابلية مخاطر الاحتيال.

1.6.4 الاحتيال الداخلي

المبدأ
يجب أن تتضمن معايير منع الاحتيال في المؤسسات المالية ضوابط مُصممة لمنع الاحتيال الداخلي.
متطلبات الرقابة
أ.	يجب على المؤسسة المالية أن تدرج في معايير منع الاحتيال الخاصة بها ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الداخلي، بما في ذلك على سبيل المثال لا الحصر:
	1.	مطالبة الموظفين بالالتزام بمدونة قواعد السلوك.
	2.	إلزام جميع الموظفين بأخذ إجازة يُحظر خلالها التواصل معهم لا تقل عن 10 أيام عمل متواصلة كل عام.
	3.	الفصل بين الواجبات في عمليات الدفع والإنجاز بدعم من مصفوفات الترخيص الموثقة.
	4.	الضوابط المزدوجة أو الفحص الثانوي لعملية المراقبة، مع مراجعة إضافية أو عملية الموافقة على المعاملات التي تتجاوز الحدود التي تضعها المؤسسة المالية (على سبيل المثال، قيمة المعاملة أو المدفوعات لمورد جديد) أو المعاملات ذات المخاطر العالية (على سبيل المثال، الوصول إلى الحسابات الراكدة).
	5.	تقييد الوصول إلى تفاصيل العميل السرية لجميع الموظفين (على سبيل المثال، بيانات الاعتماد عبر الإنترنت، ورسائل كلمات المرور لمرة واحدة).
	6.	تقييد الوصول إلى بيانات حساب العميل السرية (مثل رصيد الحساب ومبلغ القرض) حيث لا يكون الاطلاع مطلوبًا في الدور الوظيفي (مثل موظفي تقنية المعلومات). عندما يكون الوصول مطلوبًا، يجب تسجيل النشاط وتخزينه بشكل آمن (انظر متطلبات الرقابة 3.5.ب).
	7.	متطلبات التعامل المناسب مع البيانات السرية.
	8.	ضوابط الوصول إلى الشيكات والنقد.
	9.	ضوابط لحماية الأمن المادي للأصول (على سبيل المثال، اشتراط تحديد هوية الموظفين في جميع الأوقات، وتأمين المعدات وتتبعها، وتقييد الوصول إلى الأصول الحساسة).
ب.	يجب على المؤسسات المالية مراعاة متطلبات التحكم في إدارة الهوية والوصول المتعلقة بإدارة وصول المستخدم وإدارة الوصول المميز الموضحة في الدليل التنظيمي لأمن المعلومات.
ج.	يجب على المؤسسات المالية التأكد أن الأفراد المسؤولين عن تشغيل ضوابط الاحتيال الداخلي مستقلون بشكل كافٍ عن الأفراد الذين يراقبونهم.
د.	يجب على المؤسسات المالية وضع العمليات والضوابط المناسبة لردع وتجنب حالات تضارب المصالح ومعاملات الأطراف ذات الصلة لمديريها ومسؤوليها وموظفيها والشركات الخارجية والمتعاقدين، بما في ذلك على سبيل المثال لا الحصر:
	1.	وضع سياسة تحدد بوضوح السلوك المحظور.
	2.	الحد من تدفق المعلومات بين الإدارات الداخلية والموظفين من خلال حواجز المعلومات.
	3.	تقديم الإرشادات والتعليمات والأمثلة حول تجنب تضارب المصالح.
	4.	المطالبة بالكشف الفوري عن أي حالات تضارب أو حالات تضارب محتملة.

2.6.4 الاحتيال الخارجي

المبدأ
يجب أن تتضمن معايير منع الاحتيال في المؤسسات المالية ضوابط مُصممة لمنع الاحتيال الخارجي.
متطلبات الرقابة
أ.	يجب على المؤسسة المالية أن تدرج في معايير منع الاحتيال الخاصة بها، ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الخارجي، بما في ذلك على سبيل المثال لا الحصر:
	1.	الخط الساخن متاح على مدار 24 ساعة للإبلاغ عن حالات الاحتيال المشتبه بها واتخاذ إجراءات فورية للرد على عمليات الاحتيال (على سبيل المثال، حظر الوصول إلى الحساب أو البطاقات).
	2.	توفير إمكانية الخدمة الذاتية للتوقف في حالات الطوارئ للعملاء لتجميد حساباتهم على الفور وحظر المزيد من المعاملات إذا اشتبهوا في تعرض حساباتهم للخطر.
	3.	ضوابط هوية العميل وإدارة الوصول للحسابات عبر الإنترنت / الهاتف المحمول والمنتجات الرقمية.
	4.	استخدام القوائم السوداء لفحص وحظر المعاملات أو توفير البطاقات أو الوصول إلى الأشخاص ذوي المخاطر العالية المحددة:
		أ.	الحسابات
		ب.	عناوين بروتوكولات الإنترنت
		ج.	عناوين البريد الإلكتروني
		د.	الأجهزة المُخترقة أو تلك التي تم استخدامها سابقًا للاحتيال (على سبيل المثال، تطبيق الهاتف المحمول المُسجل في حساب تم استخدامه لإجراء الاحتيال).
	5.	القدرة على حظر المعاملات بسرعة من حسابات/بطاقات العملاء، مع وجود ضمانات محددة لإلغاء الحظر.
	6.	مطالبة مستخدمي خدمات الإنترنت والهاتف المحمول بالموافقة على تفعيل نظام تحديد المواقع العالمي (GPS) أثناء جلسة نشطة للسماح للمؤسسة بمراقبة الموقع.
	7.	قدرة تطبيقات الهاتف المحمول على كشف الاستخدام على الأجهزة التي خضعت لكسر الحماية أو التجذير، ومن ثم، حظر استخدام التطبيق أو تقييد الوصول إلى البيانات أو الميزات الحساسة.
	8.	حظر استخدام خدمات الشبكة الخاصة الافتراضية عند الوصول إلى خدمات الإنترنت أو الهاتف المحمول.
	9.	تسجيل الجهاز الذي يسمح للمستخدمين بتسجيل الأجهزة الموثوقة لإدارة الوصول.
	10.	وضع قيود على عمليات تسجيل الدخول المتزامنة إلى تطبيق الهاتف المحمول، أو قيود على عدد الأجهزة التي يمكن تثبيت تطبيق الهاتف المحمول عليها والوصول إليها.
	11.	تحديد الحسابات غير المشروعة (على سبيل المثال، الحسابات التي تم إنشاؤها لتلقي الأموال التي تم الحصول عليها عن طريق الاحتيال وغسل عائدات الجريمة).
	12.	ملفات تعريف سلوك المستخدم التي تسمح بتنفيذ القواعد لمنع الوصول إلى حسابات العملاء في حالة تحديد سلوك غير عادي.
	13.	مراقبة عدم نشاط المنتج وسكونه، خاصة عندما يتم إعادة تنشيط المنتجات.
	14.	يتم إرسال إشعار للعميل عند إجراء تغييرات على البيانات الثابتة إلى التفاصيل السابقة والجديدة.
	15.	الدفع عبر الإنترنت والهاتف المحمول والهاتف:
		أ.	إرسال كلمة مرور لمرة واحدة للتحقق من جميع المدفوعات الموجهة (المستفيدين الجدد والحاليين)، بما في ذلك المعاملات من خلال حسابات التحويلات.
		ب.	إشعار العميل بإضافة المستفيدين الجدد (على سبيل المثال، الرسائل النصية القصيرة، معاودة الاتصال).
		ج.	وضع حد افتراضي للمعاملات الفردية واليومية التي يجب مراجعتها وتحديثها دوريًا عند الحاجة (على سبيل المثال، مراجعة ملفات تعريف العملاء وسلوكياتهم، وحالات الاحتيال الفعلية / خسائر العملاء).
		د.	إعلام العميل في حالة زيادة حد المعاملة الافتراضية (على سبيل المثال، إذا تمت ترقية نوع حساب العميل).
		هـ.	الخيار أمام العملاء لتقليل الحد الافتراضي للمعاملة الواحدة.
		و.	خيار للعملاء لتقليل الحد الافتراضي للمعاملات اليومية.
		ز.	الحظر الفوري على المزيد من المعاملات إذا تم الوصول إلى حد المعاملة إما من خلال المدفوعات الفردية أو المتكررة سواء لمستفيد واحد أو عدة مستفيدين.
		ح.	عمليات التحقق الإضافية للمصادقة:
			i.	المعاملات غير العادية (على سبيل المثال، المعاملات بعد فترة من سكون الحساب، والتغييرات في سلوكيات العملاء).
			ii.	أنماط غير عادية من المعاملات (على سبيل المثال، دفعات متعددة لنفس المستفيد في فترة قصيرة).
			iii.	المعاملات التي تتجاوز حد القيمة المحددة.
			iv.	طلبات زيادة حد المعاملات الفردية أو اليومية.
			v.	المعاملات الأولية بعد التسجيل في الخدمات المصرفية عبر الإنترنت أو خدمات الهاتف المحمول، أو تسجيل جهاز جديد.
		ط.	يجب أن تتضمن عمليات التحقق الإضافية، على سبيل المثال لا الحصر، واحدًا أو أكثر مما يلي:
			i.	معاودة الاتصال الآلي.
			ii.	معاودة الاتصال اليدوي.
			iii.	الرسائل النصية القصيرة إلى رقم الهاتف المحمول المسجل.
			iv.	المصادقة عبر القياسات البايومترية على الجهاز المحمول المسجل.
	16.	بطاقات الائتمان والخصم:
		أ.	الالتزام بجميع قواعد نظام البطاقة (على سبيل المثال، قواعد أعمال مدى، رمز Visa CVV2، رمز Mastercard CVC2).
		ب.	استخدام كلمات المرور لمرة واحدة للموافقة على المعاملات عبر الإنترنت.
		ج.	بالنسبة للمعاملات عالية المخاطر، استخدام تدابير مصادقة إضافية بالإضافة إلى كلمات مرور لمرة واحدة أو الموافقة من تطبيقات الهاتف المحمول (على سبيل المثال، معاودة الاتصال الآلي برقم الهاتف الموجود في الحساب).
		د.	التحقق من العنوان/الرمز البريدي لمدفوعات البطاقة عبر الإنترنت.
		هـ.	تم إصدار بطاقات جديدة تتطلب التنشيط قبل الاستخدام.
	17.	ضوابط التحقق لضمان صحة الشيكات والأدوات المماثلة.
	18.	الفحص الدوري لأجهزة الصراف الآلي بحثًا عن أي نشاط مشبوه أو أجهزة يمكن أن تهدد أمن البطاقة.
	19.	إزالة الروابط في جميع رسائل البريد الإلكتروني والرسائل النصية القصيرة المُرسلة إلى العملاء.
ب.	يجب على المؤسسات المالية أيضًا تنفيذ الضوابط الوقائية التالية بالنهج القائم على المخاطر:
	1.	تأخير في التنشيط عندما يطلب العميل زيادة في حدود المعاملات عبر الإنترنت/الهاتف المحمول.
	2.	آليات الوقاية الروبوتية قبل تعليمات الدفع لتخفيف حدة مخاطر نشاط الروبوت الآلي.
	3.	إتاحة وظيفة للعملاء لطلب إشعار فوري بجميع معاملات الحساب والبطاقة على أجهزتهم المحمولة المُسجلة.
	4.	السياج الجغرافي عندما تحدث المعاملات في موقع خارج المنطقة الرئيسية للعملاء (على سبيل المثال، استخدام بيانات الموقع الجغرافي للجهاز المحمول للمطالبة بالتحقق إذا حاول المستخدم الوصول إلى المنتجات والخدمات أثناء وجوده في بلد أجنبي، وهو ما لا يتماشى مع ملف تعريف سلوك المستخدم).
	5.	إجراءات احتجاز التحويلات المشبوهة إلى البلدان المصنفة على أنها عالية المخاطر في نموذج المخاطر الخاص بالولاية القضائية للمؤسسة.
	6.	تأخير في المدفوعات المطلوبة للمستفيدين الجدد الذين تمت إضافتهم عبر خدمات الإنترنت/الهاتف المحمول حتى الانتهاء من التحقق الإضافي.
	7.	التأخير قبل تفعيل رمز مميز (token) جديد على جهاز محمول.
	8.	إخطار العميل بتسجيل جهاز جديد وتحديد الخدمات المهمة (على سبيل المثال، توفير البطاقة، إضافة المستفيدين الجدد) التي يجب تعطيلها لفترة بعد تسجيل الجهاز الجديد.
ج.	يجب على المؤسسات المالية التي تقدم منتجات الإقراض والائتمان أن تدرج في معايير منع الاحتيال، ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الخارجي، بما في ذلك على سبيل المثال لا الحصر:
	1.	مراجعة الطلبات/المقترحات للتحقق من احتمالية الاحتيال في الطلب (على سبيل المثال، التلاعب بالتفاصيل أو تحريف الوضع المالي لمقدم الطلب).
	2.	التحقق من المستندات المزورة أو المزيفة المقدمة لغرض التعريف أو كضمان على الإقراض.
	3.	ضوابط إدارة الهيئة للوكلاء والوسطاء وجهات التقييم والأطراف الخارجية الأخرى.

5. الكشف
من الضروري لأمن وحماية العملاء التعرف بسرعة على الاحتيال الفعلي أو محاولة الاحتيال إذا كانت الضوابط الوقائية غير كافية أو غير فعالة. تُعد أنظمة وضوابط الكشف عن الاحتيال بمثابة تدابير قائمة على المخاطر لتحديد الاحتيال من خلال البحث عن مؤشرات في سلوكيات العملاء ومعلومات المعاملات وغير المعاملات. يتيح الكشف الفعال عن الاحتيال اتخاذ إجراءات متناسبة في الوقت المناسب لتقليل الخسائر التنظيمية والأثر على العملاء. يمكن أن تكون ضوابط الكشف يدوية، ولكن نظرًا لحجم النشاط في المؤسسات المالية والطبيعة الرقمية للمنتجات والخدمات، تعتمد عادةً على التقنيات لإجراء المراقبة الآلية.

الشكل 6 - مجال (الكشف)

1.5. معايير كشف الاحتيال

المبدأ
يجب أن تكون المؤسسات المالية قد حددت معايير كشف الاحتيال ووافقت عليها ونفذتها وحافظت عليها، ويجب أن تتماشى المعايير مع مخاطر الاحتيال التي تؤثر على المؤسسة وعملائها.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد معايير كشف الاحتيال والموافقة عليها وتنفيذها والحفاظ عليها، حيث تعالج المعايير مخاطر الاحتيال الداخلي ومخاطر الاحتيال الخارجي التي تؤثر على المؤسسة.
ب.	يجب على المؤسسات المالية مراجعة وتحديث معايير كشف الاحتيال على أساس دوري واستجابة للتغيرات الجوهرية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ج.	يجب مراقبة الامتثال لمعايير الكشف عن الاحتيال.
د.	يجب قياس فعالية معايير كشف الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
هـ.	يجب استخدام مخرجات تقييم مخاطر الاحتيال لتحديد موضع تركيز نشاط الكشف، ويجب أن تكون الضوابط متناسبة مع مدى قددرة المؤسسة على تحمل المخاطر.
و.	عند تقييم المخاطر المتأصلة للاحتيال على أنها مرتفعة يجب أن تتطلب معايير الكشف عن الاحتيال ضوابط كشف إضافية (على سبيل المثال، المراقبة في الوقت الفعلي، أو مصادر بيانات إضافية أو نماذج التعلم الآلي) أو معايير حد كشف أكثر صرامة (على سبيل المثال، حدود نقدية أقل قبل التنبيه).
ز.	يجب أن تتضمن معايير كشف الاحتيال كحد أدنى على ما يلي:
	1.	مصادر البيانات المستخدمة لكشف الأنشطة المشبوهة والاحتيال (على سبيل المثال، سجلات العملاء الأساسية، وأنظمة المعاملات/الدفع، وإدارة الهوية والوصول، وقواعد البيانات الخارجية).
	2.	الضوابط المُطبقة للكشف عن الأنشطة الاحتيالية المشتبه بها (على سبيل المثال، تصعيد الأحداث والمعاملات عالية المخاطر، والفحص الثانوي، والتسويات، والإبلاغ عن الاستثناءات، والتدريب الداخلي).
	3.	الضوابط المُطبقة لكشف أي نشاط احتيالي مشتبه به يتعلق بأمن نقطة نهاية الدفع بالجملة (على سبيل المثال، مراقبة سلوك المدفوعات والتقارير خارج النطاق، وإعداد قائمة مسموح بها للأطراف المقابلة، وتتبع الدفعات الغريبة، وحظر المدفوعات في الوقت الفعلي) .
	4.	الأنظمة والتقنية المُطبقة لكشف الاحتيال المحتمل (على سبيل المثال، برمجيات كشف الاحتيال، والتنبيهات بشأن الأحداث أو المعاملات ذات القيمة العالية، ومراقبة الوصول، وتحليل الروابط).
	5.	الأدوار والمسؤوليات المتعلقة بكشف الاحتيال (على سبيل المثال، معايرة النظام، ومراجعة إحالات الاحتيال اليدوية، وفرز التنبيهات وإدارتها، ونقطة التصعيد للحوادث المحتملة المهمة، والإشراف والرقابة).
	6.	الأساس المنطقي الذي يوضح سبب ملاءمة أنظمة الكشف والضوابط للمخاطر التي تواجهها المؤسسة.
ح.	يجب على المؤسسات المالية أن تراعي مجالات النشاط التالية عند توثيق متطلبات الأشخاص والعمليات والتقنية لكشف الاحتيال:
	1.	بيانات نشاط الموظف (مثل الوصول إلى النظام والفواتير والمدفوعات والموافقات).
	2.	نشاط حساب العميل (مثل المعاملات والمدفوعات والتسويات).
	3.	الوصول إلى حساب العميل وإدارته (على سبيل المثال، تحديد الموقع الجغرافي لتسجيل الدخول، واستخدام الجهاز، والتغييرات في البيانات الثابتة).
	4.	بيانات نشاط الطرف الخارجي (على سبيل المثال، الوصول إلى أنظمة أو بيانات المؤسسة المالية واستخدامها، والتعليمات نيابة عن العملاء، والإحالات من الوكلاء).
ط.	عندما تقرر مؤسسة مالية أن هناك حاجة إلى مراقبة يدوية (على سبيل المثال، بسبب حجم المؤسسة المالية، أو نقص الأنظمة أو التحليلات، أو تغطية المنتجات والقنوات)، فيجب مراجعة طبيعة مخاطر الاحتيال لتقييم عدد الموظفين والمهارات المطلوبة لتوفير التغطية اليدوية الكافية.
ي.	يجب أن يكون لدى المؤسسات المالية موارد كافية لإدارة مخرجات الكشف اليدوي والآلي عن الاحتيال (على سبيل المثال، عدد كافٍ من الموظفين لعمل التنبيهات، والمهارات المناسبة والتدريب للموظفين لاستكمال التحقيقات، ونظام سير العمل لتخصيص التنبيهات).

2.5. أنظمة كشف الاحتيال

المبدأ
يجب على المؤسسات المالية تنفيذ وصيانة أنظمة كشف الاحتيال لتحديد الحالات الشاذة في بيانات المعاملات وغير المعاملات، وسلوك العملاء أو الموظفين الذي قد يكون من مؤشرات الاحتيال.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تنفيذ وصيانة أنظمة كشف الاحتيال لمراقبة منتجات وخدمات العملاء، والأنظمة الداخلية للمعاملات أو السلوكيات التي قد تشير إلى الاحتيال.
ب.	يجب أن تعمل أنظمة كشف الاحتيال على مدار الساعة طوال أيام الأسبوع مع توفر الموارد المناسبة لإدارة المخرجات في الوقت المناسب.
ج.	يجب على المؤسسات المالية تطوير مصادر شاملة وحديثة للبيانات لاستخدامها في كشف الأنشطة المشبوهة والاحتيال، بما في ذلك على الأقل:
	1.	منتجات وخدمات العملاء المُقدمة في جميع مجالات الأعمال.
	2.	جميع قنوات الاتصال (على سبيل المثال، الإنترنت، الهاتف المحمول، الهاتف).
	3.	المعلومات الخارجية (مثل البيانات المرجعية الائتمانية، والقوائم السوداء، ومجموعات البيانات المقدمة من المورد).
	4.	الرؤى التي تم جمعها من المراقبة الاستخباراتية (انظر القسم الفرعي 1.1.4).
	5.	بيانات المعاملات أو التسوية (على سبيل المثال، قيم الدفع داخل أو خارج الحسابات، ومستلمو الدفع المضافون، وسلطة تعليمات الدفع، والتحويل من الوصي على الأموال).
	6.	البيانات غير المتعلقة بالمعاملات (على سبيل المثال، سلوك الموظف، والوصول إلى الإنترنت، واستخدام الجهاز، والموقع الجغرافي، والتغييرات في البيانات الثابتة).
د.	يجب على المؤسسات المالية تنفيذ الضوابط (مثل حوكمة البيانات، وإلغاء التكرار، وتنبيهات جودة البيانات، والتدقيق المنتظم، واختبار التكامل، واختبار التراجع لإدارة التغيير) للتأكد من أن البيانات الأساسية هي:
	1.	قد قُدِمت في الوقت المناسب لنظام الكشف بوتيرة مناسبة بناءً على معدل التغيير ومدى الأهمية الملحة للمعلومات (على سبيل المثال، يجب أن تكون بيانات الدفع في الوقت الفعلي للسماح بالتدخل قبل تحويل الأموال، في حين قد يتم تحديث المنتجات الجديدة المباعة يوميًا، ويتم تحديث المعلومات الخارجية عند تغيير القوائم).
	2.	كاملة - تشمل جميع البيانات المطلوبة من جميع الأنظمة ذات الصلة المحددة في معايير الكشف عن مكافحة الاحتيال المالي (على سبيل المثال، يجب التحقق من صحة تعيين البيانات من النظام المصدر إلى نظام الكشف).
	3.	دقيقة - ذات جودة كافية لتمكين المراقبة الفعالة (على سبيل المثال، محدثة وتم اختبارها لضمان جودة البيانات).
هـ.	يجب على المؤسسات المالية التأكد من أن قدرة نظام كشف الاحتيال تشمل كحد أدنى ما يلي:
	1.	تحليل البيانات المُنظمة (البيانات بتنسيق موحد ومُنظم).
	2.	مراقبة حسابات العملاء والحسابات الداخلية.
	3.	تحديد أنماط سلوك المستخدم في ملفات التعريف التي تسمح بتحديد الانحرافات عن النشاط العادي (على سبيل المثال، الوتيرة المتوقعة أو قيمة المعاملات).
	4.	تعريف مكتبة القواعد المستندة إلى أنواع الاحتيال المعروفة لتحديد النشاط الذي يمكن أن يشير إلى الاحتيال (على سبيل المثال، أنماط وصول الموظفين، موقع العميل غير المعروف أو البعيد، زيادة وتيرة المعاملات، نوع المعاملة الجديد، المبلغ ذو القيمة العالية، المعاملات المتكررة سواء كانت مستفيدًا واحدًا أو عدة مستفيدين، مصدر تحويل واحد لعدة حسابات).
	5.	تقسيم مجموعات العملاء لتمكين تصميم القواعد (على سبيل المثال، تعديل القواعد والحدود بناءً على السلوكيات المتوقعة المختلفة لعميل الخدمات المصرفية الخاصة من ذوي الثروات الكبيرة مقابل العميل الفرد القياسي أو حساب جديد مفتوح عبر الإنترنت مقابل عميل مُدار بعلاقة راسخة).
	6.	تطبيق ترجيح للقواعد بناءً على المستوى المُقدر لمخاطر الاحتيال وتعيين درجات المخاطر لتحديد النشاط الذي قد يشير إلى الاحتيال.
	7.	تجميع درجات المخاطر لتقييم أنماط نشاط المعاملات وغير المعاملات عبر قنوات متعددة والتي عند دمجها قد تكون مؤشرات على الاحتيال.
	8.	ربط المخرجات (مثل التنبيهات والحالات لمزيد من التحقيق) بنظام إدارة الحالات.
و.	يجب على المؤسسات المالية استخدام مخرجات المراقبة الاستخباراتية والمعلومات من جميع أنحاء المؤسسة في تحليلات البيانات لإجراء تحليل عميق للوضع الراهن والتنبؤ بتهديدات الاحتيال المستقبلية واتخاذ إجراءات استباقية لمنع الاحتيال. يجب أن تستخدم التحليلات مصادر بيانات متعددة، بما في ذلك على سبيل المثال لا الحصر، التوجهات السابقة والحالية وبيانات العملاء والمعاملات والأنشطة غير المتعلقة بالمعاملات.
ز.	عند تحديد خطر أعلى للاحتيال في تقييم مخاطر الاحتيال أو عندما تحدث حالات احتيال أعلى، يجب على المؤسسات المالية، بالإضافة إلى ذلك، تنفيذ قدرة النظام على:
	1.	استخراج البيانات الضخمة لتسهيل التحليلات المتقدمة على كميات كبيرة من البيانات المُنظمة وغير المُنظمة، مع التنسيق المرتبط بها لإنشاء مستودع بيانات مركزي (على سبيل المثال، استخدام خوارزميات تحسين البيانات ومقارنتها لإجراء استعلامات على كميات كبيرة جدًا من البيانات، والتخزين في مستودع البيانات).
	2.	الأدوات والقدرات التحليلية لتعزيز المراقبة القائمة على القواعد (على سبيل المثال، تحليل التوجهات، وتحليل الكلمات الرئيسية، والتحليلات التنبؤية، وكشف الحالات الشاذة).
	3.	تراكب الذكاء الاصطناعي وخوارزميات التعلم الآلي (مثل مخطط انسيابي قراري (decision trees) أو مجموعة مخططات انسيابية قرارية(random forests) أو الشبكات العصبية(neural networks)) من أجل:
		أ.	تعزيز القدرة على اتخاذ القرار في النظام.
		ب.	التنبؤ باحتمالية الاحتيال.
		ج.	التعلم من الأنماط السابقة ومعرفة السلوك الاحتيالي والسلوك المشروع.
	4.	تصور الشبكة/تحليلات الارتباط أو تحليل الكيان للكشف عن الاتصالات المخفية أو غير المعروفة سابقًا وتحديد الشبكات عبر مصادر بيانات مختلفة (على سبيل المثال، تحديد الاتصالات من الأجهزة أو عناوين بروتوكول الإنترنت المعروفة بأنها تم استخدامها لأغراض احتيالية والربط مع نقاط بيانات أخرى لإعداد درجة تهديد مرتبطة بالشبكة، من خلال النظر في الموقع، وبطاقات الدفع المُستخدمة، والمستفيدين وما إلى ذلك).
	5.	تحليل البيانات الخارجية الإضافية غير المُنظمة (مثل وثائق العملاء الممسوحة ضوئيًا) لتوسيع مصادر البيانات.
ح.	عند تحديد انحراف عن أنماط سلوك المستخدم الأساسية، يجب على المؤسسات المالية إما:
	1.	تتطلب المزيد من المصادقة للمستخدم أو تعليماتهم.
	2.	إنشاء تنبيه لإجراء مزيد من التحقيقات لتحديد ما إذا كان قد حدث احتيال.
ط.	لضمان فعالية وتحسين أنظمة كشف الاحتيال، يجب على المؤسسات المالية:
	1.	معايرة واختبار سيناريوهات الكشف للتحقق من العمل وفق التصميم وتمكين المراقبة وفقًا لقدرة المؤسسات على تحمل المخاطر (على سبيل المثال، مراجعة منطق القواعد، واختبار الحد، واختبار الدقة والاستدعاء).
	2.	تنفيذ حلقات الملاحظات والتعقيبات لرصد وتعزيز أداء الأنظمة وفعالية السيناريوهات والمعايير من خلال مراجعة الإيجابيات والسلبيات الزائفة والتنبيهات التي حددت الاحتيال.
	3.	مراجعة السيناريوهات والمعايير دوريًا للتأكد من أنها تظل مناسبة في ضوء الرؤى التي تم جمعها في مراقبة الاستخبارات و/أو نتائج تقييم مخاطر الاحتيال.
	4.	اختبار فعالية الأنظمة دوريًا، من خلال تدابير الضبط والمعايرة المستمرة مثل تخطيط البيانات والتحقق من صحة المدخلات، والتحقق من صحة النموذج، واختبار فعالية السيناريو وإعداد التقارير.
	5.	تحديث أنماط وقواعد سلوك المستخدم لمراعاة أحدث التهديدات وأنواع الاحتيال.
	6.	الاحتفاظ بسجل موثق للتغييرات التي تم إجراؤها على التكوين أو القواعد والأساس المنطقي للقرار.
	7.	مراقبة التغييرات غير المصرح بها على النظام (على سبيل المثال، التلاعب بالقواعد أو تعطيل المراقبة).
ي.	يجب أن تتضمن أنظمة كشف الاحتيال القدرة على مراقبة المقاييس والمعلومات الإدارية والإبلاغ عنها فيما يتعلق بما يلي:
	1.	سلامة البيانات.
	2.	فعالية القاعدة والسيناريو (على سبيل المثال، المعدل الإيجابي الزائف).
	3.	الأداء التشغيلي.

3.5. المراقبة لكشف الاحتيال

المبدأ
يجب على المؤسسات المالية تصميم وتنفيذ ضوابط لمراقبة الأنشطة والسلوك من أجل كشف المؤشرات المحتملة للاحتيال الخارجي والاحتيال الداخلي.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تصميم وتنفيذ ضوابط لمراقبة منتجات وخدمات العملاء بحثاً عن السلوكيات التي قد تشير إلى الاحتيال الخارجي. كحد أدنى، يجب أن يعالج ذلك المخاطر الناجمة عن:
	1.	احتيال الطرف الأول - حيث يقوم أحد عملاء المؤسسة المالية بتحريف هويته أو تقديم معلومات كاذبة لارتكاب عملية احتيال باستخدام حسابه الخاص أو طلب القرض أو أي منتج آخر.
	2.	الاحتيال من طرف ثانٍ - حيث يقدم العميل أو الفرد معلوماته الشخصية عن عمد أو يسمح باستخدام هويته لارتكاب عمليات احتيال.
	3.	الاحتيال من طرف ثالث - عندما يحصل شخص ليس من عملاء المؤسسة المالية على تفاصيل العميل دون موافقته أو علمه، ثم يستخدم المعلومات لارتكاب الاحتيال.
ب.	يجب على المؤسسات المالية تصميم وتنفيذ ضوابط لمراقبة الموظفين في الأدوار التي تم تحديدها في تقييم مخاطر الاحتيال على أنها تمثل خطر الاحتيال الداخلي، بما في ذلك على سبيل المثال لا الحصر:
	1.	مسار تدقيق وصول الموظفين إلى الأنظمة الأساسية للمؤسسة المالية.
	2.	سجل منهجي لنشاط الموظفين لجميع أنظمة وقواعد بيانات المحاسبة المالية والعملاء (على سبيل المثال، تسجيل مسار تدقيق لموظف يقوم بإجراء تغييرات على عنوان العميل، وإضافة المستفيد، وتوجيه الدفع، والتفويض بالسحب).
	3.	مراقبة السلوكيات أو الأنشطة غير العادية (على سبيل المثال، المعاملات خارج ساعات العمل، أو استثناءات العمليات أو التجاوزات المكتملة دون الحصول على الموافقات المناسبة).
	4.	تسوية وترتيب الأنظمة المالية والحسابات المصرفية الداخلية للمؤسسة.
	5.	تعزيز الرقابة على المدفوعات لحسابات موظفي المؤسسة المالية.
	6.	المراقبة والحصول على الموافقة ذات الصلة على استخدام بطاقة الشركة ومطالبات النفقات.
	7.	مراقبة شكاوى الموظفين وخطوط الإبلاغ المجهولة.

4.5. الإبلاغ عن المخالفات

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتمكين الموظفين المعنيين والأطراف الخارجية من الإبلاغ عن انتهاكات الاحتيال المحتملة دون الخوف من العواقب أو التداعيات السلبية.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية الإبلاغ عن المخالفات عبر قنوات متعددة للموظفين والأطراف الخارجية للإبلاغ عن انتهاكات الاحتيال المحتملة.
ب.	يجب أن تتوافق هذه العملية مع سياسة الإبلاغ عن المخالفات لدى المؤسسات المالية (سياسة الإبلاغ عن المخالفات) الصادرة عن البنك المركزي.
ج.	يجب على المؤسسات المالية عدم اتخاذ أي إجراء ضد المبلغين عن أي إفصاحات عن انتهاكات الاحتيال المحتملة التي تم الإبلاغ عنها بحسن نية.

6. الاستجابة
تُعد الاستجابة الفعالة في الوقت المناسب لحوادث الاحتيال الفعلية أو المشتبه فيها أمرًا أساسيًا لتقليل الخسائر وزيادة فرص التعافي. في حالة الاشتباه في الاحتيال أو كشفه، يلزم وجود خطة قوية للاستجابة للاحتيال تتضمن إجراءات واضحة لإدارة الاستجابة، مما يتيح إجراء تحقيق فعال؛ وتنفيذ حل سريع وعادل؛ واتخاذ الإجراءات التصحيحية عند الاقتضاء. بعد الحل، من المهم تقييم السبب الجذري للحادث وتقييم فعالية أطر التحكم لتجنب تكراره.

الشكل 7 - مجال الاستجابة

1.6. خطة الاستجابة للاحتيال

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على خطة الاستجابة للاحتيال لمعرفة الاستجابة التنظيمية لحادث احتيال فعلي أو مشتبه به.
متطلبات الرقابة
أ.	يجب وضع خطة الاستجابة للاحتيال والموافقة عليها وتنفيذها وحفظها ومواءمتها مع عملية إدارة حوادث المؤسسة حيثما كان ذلك مناسبًا.
ب.	يجب مراقبة الامتثال لخطة الاستجابة للاحتيال.
ج.	يجب قياس فعالية خطة الاستجابة للاحتيال والضوابط ذات الصلة وتقييمها بشكل دوري.
د.	يجب أن تتطلب خطة الاستجابة للاحتيال تقييمًا سريعًا ومختصًا، والتحقيق، وحل جميع حالات الاحتيال المشتبه فيها أو التي تم تحديدها.
هـ.	يجب أن تتضمن خطة الاستجابة للاحتيال كحد أدنى ما يلي:
	1.	الطرق التي يتم من خلالها تنبيه المؤسسة المالية إلى حالات الاحتيال المشتبه فيها أو المحددة، بما في ذلك قنوات الإبلاغ المتاحة للعملاء والموظفين والأطراف الخارجية.
	2.	الأدوار والمسؤوليات للأفراد والفرق المطلوبة للرد على الاحتيال المحتمل.
	3.	سلطة اتخاذ القرار وإجراءات الإحالة للتصعيد داخل وخارج المؤسسة المالية (على سبيل المثال، الإحالة إلى المتخصصين في الحالات المعقدة، والإدارة العليا في حالات الاحتيال المادي المحتملة، والاستشارة الخارجية إذا كانت هناك مخاوف قانونية).
	4.	اتفاقيات مستوى الخدمة للرد على تقارير الاحتيال الأولية.
	5.	إجراءات الاستجابة السريعة لحالات الاحتيال المحتملة التي تحددها المؤسسة المالية، والتي أبلغها العميل أو أبلغتها المؤسسات الأخرى. ويجب أن يشمل ذلك تدابير احترازية لتجميد الأموال الواردة حتى يتم التحقق من سلامة المصدر إذا كان هناك شك في أن المعاملات الواردة هي نتيجة للاحتيال.
	6.	الإجراءات التي ستتخذها المؤسسة المالية عند الاشتباه في الاحتيال أو تحديده، بما في ذلك على سبيل المثال لا الحصر:
		أ.	تنسيق الموارد المناسبة لإدارة حجم التنبيهات والحالات.
		ب.	تسجيل وإجراء تقييم أولي لجميع التنبيهات أو التقارير المُقدمة رسميًا عن الاحتيال.
		ج.	عند تقييم التنبيه أو الإحالة على أنها لا تتطلب مزيدًا من التحقيق، يجب تسجيل الأساس المنطقي الذي يشرح القرار.
		د.	التحقيق في جميع الحالات التي يشتبه في ارتكاب عمليات احتيال فيها أو تم تحديدها.
		هـ.	الاحتفاظ بسجل شامل لجميع الأدلة والتحقيقات المتعلقة بالاحتيال المحتمل والفعلي لفترة محددة في جدول الاحتفاظ بالسجلات الخاص بالمؤسسة المالية وبما يتوافق مع المادة 12 من نظام مكافحة غسل الأموال.
	7.	العملية الواجب اتباعها في حالة اكتشاف حادث احتيال محتمل خارج ساعات العمل العادية للمؤسسة المالية.
	8.	شرط الشروع في استجابة فورية عند تحديد عملية احتيال محتملة لأمن نقاط النهاية للدفع بالجملة.
	9.	عندما يتعلق الاحتيال الفعلي أو المحتمل بالخدمات المُقدمة للعميل أو الدفع إلى/من مؤسسة مالية أو عميل، يجب أن تتطلب خطة الاستجابة للاحتيال من المؤسسات المالية ما يلي:
		أ.	تحديد ما إذا كانت المعاملة الاحتيالية المحتملة قد اكتملت أو أنها في طور الاكتمال.
		ب.	إذا لم تكتمل المعاملة: اتخاذ إجراء فوري لمنع المعاملة أو تعليقها والتنسيق بشكل استباقي مع أي من المؤسسات المالية المعنية لاتخاذ الإجراءات المطلوبة مع الأخذ في الاعتبار دور غرفة المشاركة - مركز العمليات.
		ج.	الاستجابة الاستباقية للطلبات المتعلقة بالمعاملات الاحتيالية المشتبه بها عند تلقي إخطار من مؤسسة مالية أخرى بناءً على البروتوكولات المتفق عليها لغرفة المشاركة - مركز العمليات.
		د.	حظر المنتج أو تجميده (أو أي خدمات مرتبطة به مثل بطاقات الائتمان أو بطاقات الخصم المُخترقة) لمنع المزيد من المعاملات حتى اكتمال التحقيق، وعند الضرورة تتم إعادة تعيين بيانات اعتماد الأمان أو إصدار بطاقة جديدة.
		هـ.	منع أي معاملات أخرى من أو إلى أي أرقام حسابات مصرفية دولية خارج المؤسسة المالية والتي تم استخدامها لارتكاب عملية الاحتيال ومشاركة رقم الحساب المصرفي الدولي مع المؤسسة الخارجية لتجميد الحساب.
		و.	التعاون مع المؤسسات الأخرى في حال تلقي طلب تجميد منتج، وكانت هناك مبررات للاشتباه.
		ز.	إذا اكتملت المعاملة وأثبت التحقيق أن المعاملة احتيالية: إلغاء المعاملة أو طلب استرداد الأموال حيثما أمكن ذلك.
		ح.	الاتصال بالعميل أو الطرف الخارجي لإبلاغه بالإجراءات المُتخذة والخطوات التالية.
		ط.	التحقق من هوية العميل قبل إعادة تفعيل الخدمات بعد تجميد الحساب بسبب تعرضه لعملية احتيال.

2.6. التنبيه وإدارة الحالات

المبدأ
يجب على المؤسسات المالية تنفيذ وصيانة نظام إدارة الحالات لإدارة الاستجابة للاحتيال. من شأن ذلك أن يسهّل تسجيل ورصد وتخزين البيانات المتعلقة بالتقييم والتحقيق وتسوية حالات الاحتيال المشتبه فيها والمحددة.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تنفيذ وحفظ نظام إدارة الحالات لإدارة الاستجابة للاحتيال والعمل كقاعدة بيانات لبيانات حالات الاحتيال.
ب.	يجب استخدام نظام إدارة الحالات لتسجيل ومراقبة تنبيهات الاحتيال المشتبه بها والتقارير الداخلية والخارجية والتحقيقات في الحالات بدءًا من التقييم الأوليّ وحتى الحل.
ج.	يجب أن يتمتع نظام إدارة الحالات بالقدرة على:
	1.	تقييد وصول المستخدم إلى الأفراد والأدوار المصرح لهم.
	2.	إعداد مسار عمل يتماشى مع النموذج التشغيلي الخاص بالمؤسسة المالية.
	3.	قابلية التهيئة للتكيف مع التغييرات في النموذج التشغيلي للمؤسسة المالية أو خطة الاستجابة للاحتيال.
	4.	إسناد الحالات إلى المسؤولين عنها.
	5.	تصنيف حالات الاشتباه بالاحتيال للاسترشاد بذلك في إعداد التقارير وتحليل التوجهات.
	6.	تتبع الحالة من التنبيه الأوليّ أو الإبلاغ إلى الحل.
	7.	تسجيل خطوات التحقيق المتبعة.
	8.	العمل كمستودع لجميع المعلومات المطلوبة للتحقيق في قضية الاحتيال وحلها (على سبيل المثال، معلومات الأطراف ذات الصلة، ومذكرات الحالات، والأدلة الوثائقية، واتصالات العملاء، والأساس المنطقي لاتخاذ القرار).
	9.	تسجيل النتيجة عند حل القضية، بما في ذلك أي خسائر وإجراءات تصحيحية.
	10.	حفظ السجلات بما يتماشى مع جدول الاحتفاظ بالسجلات الخاص بالمؤسسة المالية.
د.	يجب أن يتطلب نظام إدارة الحالات تسجيل المعلومات الإدارية والسماح باستخراجها للإبلاغ عن حالات الاحتيال، بما في ذلك على سبيل المثال لا الحصر:
	1.	تنبيه المعرَّف الفريد (حيثما ينطبق ذلك).
	2.	المعرَّف الفريد لمعاملة الاحتيال.
	3.	تاريخ التنبيه أو الإخطار الأوليّ.
	4.	تاريخ ووقت المعاملات الاحتيالية.
	5.	اسم العميل ورقم الحساب.
	6.	وضع الحالة.
	7.	مصدر الحادث (على سبيل المثال، الموقع الإلكتروني أو حساب على وسائل التواصل الاجتماعي أو رقم الهاتف الذي يستخدمه المحتال).
	8.	القناة المُستخدمة في المعاملات الاحتيالية.
	9.	الأطراف ذات الصلة.
	10.	معلومات عن المحتال (على سبيل المثال، عنوان بروتوكول الإنترنت، ومعرف الجهاز، وتحديد الموقع الجغرافي).
	11.	نتيجة التحقيق.
	12.	الإجراءات التصحيحية.
	13.	قيمة الاحتيال.
	14.	الخسائر (التجارية وغير التجارية).
	15.	الأساليب المُستخدمة لمعرفة الاحتيال/نوع الاحتيال (على سبيل المثال، كيفية ارتكاب الاحتيال، وأين تم تحويل الأموال في حالة فقدانها).

3.6. التحقيق في الاحتيال

المبدأ
يجب على المؤسسات المالية تحديد معيار التحقيق في الاحتيال والموافقة عليه وتنفيذه وحفظه لتوجيه نهج ثابت للتحقيق في الاحتيال.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد معيار التحقيق في الاحتيال والموافقة عليه وتنفيذه وحفظه.
ب.	يجب مراقبة الامتثال لمعايير التحقيق في الاحتيال.
ج.	يجب قياس فعالية معيار التحقيق في الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
د.	يجب أن يوجه معيار التحقيق في الاحتيال نهجًا متسقًا للتحقيق في الاحتيال، بما في ذلك على سبيل المثال لا الحصر:
	1.	إسناد الحالة لفرد أو فريق يتمتع بالمهارات والخبرة المطلوبة.
	2.	تقييم حساسية الوقت فيما يتعلق بعملية الاحتيال أو الاحتيال المحتمل (على سبيل المثال، هل ستزداد الخسائر إذا لم يتم حل القضية، أو هل تُرِك العميل دون إمكانية الحصول على أمواله).
	3.	تقييم الأهمية الجوهرية للاحتيال أو الاحتيال المحتمل (على سبيل المثال، عدد العملاء المتأثرين، والخسائر المحتملة، والتهديد النظامي).
	4.	جمع وتحليل المعلومات لمراجعة الاشتباه في الاحتيال (على سبيل المثال، معلومات المعاملة، وعناوين بروتوكولات الإنترنت المُستخدمة، وتسجيلات الهاتف، ولقطات الدوائر التلفزيونية المغلقة).
	5.	التعاون مع الخبراء المتخصصين الداخليين المعنيين وأصحاب المصلحة (مثل الشؤون القانونية والسيبرانية والموارد البشرية والجرائم المالية) وتشكيل فريق تحقيق متعدد التخصصات عند الاقتضاء.
	6.	تقييم المهارات المطلوبة لإجراء التحقيق في الحالات الأكثر تعقيدًا (مثل المحاسبة الجنائية، وتحليل البيانات).
	7.	التواصل مع العميل أو الأطراف الخارجية للحصول على مزيد من المعلومات.
	8.	التنسيق مع المؤسسات المالية الأخرى لتبادل المعلومات.
	9.	توثيق خطوات التحقيق المُتخذة.
	10.	إدارة وحفظ المعلومات التي تم جمعها.
	11.	تقييم ما إذا كان قد حدث احتيال وانتهاء التحقيق أو إغلاقه.
	12.	تسجيل نتيجة التحقيق.
	13.	إعداد تقرير حالة والإبلاغ داخليًا عن نتائج التحقيق عند الاقتضاء.
	14.	اتخاذ الإجراءات التصحيحية عند انتهاء التحقيق.
	15.	تحديد الإخطارات الخارجية المطلوبة (على سبيل المثال، الاتصال بسلطات إنفاذ القانون، وإخطار وكالات الائتمان المرجعية، وإبلاغ البنك المركزي، وإبلاغ الإدارة العامة للاستخبارات المالية إذا كان لدى المؤسسة المالية أي شك يصل إلى المستوى المنصوص عليه في المادة 15 من نظام مكافحة غسل الأموال والمادة 17 من نظام مكافحة جرائم الإرهاب وتمويله).
	16.	تحديد السبب الجذري لحوادث الاحتيال والأخطاء الوشيكة.
	17.	استخلاص الدروس المستفادة وتقديم التعقيبات إلى:
		أ.	إدارة مكافحة الاحتيال.
		ب.	الفريق المسؤول عن تطوير وصيانة أنظمة مكافحة الاحتيال.
		ج.	مسؤولو الأعمال بشأن المعايير والعمليات والضوابط التي يتم فيها تحديد الثغرة الأمنية.
		د.	المراقبة الاستخباراتية.
هـ.	يجب أن يتطلب معيار التحقيق في الاحتيال اتخاذ الإجراءات التصحيحية عند الاقتضاء عند إنجاز التحقيق في الاحتيال.

4.6. معالجة الاحتيال

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتحديد السبب الجذري لحادث الاحتيال، وتحديد أي دروس مستفادة واتخاذ الإجراءات التصحيحية لمنع تكرار الحوادث.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتحديد السبب الجذري لحادث الاحتيال في نهاية التحقيق. كحد أدنى، يجب أن تتضمن العملية ما يلي:
	1.	فهم نقطة الثغرة (على سبيل المثال، القناة التي تم استخدامها لارتكاب عملية الاحتيال أو السيطرة على الحساب).
	2.	تحديد ما إذا كان من الممكن أن تكون أطراف أخرى متورطة في عملية الاحتيال (على سبيل المثال، موظفين إضافيين من خلال التواطؤ أو أشخاص معروفين للعميل).
	3.	مراجعة ما إذا كانت المراقبة الوقائية قد فشلت أو قد تجاوزها الموظف.
	4.	تقييم ما إذا كان الاحتيال قد تم تحديده بشكل استباقي من خلال مراقبة المباحث أو الاعتماد على إشعار العميل التفاعلي.
ب.	بعد تحديد السبب الجذري، يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لتحديد الدروس المستفادة وتوجيه الإجراءات التصحيحية لمنع تكرارها. كحد أدنى، يجب أن تتضمن العملية ما يلي:
	1.	تجميع البيانات التي قد تدعم تحليل الأنماط في حالات الاحتيال، بما في ذلك على سبيل المثال لا الحصر، عناوين بروتوكولات الإنترنت المُستخدمة وحسابات المستفيدين ومعرفات الأجهزة ذات الصلة.
	2.	تقييم ما إذا كانت هناك فجوة في إطار الرقابة الحالي.
	3.	تحديد ما إذا كانت الإدارات الأخرى في المؤسسة المالية تعاني من نفس الثغرة الأمنية.
	4.	تقييم ما إذا كانت المشكلة يمكن أن تؤثر على المؤسسات المالية الأخرى ومشاركة المعلومات ذات الصلة التي قد تمنع تكرارها (على سبيل المثال، المواقع المزيفة التي تنتحل صفة جهات حكومية أو حسابات وسائل التواصل الاجتماعي).
	5.	توثيق الإجراءات التصحيحية لمعالجة السبب الجذري ومنع تكراره.
ج.	يجب على المؤسسات المالية اتخاذ إجراءات تصحيحية لمعالجة السبب الجذري و/أو تأثير حادث الاحتيال، وقد تشمل تلك الإجراءات على سبيل المثال لا الحصر:
	1.	تنفيذ عنصر رقابة جديد أو تحسين عنصر رقابة قائم.
	2.	توفير التدريب أو تقديم مواد توعوية جديدة لتعزيز وعي الموظفين أو العملاء أو الطرف الخارجي.
	3.	إعادة ضحية الاحتيال إلى الوضع الذي كانت عليه قبل وقوع الحادث (على سبيل المثال، تعويض الأموال المسروقة، رد المبالغ المدفوعة، استرداد دفعة احتيال، سداد المدفوعات للطرف الخارجي).
	4.	تقديم الدعم لضحية الاحتيال (على سبيل المثال، إبلاغه بالخطوات التالية، وتوفير بطاقة جديدة، وتوعية الضحية).
	5.	محاولة استرداد الأموال أو الأصول.
	6.	إنهاء العلاقة مع العميل أو الطرف الخارجي إذا تبين أنه مرتكب عملية الاحتيال.
	7.	الإجراءات التأديبية الداخلية حيث يتم تحديد الاحتيال الداخلي.
	8.	التواصل مع سلطات إنفاذ القانون.
د.	يجب أن يتم تتبع قبول الإجراءات التصحيحية وتنفيذها من قبل إدارة مكافحة الاحتيال، مع التصعيد إلى لجنة الحوكمة المختصة بمكافحة الاحتيال حيث يتم رفض الإجراءات من الشركة أو تأخير الإجراء الإصلاحي.

الملاحق

الملحق أ - المصطلحات المُحددة

فيما يلي مصطلحات مُحددة لغرض هذا الدليل.

المصطلح المُحدد	التعريف
إدارة الوصول	عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول إلى المستخدمين غير المصرح لهم.
جلسة شاذة	جلسات تسجيل الدخول إلى خدمات الهاتف المحمول أو عبر الإنترنت التي تحتوي على معايير تسجيل دخول مختلفة عن تلك التي استخدمها العميل مسبقًا، على سبيل المثال، معرف الجهاز أو الموقع؛ أو عندما يتم وضع علامة على عنوان بروتوكول الإنترنت باعتباره خطرًا.
كشف الحالات الشاذة	اكتشاف أنماط في البيانات تختلف بشكل كبير عن السلوك المتوقع. يمكن تنفيذ اكتشاف حالات الاحتيال الشاذة كأداة استخباراتية باستخدام خوارزميات التعلم الآلي غير الخاضعة للرقابة.
الذكاء الاصطناعي	استخدام أنظمة الكمبيوتر لأداء المهام التي تتطلب عادةً المعرفة البشرية والقدرات المنطقية، وغالبًا ما تكون في سيناريوهات حل المشكلات.
نظام الصندوق الأسود	نظام معقد حيث تكون القواعد والآليات الداخلية غير مرئية أو مفهومة من جانب مالك النظام.
القائمة السوداء	قائمة بالأفراد أو الكيانات غير الجديرة بالثقة أو ذات المخاطر العالية والتي يجب استبعادها وتجنب التعامل معها. تُعرف أيضًا باسم قائمة الحظر.
نظام إدارة الحالات	نظام يُستخدم لإدارة التنبيهات وحوادث الاحتيال بدءًا من التقرير الأولي وحتى التحقيق والحل والمعالجة عند الاقتضاء.
مدونة قواعد السلوك	مجموعة محددة من التوقعات التي تحدد المبادئ والقيم والسلوكيات التي تعتبرها المؤسسة مهمة لعملياتها ونجاحها.
المتعاقد	فرد أو مؤسسة متعاقدة بموجب عقد لتقديم الخدمات إلى مؤسسة ما.
ثقافة مكافحة الاحتيال	القيم والمعتقدات والمعرفة والمواقف والفهم المشترك بشأن مخاطر الاحتيال داخل المؤسسة. في ظل ثقافة مكافحة الاحتيال القوية، يقوم الأشخاص بتحديد مخاطر الاحتيال ومناقشتها وتحمل المسؤولية عنها بشكل استباقي.
حوكمة مكافحة الاحتيال	مجموعة من المسؤوليات والممارسات التي ينفذها مجلس الإدارة والإدارة التنفيذية والإدارة العليا بهدف توفير التوجيه الاستراتيجي لمكافحة الاحتيال، وضمان تحقيق أهداف مكافحة الاحتيال، والتأكد من إدارة مخاطر الاحتيال بشكل مناسب والتحقق من استخدام موارد المؤسسة بمسؤولية.
لجنة الحوكمة المختصة بمكافحة الاحتيال	مجموعة تضم الأفراد المكلفين بتوفير الإشراف والتوجيه، والتأكد من أن قدرات المؤسسة المشتركة لمكافحة الاحتيال تسير بشكل مناسب وفعال.
نضج مكافحة الاحتيال	مدى استغلال موارد المؤسسة بشكل فعال لغرض مكافحة الاحتيال مقارنة بالمعايير المقبولة عالميًا وأفضل الممارسات.
سياسة مكافحة الاحتيال	مجموعة معايير لتنفيذ أنشطة مكافحة الاحتيال. وتحدد الالتزام والأهداف لمكافحة الاحتيال، وتوثق المسؤوليات.
برنامج مكافحة الاحتيال	مجموعة من السياسات والعمليات والمبادئ التوجيهية ونُهُج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات المستخدمة لحماية المؤسسة المالية وعملائها من تهديدات الاحتيال الداخلية والخارجية.
استراتيجية مكافحة الاحتيال	خطة عامة، تتألف من مشاريع ومبادرات، لتخفيف حدة مخاطر الاحتيال مع الالتزام بالمتطلبات القانونية والتشريعية والتعاقدية والمقررة داخليًا.
إدارة مكافحة الاحتيال	إدارة أو فريق مخصص تم تشكيله لغرض إدارة تنفيذ أهداف مكافحة الاحتيال في المؤسسة.
الخدمات الحيوية	الخدمات التي يقدمها طرف خارجي وقد يؤدي الإخفاق بها أو تعطلها إلى عدم تمكن المؤسسة المالية من خدمة عملائها أو الوفاء بالتزاماتها التنظيمية.
الأمن السيبراني	يُعرّف الأمن السيبراني بأنه مجموعة الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات التي يمكن استخدامها لحماية أصول المعلومات الخاصة بالمؤسسة المالية من التهديدات الداخلية والخارجية.
العناية الواجبة	التحقيق مع موظف أو عميل أو طرف خارجي للتأكد من الحقائق وأنها كما قُدِمت.
التوقف في حالات الطوارئ	إمكانية الخدمة الذاتية للعملاء لتجميد حساباتهم على الفور وحظر المزيد من المعاملات إذا اشتبهوا في تعرض حساباتهم للاختراق.
الموظف	يشمل الموظفون أعضاء مجلس الإدارة ولجانه والمسؤولين التنفيذيين والموظفين الدائمين والموظفين بعقود والاستشاريين والموظفين العاملين من خلال طرف خارجي.
قرار الجهة	عملية لتحديد سجلات البيانات في مصدر بيانات واحد أو عبر مصادر بيانات متعددة تشير إلى نفس الجهة الفعلية وربط السجلات معًا.
الاحتيال الخارجي	حدث احتيالي يقوم به أي أشخاص من "خارج" المؤسسة، أي لا يعملون لدى المؤسسة.
الجريمة المالية	الأنشطة الإجرامية لتوفير منفعة اقتصادية، بما في ذلك غسل الأموال؛ وتمويل الإرهاب؛ والرشوة والفساد؛ وإساءة استخدام السوق والتداول من الداخل.
الاحتيال	أي فعل يهدف إلى الحصول على منفعة غير مشروعة أو التسبب في خسارة لطرف آخر. ويمكن أن يكون ذلك بسبب استغلال الوسائل الفنية أو الوثائقية، أو العلاقات أو الوسائل الاجتماعية، أو استخدام القوى الوظيفية، أو الإهمال المتعمد أو استغلال نقاط الضعف في الأنظمة أو المعايير، بشكل مباشر أو غير مباشر.
قضية احتيال	حدث فردي للاحتيال تقر به المؤسسة.
مشهد الاحتيال/مشهد التهديد	تهديدات الاحتيال والتوجهات والتطورات في المنظومة السياسية أو الاقتصادية أو الاجتماعية أو التقنية أو القانونية.
خطة الاستجابة للاحتيال	خطة توضح بالتفصيل الإجراءات التي يجب اتخاذها عند الاشتباه في حدوث عملية احتيال أو اكتشافها. وسيشمل ذلك بروتوكولات إعداد التقارير ومسؤوليات الفريق وتسجيل المعلومات.
قابلية مخاطر الاحتيال	مستوى مخاطر الاحتيال الذي تكون المؤسسة على استعداد لقبوله أو تحمله في إطار سعيها لتحقيق أهدافها.
تقييم مخاطر الاحتيال	عملية تهدف إلى معالجة تعرض المؤسسة للاحتيال. وسيتضمن ذلك تحديد مخاطر الاحتيال، وتقييم احتمالية حدوث مخاطر الاحتيال والتأثير الناتج، وتحديد الاستجابة المناسبة، ومراجعة إطار الرقابة.
إدارة مخاطر الاحتيال	العملية المستمرة لتحديد وتحليل ومراقبة والاستجابة لمخاطر الاحتيال التي تتعرض لها المؤسسة وعملائها.
تحليل سيناريو الاحتيال	اختبار سيناريوهات الاحتيال المُصممة بغرض تقييم القدرة الحالية لأنظمة الاحتيال داخل المؤسسة.
تهديد الاحتيال	أي ظرف أو حدث من المحتمل أن يتسبب في حدث احتيال.
نوع الاحتيال	تصنيف حدث الاحتيال بناءً على منهجيته والمواضيع المشتركة مع أحداث الاحتيال الأخرى.
تحديد السياج الجغرافي	تقييد الوصول إلى الخدمات عبر الإنترنت أو الهاتف المحمول بناءً على الموقع الجغرافي للمستخدم.
حادثة	حالة احتيال أو سلسلة من الحالات المرتبطة بها.
خطر كامن	مخاطر الاحتيال التي تتعرض لها العمليات التجارية المؤسسة أو عملائها في حالة عدم وجود ضوابط.
المراقبة الاستخباراتية	عملية المراجعة المستمرة وجمع المعلومات الاستخبارية حول تهديدات وأنواع الاحتيال الجديدة والناشئة من مجموعة شاملة من المصادر.
الاحتيال الداخلي	الاحتيال المُنفذ من خلال أو بمساعدة الأشخاص العاملين في المؤسسة.
مؤشرات المخاطر الرئيسية	مقياس يُستخدم للإشارة إلى احتمالية تجاوز النشاط أو المؤسسة لقدرتها على تحمل المخاطر. تستخدم المؤسسات مؤشرات المخاطر الرئيسية لتقديم إشارة مبكرة عن زيادة التعرض للمخاطر في مجالات مختلفة من المؤسسة.
تحليل الكلمات الرئيسية	تدوين القواعد لمطابقة الكلمات الرئيسية في جدول البحث مع تلك الموجودة في الحقول الرئيسية لسجل حالة الاحتيال. يمكن إضافة التعقيد إلى القواعد مثل اشتراط أن تكون الكلمات بترتيب معين أو المصطلحات عالية المخاطر التي غالبًا ما تشير إلى الاحتيال.
التعلم الآلي	استخدام أنظمة الكمبيوتر التي لديها القدرة على التعلم والتكيف دون تعليمات صريحة من خلال استخدام الخوارزميات أو النماذج للتحليل وبناء الأنماط والتوجهات في البيانات.
معلومات الإدارة	المعلومات التي يتم جمعها ثم تقديمها، غالبًا في شكل تقرير أو بيان، إلى الإدارة أو صناع القرار بغرض تحديد التوجهات وحل المشكلات و/أو التنبؤ بالمستقبل.
المؤسسة المالية	جميع المؤسسات المالية أو مقدمي الخدمات المالية الخاضعين لرقابة البنك المركزي.
التحقق من صحة النموذج	تحليل لتقييم ما إذا كانت مخرجات النظام تعمل كما هو متوقع.
حسابات الاحتيال	إنشاء حسابات (غالبًا عبر قنوات عن بُعد أو عبر الإنترنت) لتلقي الأموال التي تم الحصول عليها عن طريق الاحتيال وغسل عائدات الجريمة.
مصادقة متعددة العوامل	التحقق باستخدام وسيلتين أو أكثر لتحقيق المصادقة. تتضمن العوامل شيئًا تعرفه (على سبيل المثال، كلمة المرور/رقم التعريف الشخصي)، أو شيئًا تملكه (على سبيل المثال، جهاز تعريف التشفير، الرمز المميز «توكين»)، أو شيئًا ما (على سبيل المثال، القياسات البايومترية).
الأخطاء الوشيكة	حوادث الاحتيال المحتملة التي يتم كشفها ومعالجتها قبل وقوع حادث الاحتيال مما يتسبب في خسارة مالية.
خرق السياسة	عدم الامتثال لمتطلبات السياسة أو تجاهلها.
اختبار الدقة والاسترجاع	مقاييس لتقييم فعالية النماذج. الدقة: قدرة نموذج التصنيف على تحديد نقاط البيانات ذات الصلة فقط. الاسترجاع: قدرة النموذج على إيجاد جميع الحالات ذات الصلة ضمن مجموعة بيانات.
التحليلات التنبؤية	استخدام الإحصائيات وطرق نمذجة لتحديد النتائج أو الأداء المستقبلي.
مصفوفة توزيع الصلاحيات والمسؤوليات	مصفوفة توضح المنفذ والمسؤول والمستشار والمطلع ضمن الإطار التنظيمي.
المخاطر المتبقية	المخاطر المتبقية بعد قيام الإدارة بتنفيذ الاستجابة للمخاطر.
المخاطرة	مقياس لمدى تعرض lلمؤسسة لتهديد من خلال ظرف أو حدث محتمل، وعادة ما تكون في صورة: (i) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (ii) احتمالية الحدوث.
عوامل الخطر	فئات مختلفة من المخاطر التي يجب على المؤسسات مراعاتها عند إجراء تقييم مخاطر الاحتيال
القواعد	تستخدم القواعد المُطبقة في أنظمة منع الاحتيال وكشفه الارتباط والإحصائيات والمقارنة المنطقية للبيانات لتحديد النمط بناءً على الرؤى المكتسبة من حوادث الاحتيال المعروفة السابقة.
عمليات الخداع	عند خداع فرد لإجراء عملية دفع أو السماح بالدفع إلى حساب مجرم. عادةً ما يستخدم المحتالون الهندسة الاجتماعية، ويمكنهم انتحال صفة البنوك وفرص الاستثمار وشركات المرافق والهيئات الحكومية باستخدام رسائل البريد الإلكتروني والمكالمات الهاتفية والرسائل النصية القصيرة التي تبدو حقيقية.
اللجنة القطاعية لمكافحة الاحتيال	لجنة يديرها البنك المركزي لمكافحة الاحتيال الذي يشمل المؤسسات المالية العاملة في المملكة (مثل لجنة مكافحة الاحتيال المصرفي).
الإدارة العليا	أعلى مستوى للإدارة في المؤسسة (المستوى التالي لمجلس الإدارة) ومرؤوسيه المباشرين.
اتفاقية مستوى الخدمة	المسؤوليات المحددة للتنفيذ، عادةً ما تكون اتفاقًا بشأن التوقيت المناسب أو الجودة، على سبيل المثال فيما يتعلق بإدارة تنبيهات الاحتيال.
البيانات الثابتة	البيانات ذات معدل التغيير المنخفض (مثل الاسم وعنوان البريد الإلكتروني ورقم الهاتف المحمول وحقوق التوقيع وعينة التوقيعات والتوكيل).
الدليل التنظيمي لأمن المعلومات	الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي.
الطرف الخارجي	كيان منفصل وغير مرتبط يقدم خدمة للمؤسسة. وقد يشمل ذلك الموردين ومقدمي الخدمات التقنية (مثل أبشر ونفاذ) والمتعاقدين الخارجيين والوسطاء والسماسرة والمقدمين والوكلاء.
استخبارات التهديدات	الاستخبارات المتعلقة بالتهديدات هي معرفة قائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والمشورة القابلة للتنفيذ، حول التهديد أو الخطر الحالي أو الناشئ على الأصول التي يمكن استخدامها لإبلاغ القرارات المتعلقة باستجابة الشخص لذلك التهديد أو الخطر.
تحليل التوجهات	عملية جمع ومراجعة المعلومات لتحديد الأنماط والتنبؤ بالتوجهات المستقبلية.
جهاز موثوق به	الجهاز الموثوق به هو جهاز يمتلكه العميل ويتحكم في الوصول إليه ويستخدمه كثيرًا.
المخالفة	أي فعل أو إخفاء لأعمال الاحتيال أو الفساد أو التواطؤ أو الإكراه أو السلوك غير القانوني أو سوء السلوك أو سوء الإدارة المالية أو المخالفات المحاسبية أو تضارب المصالح أو السلوك غير المشروع أو الممارسات غير القانونية أو غير الأخلاقية أو غيرها من الانتهاكات لأي قوانين وتعليمات معمول بها.
سياسة الإبلاغ عن المخالفات	سياسة البنك المركزي بشأن الإبلاغ عن المخالفات للمؤسسات المالية.
أمن نقطة النهاية للدفع بالجملة	التدابير المتخذة فيما يتعلق بأجهزة نقطة النهاية والبرمجيات والوصول المادي والوصول المنطقي والتنظيم والعمليات في نقطة مكانية وزمنية محددة حيث يتم تبادل معلومات تعليمات الدفع بين طرفين في المنظومة.

الملحق ب - أنواع الاحتيال التي قد تؤثر على المؤسسة المالية وعملائها
فيما يلي قائمة غير شاملة لأنواع الاحتيال التي يجب على المؤسسة المالية مراعاتها عندما يتعلق الأمر بمنتجاتها.
- الهندسة الاجتماعية (على سبيل المثال، الحصول على بيانات اعتماد العميل، وعمليات الاحتيال الاستثمارية، وعمليات الاحتيال في الشراء، وعمليات الاحتيال في الفواتير، وعمليات الاحتيال في الرسوم المسبقة).
- الاستيلاء على الحساب (على سبيل المثال، الوصول إلى منتج العميل أو جهازه للتحكم في الأصول أو المعاملات).
- انتحال الشخصية (على سبيل المثال، الحصول على معلومات شخصية لاستخدامها لمصلحة المنتحل الخاصة؛ وانتحال هوية شخص آخر للوصول إلى المنتجات؛ وانتحال شخصية هيئة حكومية للحصول على معلومات العملاء).
- الاحتيال الداخلي (على سبيل المثال، اختلاس الأصول؛ والاحتيال في مجال المشتريات؛ وسرقة الأصول أو النقد؛ وسرقة الملكية الفكرية؛ وتزوير المعلومات؛ ونقل المعلومات بشكل غير مصرح به إلى أطراف خارجية؛ ومطالبات بنفقات مزيفة؛ وإساءة استخدام السلطة؛ والتواطؤ؛ واستخدام أصول المؤسسة لتحقيق مكاسب خاصة؛ تحويل الأموال).
- الاحتيال المحاسبي (على سبيل المثال، الإخفاء؛ إصدار فواتير مزيفة؛ الاحتيال في كشوف المرتبات؛ الاعتراف غير المناسب بالإيرادات؛ المبالغة في تقدير الأصول؛ التقليل من الالتزامات؛ المبالغة في فواتير العملاء؛ الاحتيال في الخزانة والاستثمار).
- الاحتيال في التطبيقات (على سبيل المثال، عدم الكشف عن المعلومات؛ تزوير المعلومات؛ تقديم وثائق مزورة).
- الاحتيال الأمني لنقطة النهاية للدفع بالجملة.
- المنتجات المصرفية والدفع: الاحتيال على بطاقات الائتمان/الخصم؛ الاحتيال في الدفع عبر الإنترنت أو عبر تطبيق الهاتف المحمول؛ الاحتيال في استخدام الشيكات؛ الاحتيال في أجهزة الصراف الآلي؛ الاحتيال بالحسابات المزيفة.
- منتجات الائتمان والإقراض: الاحتيال في الرهن العقاري؛ الاحتيال في القروض.

الملحق ج - كيفية طلب تحديث على الدليل
فيما يلي رسم توضيحي لعملية طلب تحديث على الدليل.
- معلومات تفصيلية مدعمة بالإيجابيات والسلبيات حول التحديث المقترح.
- يجب أن تتم الموافقة على الطلب أولاً من جانب رئيس مكافحة الاحتيال قبل تقديمه إلى لجنة الحوكمة المختصة بمكافحة الاحتيال.
- يجب أن تتم الموافقة على الطلب من لجنة الحوكمة المختصة بمكافحة الاحتيال في المؤسسة المالية.
- يجب إرسال الطلب كتابيًا رسميًا إلى مدير "الإدارة العامة لمكافحة المخاطر السيبرانية" عبر الرئيس التنفيذي للمؤسسة المالية أو المدير العام.
- تتولى "الإدارة العامة لمكافحة المخاطر السيبرانية" تقييم الطلب وإبلاغ المؤسسة المالية.
- يظل الدليل الحالي قابلاً للتطبيق أثناء دراسة التحديث المطلوب ومعالجته والموافقة عليه ثم الشروع في تنفيذه إن أمكن.

الملحق د - نموذج طلب تحديث الدليل

طلب تحديث دليل مكافحة الاحتيال المالي

تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية في البنك المركزي.

سينظر البنك المركزي في الطلبات المُقدمة من المؤسسة المالية لتحديث دليل مكافحة الاحتيال المالي الخاص بها بناءً على المعلومات المُقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل تحديث مطلوب. وترجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة على النحو الصحيح قبل أن يبدأ البنك المركزي عملية المراجعة.

معلومات مقدم الطلب

توقيع مقدم الطلب* x	منصب مقدم الطلب*	التاريخ*
اسم مقدم الطلب*	المؤسسة المالية التابع لها مقدم الطلب*

قسم الدليل*:

الغرض من التحديث المطلوب (بما في ذلك المعلومات التفصيلية عن إيجابياته وسلبياته)*:

المقترح*:

الموافقات

1. موافقة رئيس مكافحة الاحتيال في المؤسسة المالية*	التاريخ*
2. موافقة لجنة الحوكمة المختصة بمكافحة الاحتيال التابعة للمؤسسة المالية*	منصب المعتمد*	التاريخ*
3. قرار البنك المركزي	موافقة البنك المركزي	التاريخ

* تشير إلى الحقول الإلزامية

الملحق هـ – كيفية طلب الإعفاء من الدليل
فيما يلي رسم توضيحي لعملية طلب الإعفاء من الدليل.
- وصف تفصيلي حول أسباب عدم تمكن المؤسسة المالية من الوفاء بإجراء الرقابة المطلوب.
- وصف تفصيلي حول الضوابط التعويضية المتاحة أو المقترحة.
- يجب أن تتم الموافقة على طلب الإعفاء أولاً من جانب رئيس مكافحة الاحتيال قبل تقديمه إلى لجنة الحوكمة المختصة بمكافحة الاحتيال.
- يجب أن تتم الموافقة على طلب الإعفاء من أعضاء لجنة الحوكمة المختصة بمكافحة الاحتيال في المؤسسة المالية.
- يجب أن يتم توقيع طلب الإعفاء من رئيس مكافحة الاحتيال ومسؤول (الأعمال) ذي الصلة.
- يجب إصدار طلب الإعفاء كتابيًا رسميًا إلى مدير "الإدارة العامة لمكافحة المخاطر السيبرانية" عبر الرئيس التنفيذي للمؤسسة المالية أو العضو المنتدب.
- ستقوم "الإدارة العامة لمكافحة المخاطر السيبرانية" بتقييم طلب الإعفاء وإبلاغ المؤسسة المالية.
يظل الدليل الحالي قابلاً للتطبيق أثناء تقييم الإعفاء المطلوب ومعالجته، حتى لحظة منح الإعفاء.

الملحق و - نموذج طلب الإعفاء من الدليل

طلب الإعفاء من دليل مكافحة الاحتيال المالي الصادر عن البنك المركزي

تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية

سينظر البنك المركزي في طلبات الإعفاء المُقدمة من المؤسسة المالية من دليل مكافحة الاحتيال الخاص به بناءً على المعلومات المُقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل إعفاء مطلوب. يُرجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة بشكل صحيح قبل أن يبدأ البنك المركزي في المراجعة.

معلومات مقدم الطلب

توقيع مقدم الطلب* x	منصب مقدم الطلب*	التاريخ*
اسم مقدم الطلب*	المؤسسة المالية التابع لها مقدم الطلب*

مراقبة الدليل*:

وصف تفصيلي لسبب عدم إمكانية تنفيذ عنصر الرقابة*:

وصف تفصيلي لضوابط التعويض المتاحة أو المقترحة*:

الموافقات

1. موافقة رئيس مكافحة الاحتيال في المؤسسة المالية*	التاريخ*
2. موافقة لجنة الحوكمة المختصة بمكافحة الاحتيال التابعة للمؤسسة المالية*	منصب المعتمد*	التاريخ*
3.قرار البنك المركزي	موافقة البنك المركزي	التاريخ**

* تشير إلى الحقول الإلزامية

** مدة صلاحية هذا الإعفاء سنة واحدة. وتقع على عاتق المؤسسات المالية مسؤولية ضمان تجديد هذا الإعفاء.

الملحق ز - نموذج الإخطار الإشرافي

الإخطارات الإشرافية المتعلقة بالاحتيال المالي

تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية بالبنك المركزي.

يشترط البنك المركزي الإخطار الفوري بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة لتخفيف حدة مخاطر الاحتيال التي تؤثر على عملاء إضافيين أو مؤسسات أخرى أو القطاع المالي في المملكة العربية السعودية. يجب استخدام هذا النموذج لتقديم الإخطار. يُرجى ملاحظة أنه يجب تقديم جميع المعلومات المطلوبة، ولكن من المفهوم أنه قد لا تكون جميع المعلومات متاحة في وقت الإخطار. عندما لا تكون المعلومات متاحة في وقت الإخطار، يجب تقديم أي فجوات إلى البنك المركزي على الفور مع تقدم التحقيق.

معلومات مُقدم الإخطار

توقيع مُقدم الإخطار*	منصب مُقدم الإخطار*	التاريخ*
اسم مُقدم الإخطار*	المؤسسة المالية التابع لها مُقدم الإخطار*

نوع إخطار الاحتيال*		تاريخ الحادث*
☐ نوع جديد	☐ مخالفات محاسبية كبيرة
☐ عمليات احتيال داخلية كبيرة	☐ الاحتيال الأمني لنقطة نهاية الدفع بالجملة
☐ عمليات احتيال خارجية كبيرة
أصل الحادثة*:
الطرق المُستخدمة*:
الأطراف ذات العلاقة (الداخلية والخارجية)*:
النتيجة (بما في ذلك الخسائر حيثما ينطبق ذلك)*:
الإجراءات التصحيحية*:
معلومات إضافية:

* تشير إلى الحقول الإلزامية

حماية البيانات الشخصية

الالتزام بنظام حماية البيانات الشخصية والسياسات والضوابط والقواعد الصادرة لحوكمة البيانات

اشارة إلى نظام حماية البيانات الشخصية، الصادر بالمرسوم الملكي رقم (م/19) وتاريخ 1443/02/09هـ*، وإلى السياسات والضوابط والقواعد الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي ومكتب إدارة البيانات الوطنية في شأن حوكمة البيانات، وذلك استناداً إلى الصلاحيات الممنوحة لها بموجب قرار مجلس الوزراء رقم (292) وتاريخ 1441/04/27هـ. ونظراً إلى أن النظام والسياسات والضوابط والقواعد المشار إليها أعلاه تساهم في حماية وبناء الثقة في قطاع البيانات في المملكة، كما أن نطاق الإلزام في تطبيق بعض منها يشمل المؤسسات المالية الخاضعة لإشراف البنك المركزي، يودّ البنك المركزي التأكيد على الآتي:

أولاً: مراجعة السياسات والإجراءات ذات العلاقة الداخلية المعتمدة والتأكد من توافقها و/أو تعديلها بما يتّسق مع الآتي:

		نظام حماية البيانات الشخصية الصادر بالمرسوم الملكي* المشار إليه أعلاه، خلال الفترة المحددة نظاماً للالتزام.
		السياسات والضوابط والقواعد الصادرة عن الهيئة السعودية للبيانات والذكاء الاصطناعي التي يمكن الوصول إليها عبر الرابط الإلكتروني الآتي: (sdaia.gov.sa/ndmo).

ثانياً: تقييم الفجوات التنظيمية (Gap Analysis) مع النظام والسياسات والضوابط والقواعد المشار إليها أعلاه ووضع الخطة الزمنية لتصحيحها وعرضها على مجلس الإدارة لاعتمادها.

وبموجب التعميم رقم (44043873) وتاريخ 1444/5/24هـ واستناداً إلى الصلاحيات المنوطة بالبنك المركزي السعودي بموجب الأنظمة واللوائح ذات العلاقة، ونظراً لما تم رصده من وجود بعض الممارسات التي تشترط الإفصاح من قبل العملاء الأفراد عن بعض بياناتهم الشخصية قبل تقديم الخدمة أو المنتج دون أن تكون ضرورية سواء كان ذلك بشكل مباشر أو من خلال طرف ثالث،‏ يؤكد البنك المركزي على كافة المؤسسات المالية التقيد التام بحماية البيانات الشخصية للعملاء وفق ما تقضي به الأنظمة والتعليمات المشار اليها أعلاه، وما يصدره البنك المركزي في هذا الشأن، ومراجعة الإجراءات ذات الصلة بممارسات الإفصاح عن البيانات الشخصية للعملاء واتخاذ ما يلزم للحفاظ عليها، ووضع الإجراءات والضوابط اللازمة لضمان أمنها وسلامتها واستخدامها للأغراض التي جُمعت لأجلها، وتزويد البنك المركزي بتقرير يوضح الإجراءات المتخذة حيال ذلك.

يكون التواصل في هذا الشأن مع البنك المركزي وذلك عبر البريد الإلكتروني الآتي: (CRC.Compliance@SAMA.GOV.SA).

*عدل هذا النظام بموجب المرسوم الملكي رقم م/148 و تاريخ 1444/09/05هـ.

حوكمة المؤسسات المالية

المبادئ الرئيسة للحوكمة في المؤسسات المالية
الرقم: 42081293 التاريخ (م): 2021/6/30 | التاريخ (هـ): 1442/11/21 الحالة:نافذ

انطلاقاً من دور البنك المركزي الإشرافي والرقابي، وحرصاً منه على تعزيز الإدارة الفاعلة في المؤسسات المالية، واستناداً إلى الصلاحيات المنوطة به بموجب نظامه، الصادر بالمرسوم الملكي رقم ‎(م/36) ‏وتاريخ 1442/04/11هـ،‏ والأنظمة الأخرى ذات العلاقة.
مرافق المبادئ الرئيسة للحوكمة في المؤسسات المالية الخاضعة لرقابة وإشراف البنك المركزي السعودي، لتحلّ محلّ المبادئ الرئيسية للحوكمة في البنوك والمصارف العاملة بالمملكة، المبلغة بموجب التعميم رقم ‎(35100006351) وتاريخ ‎1435/05/‎17هـ.
للإحاطة، والعمل بموجبها للمؤسسات المالية المطبقة عليها إلزاماً ابتداءً من تاريخ ‎2022/01/01م.

الفصل الأول: تعريفات وأحكام عامة

1. التعريفات

يُقصد بالمصطلحات الآتية -أينما وردت في هذه المبادئ- المعاني المبينة أمام كلٍّ منها، ما لم يقتضي السياق خلاف ذلك:

المصطلح

التعريف

البنك المركزي

البنك المركزي السعودي*.

المؤسسة المالية

الجهة الخاضعة لرقابة وإشراف البنك المركزي.

المجلس

مجلس إدارة المؤسسة المالية.

الإدارة التنفيذية (الإدارة العليا)

الأشخاص المنوط بهم إدارة أعمال المؤسسة المالية اليومية، واقتراح القرارات الإستراتيجية وتنفيذها.

العضو

عضو المجلس أو أي من لجانه.

العضو التنفيذي

العضو المتفرغ للإدارة التنفيذية للمؤسسة المالية، ويشارك في أعمالها اليومية.

العضو غير التنفيذي

العضو غير المتفرغ للإدارة التنفيذية للمؤسسة المالية، ولا يشارك في أعمالها اليومية.

العضو المستقل

العضو الذي يتمتع بالاستقلال التام في مركزه وقراراته، ولا تنطبق عليه -على سبيل المثال لا الحصر- أي من عوارض الاستقلالية الآتية:

	أ.	أن يكون مالكاً ما نسبته خمسة في المئة أو أكثر من أسهم المؤسسة المالية أو أسهم شركة أخرى من مجموعها، أو له صلة قرابة مع من يملك هذه النسبة.
	ب.	أن يكون له صلة قرابة مع أي من أعضاء المجلس أو من كبار التنفيذيين في المؤسسة المالية أو في شركة أخرى من مجموعتها.
	ج.	أن يكون عضو مجلس إدارة في شركة أخرى من مجموعة المؤسسة المالية المرشح لعضوية مجلس إدارتها.
	د.	أن يعمل أو كان يعمل خلال العامين الماضيين لدى المؤسسة المالية أو شركة من مجموعتها أو كبار مساهميها أو كبار الموردين و مراجعي الحسابات، أو أن يكون مالكاً لحصص سيطرة لدى المؤسسة المالية أو شركة من مجموعتها أو كبار مساهميها أو أي طرف متعامل معها كمراجعي الحسابات أو كبار الموردين خلال ‏العامين الماضيين.
	هـ.	أن يكون له مصلحة مباشرة أو غير مباشرة في الأعمال والعقود التي تتم لحساب المؤسسة المالية.
	و.	أن يتقاضى مبالغ مالية من المؤسسة المالية، علاوةً على مكافأة عضوية مجلس الإدارة أو أي من لجانه تزيد عن مئتي ألف ريال أو عن خمسين في المئة من مكافآته في العام السابق التي تحصل عليها مقابل عضوية مجلس الإدارة أو أي من لجانه؛ أيهما أقل.
	ز.	أن يشترك في عمل من شأنه منافسة المؤسسة المالية في نشاطها الرئيس، أو أن يتجر في أحد فروع النشاط الذي تزاوله المؤسسة المالية.
	ح.	أن يكون قد أمضى ما يزيد عن تسع سنوات متصلة أو منفصلة في عضوية مجلس إدارة المؤسسة المالية.
	ط.	أن تكون لديه علاقة ائتمانية باسمه أو باسم أحد أقاربه مع المؤسسة المالية تزيد عن (مليون) ريال سعودي.

الأقارب

الآباء والأمهات، الأجداد والجدات، الأولاد وأولادهم، الأزواج والزوجات.

كبار المساهمين

كل من يملك ما نسبته خمسة في المئة أو أكثر من أسهم المؤسسة المالية أو حقوق التصويت فيها.

الأطراف ذوو العلاقة

	أ.	كبار المساهمين في المؤسسة المالية.
	ب.	أعضاء مجلس المؤسسة المالية أو أي من شركاتها التابعة لها وأقاربهم.
	ج.	كبار التنفيذيين في المؤسسة المالية أو أي من شركاتها التابعة لها وأقاربهم.
	د.	أعضاء مجلس وكبار التنفيذيين لدى كبار المساهمين في المؤسسة المالية.
	هـ.	المنشآت -من غير الشركات- المملوكة لعضو المجلس أو أحد كبار التنفيذيين أو أقاربهم.
	و.	الشركات التي يكون أي من أعضاء مجلس الإدارة أو كبار التنفيذيين أو أقاربهم شركاء فيها.
	ز.	الشركات التي يكون أي من أعضاء المجلس أو كبار التنفيذيين أو أقاربهم عضواً في مجلس إدارتها أو من كبار التنفيذيين فيها.
	ح.	شركات المساهمة التي يملك فيها أي من أعضباء مجلس الإدارة أو كبار التنفيذيين أو أقاربهم ما نسبته خمسة في المئة أو أكثر، مع مراعاة ما ورد في الفقرة (د) من هذا التعريف.
	ط.	الشركات القابضة أو التابعة للمؤسسة المالية.

أصحاب المصالح

كل من له مصلحة مع المؤسسة المالية، ومن ذلك: المساهمين، والمستثمرين، والعملاء، والموردين.

2. أحكام عامة

أ.	تهدف هذه المبادئ إلى وضع الحد الأدنى من المتطلبات التي من شأنها تعزيز الإدارة الفاعلة في المؤسسات المالية، وتوجيه مواردها المالية وغير المالية إلى تحقيق أهدافها الإستراتيجية، والمحافظة على استقرارها وحقوق أصحاب المصالح.
ب.	يتطلب نظام الحوكمة الفعّال استقلالية وفصلاً لمنصب رئيس مجلس الإدارة عن منصب الرئيس التنفيذي. ويقتضي ذلك توافر هياكل تنظيمية وإدارية جيدة ووضوحاً في الصلاحيات والمسؤوليات بين الأطراف الرئيسة في المؤسسة المالية من أعضاء مجلس إدارة وتنفيذيين، إضافةً إلى وضع إطار عام للرقابة من خلال إدارة للمخاطر وإدارة للمراجعة الداخلية، وإدارة للالتزام، وأنظمة رقابة داخلية ومراجع خارجي.
ج.	لا تخلّ هذه المبادئ بالمتطلبات المفروضة على المؤسسات المالية بموجب الأنظمة واللوائح والتعليمات الأخرى ذات الصلة.
د.	أصدر البنك المركزي تعليمات عدة تتصل بالحوكمة، ويجب أن تُقرأ هذه المبادئ بجانبها -حسب الأحوال-، ومنها ما يأتي:
	•	مبادئ السلوك وأخلاقيات العمل في المؤسسات المالية.
	•	مبادئ الالتزام للبنوك والمصارف التجارية العاملة في المملكة العربية السعودية.
	•	متطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي السعودي.
	•	إطار الحوكمة الشرعية للمصارف والبنوك المحلية العاملة في المملكة.
	•	تعليمات الحوكمة الشرعية في شركات التمويل.
هـ.	تحظى حوكمة الشركات باهتمامٍ دوليّ؛‏ حيث أصدرت عدد من الهيئات والمنظمات الدولية تعليمات إرشادية للحوكمة، ‏ومن هذه الهيئات والمنظمات ما يأتي:
	•	لجنة بازل للرقابة المصرفية (BCBS).
	•	منظمة التعاون الاقتصادي والتنمية (OECD).
	•	مجلس الخدمات المالية الإسلامية ‎ (IFSB).
	•	البنك الدولي (WB).
	•	لجنة المدفوعات والبنية التحتية للسوق المالية (CPMI).

3. نطاق التطبيق

أ.

تسري هذه المبادئ إلزاماً على البنوك والمصارف المحلية، وشركات التمويل وإعادة التمويل العقاري.

ب.

مع مراعاة ما نصّت عليه الأنظمة واللوائح ذات الصلة على إلزاميته، تسري هذه المبادئ استرشاداً على شركات المعلومات الائتمانية، وشركات المدفوعات والتقنيات المالية، وشركات ومؤسسات الصرافة¹،‏ وشركات التمويل الاستهلاكي المصغر أو متناهي الصغر، والشركات المساندة لنشاط التمويل، وشركات تسجيل عقود الإيجار التمويلي، وشركات التمويل الجماعي بالدين. وللبنك المركزي -في أي وقت- تطبيق كل أو بعض أحكام هذه المبادئ إلزاماً.

‏¹شركات ومؤسسات الصرافة: تسري عليها الأحكام الواردة في ضوابط حوكمة قطاع الصرافة إلزاماً.

الفصل الثاني: المبادئ الرئيسة للحوكمة

المبدأ الأول: مؤهلات أعضاء المجلس

ينبغي أن يكون الأعضاء مؤهلين للقيام بالأعمال الموكلة إليهم، ولديهم فهم واضح للدور المطلوب منهم، والقدرة على اتخاذ القرار بحيادٍ وموضوعية دون أي تأثير خارجي من داخل المؤسسة المالية أو خارجها، كما يجب بشكلٍ خاص الآتي:
4.	أن تكون السير الذاتية للأعضاء متاحة للعموم؛ حتى يتمكّن أصحاب المصالح من قياس مدى كفاءتهم وقدرتهم على القيام بمهامهم على نحوٍ فعّال.
5.	أن يكون العضو من ذوي الكفاءة المهنية تتوافر فيه المهارات والخبرات العملية والإدارية المختلفة، وصفات شخصية ملائمة لا سيما الأمانة والنزاهة، بالإضافة إلى الآتي:
	أ.	القيادة: التمتع بمهارات قيادية تمكنه من تفويض الصلاحيات مما يحفز من الأداء، وتطبيق أفضل الممارسات في الإدارة الفاعلة، وبثّ القيم والأخلاق المهنية.
	ب.	الكفاءة: يعكسها مستوى التعليم والخبرة والمهارات والرغبة في مواصلة التعلّم.
	ج.	التوجيه: التمتع بقدرات فنية وإدارية، وسرعة في اتخاذ القرارات، واستيعاب المتطلبات الفنية المتعلقة بسير العمل، والقدرة على التوجيه الإستراتيجي، والتخطيط بعيد المدى، والرؤية المستقبلية الواضحة.
	د.	المعرفة المالية: التمتع بمهارات قراءة وفهم البيانات والتقارير المالية والنسب المستخدمة لقياس الأداء.
	هـ.	اللياقة الصحية: ألاّ يكون لديه مانع صحي يعوقه عن ممارسة مهامه واختصاصاته.
6.	أن يتحلى العضو بالصفات الآتية:
	أ.	الصدق: أن تكون علاقته مع المؤسسة المالية علاقة مهنية صادقة، يُفصح لها عن أي معلومات ذات صلة قبل تنفيذ أي صفقة أو عقد مع المؤسسة المالية أو إحدى شركاتها التابعة.
	ب.	الولاء: تجنب التعاملات التي تنطوي على تعارض في المصالح، والتأكد من عدالة التعاملات، وأنها تتم لصالح المؤسسة المالية وأصحاب المصالح.
	ج.	العناية والاهتمام: أداء واجباته ومسؤولياته بفاعلية، والحرص على استيفاء كافة المعلومات التي من شأنها التأكد من أن القرارات المتخذة في صالح المؤسسة المالية، وفي سبيل ذلك يقع على عاتقه الآتي:
		•	حضور اجتماعات المجلس بانتظام، وعدم التغيب عنها دون عذرٍ يستدعي ذلك، والتحضير لها والمشاركة فيها بفعاليّة، بما في ذلك طرح الأسئلة ذات الصلة ومناقشة المديرين التنفيذيين.
		•	اتخاذ القرارات بناءً على معلومات كاملة وبحسن نيّة، ولا يُعفى العضو من المسؤولية إذا امتنع عن التصويت دون إيضاح رأيه في القرار محلّ التصويت.
		•	تنمية معارفه في أنشطة المؤسسة المالية والمجالات الأخرى ذات الصلة.
		•	التأكد من إدراج المواضيع المهمة والرئيسة في جدول أعمال المجلس.
		•	تقديم العضو التنفيذي معلومات شاملة للمجلس عند طلبها.

المبدأ الثاني: التشكيل والتعيين وشؤون المجلس

7.	يُحدد النظام الأساس للمؤسسة المالية عدد أعضاء المجلس بما يتناسب مع حجمها وطبيعة أعمالها، مع مراعاة الآتي:
	أ.	ألّا يقل عدد الأعضاء عن خمسة، ولا يزيد عن أحد عشر عضواً.²
	ب.	ألّا يقل عدد الأعضاء المستقلين عن عضوين، أو عن ثلث أعضاء المجلس، أيهما أكثر.
	ج.	ألّا يتجاوز عدد الأعضاء التنفيذيين إثنين.
8.	تنتخب الجمعية العامة أعضاء المجلس للمدة المنصوص عليها في النظام الأساس للمؤسسة المالية؛ شريطة ألّا تتجاوز ثلاث سنوات، ويجوز إعادة انتخابهم ما لم ينص النظام الأساس للمؤسسة المالية على خلاف ذلك.
9.	يجب أن تكون إجراءات ترشيح واختيار أعضاء المجلس محددة وواضحة، وأن يُراعى في ذلك تنوع الخيرات والمؤهلات والصفات المشار إليها في المبدأ الأول من هذه المبادئ.
10.	على الأعضاء اختيار عضو غير تنفيذي لرئاسة المجلس³‏ وآخر نائباً له، مع مراعاة عدم ممارسة الرئيس ونائبه أيّاً من مهام الإدارة التنفيذية.
11.	على المجلس إجراء تقييم سنوي لقياس مدى استقلالية العضو المستقل، والتأكد من عدم وجود أي علاقات أو ظروف تؤثر أو قد تؤثر على استقلاليته، كما على العضو إبلاغ المجلس عند تحقق أي من عوارض الاستقلالية.
12.	يجب الحصول على عدم ممانعة البنك المركزي الكتابية قبل ترشيح أي عضو من أعضاء المجلس واللجان المنبثقة عنه، أو تعيين أي من شاغلي المناصب القيادية، وفقاً لتعليمات البنك المركزي ذات الصّلة، كما يجب إشعار البنك المركزي كتابياً عند قبول استقالة/ترك العمل/إنهاء خدمات أي موظف من شاغلي المناصب القيادية، أو انتهاء عضوية أي عضو من أعضاء المجلس واللجان المنبثقة عنه، أو انتفاء استقلالية العضو المستقل، وذلك خلال خمسة أيام عمل.
13.	لا يجوز أن يشغل عضو المجلس عضوية مجلس إدارة مؤسسة مالية مماثلة تعمل داخل المملكة.
14.	لا يجوز أن يشغل العضو عضوية مجلس إدارة أكثر من خمس شركات مساهمة مدرجة في السوق في آنٍ واحد، وفي حال وجود تعارض في المصالح تُطبق على العضو سياسة تعارض المصالح.
15.	يُفضّل ألّا تتجاوز خدمة العضو أكثر من اثنتي عشرة سنة متواصلة، أو متفرقة.
16.	على من يرغب في ترشيح نفسه لعضوية المجلس أن يُفصح للمجلس وللجمعية العامة عن أي من حالات تعارض في المصالح:
	أ.	وجود مصلحة مباشرة أو غير مباشرة في الأعمال والعقود التي تتم لحساب المؤسسة المالية التي يرغب في الترشيح لمجلس إدارتها.
	ب.	اشتراكه في عمل من شأنه منافسة المؤسسة المالية أو منافستها في أحد فروع النشاط التي تزاوله.
17.	يجب على كل عضو إبلاغ المجلس فور علمه بأي مصلحة له -مباشرة أو غير مباشرة- في الأعمال والعقود التي تتم لحساب المؤسسة ‏المالية، والالتزام في عدم المشاركة في التصويت على القرار المتخذ في هذا الخصوص.
18.	يجب على كل عضو الحفاظ على سرية معلومات المؤسسة المالية، وعدم إفشاء أي معلومات وقف عليها عن طريق عضويته في المجلس إلى الغير، أو إلى أي من مساهمي المؤسسة المالية ما لم يكن ذلك أثناء انعقاد اجتماعات الجمعية العامة.
19.	يجب أن يُقدّم لكل عضو برنامج تعريفي يوضّح رسالة المؤسسة المالية وأهدافها الإستراتيجية وأنشطتها، كما يجب تزويد كل عضو بمذكرة توضِّح ما ينطوي على عضويته من مهام ومسؤوليات.
20.	على الأعضاء القيام بالمهام والمسؤوليات الموكلة إليهم من خلال إجراءات واضحة ومناسبة، وعلى المجلس مراجعة فعالية هذه ‏الإجراءات بشكلٍ مستمر، وتحديد نقاط الضعف وعمل التغييرات اللازمة عند الحاجة.
21.	على الأعضاء الإلمام بالأنظمة واللوائح والتعليمات ذات الصلة بأعمال المؤسسة المالية. والحرص على متابعة ما يُستجد في هذا الشأن.
22.	على المجلس عقد ما لا يقل عن أربع اجتماعات في السنة بعدد اجتماع واحد كل ثلاثة أشهر؛ لممارسة مهامه ومسؤولياته بفعالية، بالإضافة إلى عقدها عند الحاجة، ويُفضل أن يعقد أعضاء المجلس غير التنفيذيين والمستقلون اجتماعات مغلقة دون حضور أعضاء المجلس التنفيذيين بما لا يقل عن اجتماع واحد في السنة.
23.	لا يكون اجتماع المجلس صحيحاً إلا بحضور نصف عدد أعضائه، مع مراعاة ألاّ يقل عدد الحاضرين عن ثلاثة، ما لم ينص النظام الأساس للمؤسسة المالية على عدد أكبر، وتتخذ جميع القرارات بناءً على تصويت الأعضاء وبمبدأ الأغلبية، وفي حال تعادل الأصوات يُرجّح الجانب الذي صوت معه رئيس المجلس.
24.	على أعضاء المجلس حضور اجتماعات المجلس بانتظام -ويجوز أن يكون ذلك باستخدام وسائل التقنية-، وعدم التغيب عنها إلا بعذر مشروع يُخطر به رئيس المجلس مسبقاً، وفي حال عدم مشاركة العضو في ثلاث اجتماعات في السنة دون عذر يستدعي ذلك؛ يتم إحلال عضواً آخراً بديلاً عنه.
25.	على المجلس إعداد محاضر لاجتماعاته تتضمن مكان الاجتماع وتاريخه ووقت بدايته وانتهائه، وأسماء الحاضرين وغير الحاضرين والمدعوين من خارج المجلس سواء أكان المدعو طرفاً خارجياً كالمراجع الخارجي أم طرفاً داخلياً كالمدير المالي، وبيان ما دار من نقاشات ومداولات. والتحفظات التي أُبديت -إن وجدت- مع توضيح الأسباب، ويجب أن تُوقع المحاضر من جميع الحاضرين، وتُوثّق مع القرارات ونتائج التصويت، وتُحفظ في سجل خاص ومنظم.
26.	على المجلس بداية كل عام، وضع جدول زمني محدد لتلقي التقارير من اللجان ومن مراقبي الحسابات الداخليين والخارجيين، وأن يتأكد من أن آلية إعداد التقارير وجمعها وتقديمها سليمة ومتفقة مع السياسة الداخلية المعتمدة، بما في ذلك عرضها على المجلس في أوقاتها المحددة.
27.	على المجلس تعيين أمين سر من أعضائه أو من غبرهم، ويُحدد المجلس الشروط الواجب توافرها فيه. بما في ذلك أن يكون حاصلاً على شهادة جامعية في القانون أو المالية أو المحاسبة أو الإدارة- أو ما يعادلها- مع خبرة عملية ذات صلة لا تقل عن ثلاث سنوات. وفي حال عدم توفّر شهادة جامعية في هذه التخصصات، يجب أن تكون لديه خبرة عملية ذات صلة لا تقل عن خمس سنوات.
28.	يؤدي أمين سر المجلس مسؤولياته واختصاصاته بناءً على توجيه رئيس المجلس، ولا يجوز عزله إلا بقرار من المجلس، وتشمل مسؤولياته واختصاصاته بوجه الخصوص ما يأتي:
	أ.	إعداد محاضر لاجتماعات المجلس تتضمن مكان الاجتماع وتاريخه ووقت بدايته وانتهائه، وأسماء الحاضرين وغير ‏الحاضرين والمدعوين من خارج المجلس سواء أكان المدعو طرفاً خارجياً كالمراجع الخارجي أم طرفاً داخلياً كالمدير المالي، وبيان ما دار من نقاشات ومداولات، والتحفظات التي أُبديت -إن وجدت- مع توضيح الأسباب، ويجب أن تُوقع المحاضر من جميع الحاضرين. وتُوثّق مع القرارات ونتائج التصويت، وتُحفظ في سجل خاص ومنظم.
	ب.	حفظ التقارير التي تُرفع إلى المجلس والتقارير التي يعدها المجلس.
	ج.	تبليغ أعضاء المجلس بمواعيد اجتماعات المجلس قبل التاريخ المحدد بمدة كافية.
	د.	تزويد أعضاء المجلس بجدول أعمال المجلس وأوراق العمل والوثائق والمعلومات المتعلقة به، وأي وثائق أو معلومات إضافية يطلبها أي من أعضاء المجلس ذات علاقة بالموضوعات المشمولة في جدول الاجتماع.
	هـ.	التحقق من تقيّد أعضاء المجلس بالإجراءات التي أقرها المجلس.
	و.	عرض مسودات المحاضر على أعضاء المجلس؛ لإبداء مرئياتهم حيالها قبل توقيعها.
	ز.	التحقق من حصول أعضاء المجلس بشكل كامل وسريع على نسخة من محاضر اجتماعات المجلس والمعلومات والوثائق المتعلقة بالمؤسسة المالية.
	ح.	تنظيم سجل إفصاح أعضاء المجلس والإدارة التنفيذية.
	ط.	متابعة توصيات المجلس وفق آلية يُقرّها المجلس.
29.	إذا استقال عضو المجلس ولديه ملحوظات على أداء المؤسسة المالية فعليه تقديم بيان مكتوب إلى رئيس المجلس، ويجب أن يُعرض البيان على بقية أعضاء المجلس، مع تزويد البنك المركزي بنسخةٍ منه.

‎²البنوك والمصارف: يجب ألا يقل عن تسعة، ولا يزيد عن أحد عشر عضواً، وذلك وفق أفضل الممارسات المتبعة.
‎³البنوك والمصارف: يُفضل أن يكون مستقلاً، وذلك وفق أفضل الممارسات المتبعة.

‏المبدأ الثالث: مسؤوليات المجلس

‏يجب أن يكون لدى المؤسسة المالية مجلسٌ فعّال يتمثّل دوره في توجيه أعمال المؤسسة المالية إلى ما من شأنه صون مصالحها وتنمية ‏قيمتها، وتقع على عاتقه المسؤولية عن أعمالها وإن فوّض لجاناً أو جهات أو أفراداً في ممارسة بعض اختصاصاته، وفي جميع الأحوال ‏لا يجوز للمجلس إصدار تفويض عام أو غير محدد المدة، ويجب عليه الآتي:
30.	تشكيل الإدارة التنفيذية وتنظيم كيفية عملها، والرقابة والإشراف عليها، والتحقق من أدائها للمهام الموكلة إليها.
31.	وضع الخطط والسياسات والإستراتيجيات والأهداف الرئيسة للمؤسسة المالية والإشراف على تنفيذها، ومراجعتها بشكل دوري.
32.	التأكد من سلامة المؤسسة المالية وملاءتها المالية، والمحافظة على علاقات فاعلة مع الجهات الرقابية.
33.	وضع حدود واضحة للمسؤولية والمساءلة، والالتزام بها على جميع مستويات المؤسسة المالية، ويجب الفصل التام للمسؤوليات على مستوى الإدارة التنفيذية.
34.	يجب أن يُحدد الهيكل التنظيمي للمؤسسة المالية الاختصاصات وتوزيع المهام بين المجلس والإدارة التنفيذية بما يتفق مع أفضل ممارسات الحوكمة، ويُحسِّن من كفاءة اتخاذ القرارات، ويُحقق التوازن في الصلاحيات والسلطات، وفي سبيل تحقيق ذلك يتعيّن على المجلس الآتي:
	أ.	اعتماد السياسات الداخلية المتعلقة بعمل المؤسسة المالية وتطويرها، بما في ذلك تحديد المهام والاختصاصات والمسؤوليات الموكلة إلى المستويات التنظيمية المختلفة.
	ب.	اعتماد سياسة مكتوبة وتفصيلية تُحدد الصلاحيات المفوّضة إلى الإدارة التنفيذية، على أن تتضمن إيضاحاً لكل صلاحية وطريقة التنفيذ ومدة التفويض، وله أن يطلب من الإدارة التنفيذية رفع تقارير دورية بشأن ممارستها للصلاحيات المفوّضة.
	ج.	تحديد الموضوعات التي يُحتفظ بصلاحية البتِّ فيها.
35.	التأكد من كفاية الموارد البشرية والمالية لتحقيق أهداف المؤسسة المالية وخططها الرئيسة وتنفيذ التزاماتها.
36.	التأكد من وجود وتطوير وحدات فعالة للالتزام والمراجعة الداخلية وإدارة المخاطر، والتأكد من استقلالية تلك الإدارات عن إدارات الأعمال، وتوافر السلطات والموارد المناسبة، وتدريب العاملين بها وتنمية قدراتهم في المجال.
37.	وضع استراتيجية وسياسات شاملة لإدارة المخاطر بما يتناسب مع طبيعة وحجم أنشطة المؤسسة المالية، والإشراف على تنفيذها ومراجعتها سنوياً، مع مراعاة ربط مستوى المخاطر التي ترغب المؤسسة المالية في تحملها في فترة زمنية محددة بإستراتيجية المؤسسة المالية وخطة رأس المال.
38.	التأكد من وجود نظام فعّال لتقييم أداء موظفي المؤسسة المالية بجميع مستوياتهم بشكل موضوعي ومنهجي. وعلى وجه التحديد، يجب أن يُبنى تقييم أداء الإدارة التنفيذية على المدى الطويل، ولا يقتصر على أداء سنة واحدة فقط.
39.	اختيار كبار التنفيذيين، والتأكد من وجود سياسة مناسبة لإحلال بديل مؤهلاً للعمل ويملك المهارات المطلوبة.
40.	إحاطة البنك المركزي كتابياً عن أي جزاءات تُفرض من أي جهة إشرافية أو تنظيمية أو قضائية قد تؤثر في سير عمل المؤسسة المالية، وذلك خلال فترة عشرة أيام عمل من تاريخ إيقاع الجزاء.
41.	التأكد من استقلال المراجع الداخلي والخارجي، ومن دقة وسلامة المعلومات والبيانات الواجب الإفصاح عنها بما يتفق مع متطلبات الإفصاح والشفافية.
42.	الإلمام بالمخاطر الأساسية التي يمكن أن تؤثر في المؤسسة المالية والشركات التابعة لها، وممارسة دور رقابي مناسب على تلك الشركات، مع مراعاة الاستقلالية القانونية ومتطلبات الحوكمة على تلك الشركات.
43.	وضع سياسة مكتوبة وواضحة للتعامل مع حالات تعارض المصالح الواقعة أو المحتمل وقوعها، التي يمكن أن تؤثر في أداء الأعضاء أو الإدارة التنفيذية أو غيرهم من العاملين في المؤسسة المالية عند تعاملهم معها أو مع أصحاب المصالح الآخرين، على أن تتضمن بحد أدنى ما يلي:
	أ.	التأكيد على أعضاء وكبار التنفيذيين وغيرهم من العاملين في المؤسسة المالية: على ضرورة تجنب الحالات التي قد تؤدي إلى تعارض مصالحهم مع مصالح المؤسسة المالية، والتعامل معها وفقاً لأحكام الأنظمة واللوائح ذات الصلة.
	ب.	أمثلة توضيحية لحالات تعارض المصالح تتناسب مع طبيعة نشاط المؤسسة المالية.
	ج.	إجراءات واضحة للإفصاح عن تعارض المصالح في الأعمال التي قد تنشأ عنها تعارض في المصالح، والحصول على الترخيص، أو الموافقة اللازمة.
	د.	الالتزام بالإفصاح الدائم عن الحالات التي قد تؤدي إلى تعارض في المصالح أو عند وقوع هذا التعارض.
	هـ.	الالتزام بالامتناع عن التصويت أو المشاركة في اتخاذ القرار عند وجود تعارض في المصالح.
	و.	إجراءات واضحة عند تعامل المؤسسة المالية مع طرف ذي علاقة، والتي يجب أن تتم على أُسس تجارية فقط، على أن تشمل الإفصاح للجمهور والبنك المركزي دون تأخير عن هذا التعامل إذا كان مساويا أو يزيد عن (1%) من إجمالي إيرادات المؤسسة المالية وفق آخر قوائم مالية سنوية مراجعة.
44.	لا يُعفى المجلس من المسؤولية. وتظل مسؤوليته قائمة في حال إسناد عمليات المؤسسة المالية إلى طرف آخر، وعليه إدراك المخاطر المترتبة على عملية الإسناد إلى طرف آخر، والتأكد من خضوع عمليات الإسناد إلى تعليمات البنك المركزي ذات الصلة.
45.	تقييم الآتي سنوياً:
	أ.	أداء العضو، ويساهم تكليف جهة خارجية للتقييم في موضوعيته.
	ب.	فاعلية ضوابط وإجراءات عمل المجلس وهيكله وتكوينه، مع تحديد نقاط الضعف وعمل التغييرات المطلوبة عند الحاجة.
	ج.	فاعلية سياسات وإجراءات الحوكمة والممارسات المتبعة، وتحديد ما إذا كان هناك حاجة إلى أي تحسينات أو تغييرات، ويجب أن تستخدم نتائج هذه التقييمات كجزء من جهود التحسين المستمرة التي يقوم بها، وإن تطلب الأمر مشاركة النتائج مع البنك المركزي.
46.	مع مراعاة تعليمات البنك المركزي ذات الصلة، التأكد من وجود السياسات والإجراءات الآتية وفعاليتها، ومنها على سبيل المثال:
	أ.	سياسات وإجراءات لحوكمة تقنية المعلومات والأمن السيبراني.
	ب.	سياسة تحدد السلوك المهني وأخلاقيات العمل الواجب اتباعها في المؤسسة المالية.
	ج.	سياسة تحدد آلية الإبلاغ عن المخالفات في المؤسسة المالية وحماية مقدمي البلاغات.
	د.	سياسات وإجراءات لتسوية الشكاوى والاعتراضات التي قد تنشأ بين المؤسسة المالية وأصحاب المصالح.
	هـ.	سياسات وإجراءات للحفاظ على سرية المعلومات.
47.	اعتماد سياسة المكافآت للعاملين في المؤسسة المالية، والتي تتضمن بحد أدنى أنواع المكافآت مثل (المكافآت الثابتة أو المرتبطة بالأداء أو تلك التي تمنح على شكل أسهم).
48.	التحقق من دقة وسلامة القوائم المالية السنوية والربعية واعتمادها قبل نشرها.
49.	تكوين عدد مناسب من اللجان -وفق أحكام المبدأ الخامس من هذه المبادئ- واعتماد لوائح عملها، عدا لجنتي الترشيحات والمكافآت والمراجعة اللتين تختص الجمعية العامة باعتمادهما، على أن تتضمن تلك اللوائح تحديد مهام كل لجنة ومدة ونطاق عملها والصلاحيات الممنوحة لها والمسؤوليات الملقاة على عاتقها وآلية رقابة المجلس عليها، كما على المجلس التأكد بشكلٍ مستمر من أن أعضاء اللجان يقومون بالعمل الجاد عند أداء عملهم.
50.	الإفصاح في تقرير المجلس السنوي عن اللجان المنبثقة عنه ونطاق عملها، بالإضافة إلى أسماء أعضائها. وعلى رئيس المجلس تزويد البنك المركزي بقائمة هذه اللجان ومهامها وإجراءات عملها وأسماء أعضائها.
51.	دون الإخلال باختصاصات مجلس الإدارة، يتولى رئيس المجلس المهام الآتية:
	أ.	قيادة المجلس والإشراف على فعالية سير عمله وأداء اختصاصاته بفعالية.
	ب.	ضمان حصول جميع أعضاء مجلس الإدارة في الوقت المناسب على المعلومات الكاملة والواضحة والصحيحة.
	ج.	تمثيل المؤسسة المالية أمام الغير وفق ما نصت عليه الأنظمة واللوائح والتعليمات ذات الصلة، وما نصّ عليه نظام المؤسسة المالية الأساس.
	د.	تشجيع المشاركة الفعالة بين المجلس والإدارة التنفيذية.
	هـ.	الإشراف على إعداد جدول أعمال اجتماعات مجلس الإدارة، مع الأخذ بعين الاعتبار أي نقطة يطرحها أحد أعضاء المجلس أو مراجع الحسابات، والتشاور مع أعضاء المجلس عند إعداد جدول أعمال المجلس.
52.	التأكد من تبني المؤسسة المالية برامج للمسؤولية الاجتماعية -بما يتفق مع سياسة المسؤولية الاجتماعية المعتمدة من الجمعية العامة- وأن أهداف هذه البرامج تصبُّ نحو دعم المشاريع الاجتماعية المختلفة، والعمل على زيادة الوعي المالي. وتلبية الاحتياجات الائتمانية للاقتصاد المحلي من خلال منح القروض والتسهيلات للأعمال المنتجة، والابتكار في المنتجات التي تشجع التنمية الاقتصادية دون إضرار بملاءة المؤسسة المالية وأصحاب المصالح.
53.	التأكد من أن خدمات المؤسسة المالية تلبي احتياجات ومتطلبات المجتمع بتكاليف عادلة، وأن المؤسسة المالية تبادر بتقديم تسهيلات لدعم وتشجيع المشاريع الصغيرة والمتوسطة.

المبدأ الرابع: مسؤوليات الإدارة التنفيذية

‏تُتابع وتُدير الإدارة التنفيذية العمل اليومي للمؤسسة المالية. وتتأكد من أن الأنشطة متوافقة مع إستراتيجية العمل ومستوى المخاطر ‏والسياسات المعتمدة من المجلس، ويقع على عاتقها الآتي:
54.	تنفيذ الخطط والسياسات والإستراتيجيات، والأهداف الرئيسة للمؤسسة المالية المعتمدة من المجلس.
55.	اقتراح الهيكل الرأسمالي الأمثل للمؤسسة المالية وإستراتيجياتها وأهدافها المالية.
56.	اقتراح إستراتيجية شاملة للمؤسسة المالية، وخطط العمل الرئيسة والمرحلية، وسياسات وآليات الاستثمار، والتمويل، وإدارة المخاطر، وخطط إدارة الظروف الإدارية الطارئة وتنفيذها.
57.	اقتراح النفقات الرأسمالية الرئيسة للمؤسسة المالية، وتملك الأصول والتصرف فيها.
58.	اقتراح الهياكل التنظيمية، والوظيفية للمؤسسة المالية بما يوضح دور وسلطة ومسؤولية مختلف المناصب داخل الإدارة التنفيذية بما في ذلك منصب الرئيس التنفيذي، ورفعها إلى المجلس للنظر في اعتمادها.
59.	اقتراح سياسة السلوك المهني وأخلاقيات العمل في المؤسسة المالية، ورفعها إلى المجلس للنظر في اعتمادها.
60.	اقتراح سياسة المكافآت التي تُمنح للعاملين المتضمنة بحد أدنى أنواع المكافآت كالمكافآت الثابتة أو المرتبطة بالأداء أو تلك التي تُمنح على شكل أسهم، ورفعها إلى المجلس للنظر في اعتمادها.
61.	تطبيق الأنظمة المالية والمحاسبية بشكل سليم، بما في ذلك الأنظمة ذات الصلة بإعداد التقارير المالية.
62.	تطبيق أنظمة رقابية مناسبة لقيادة وإدارة المخاطر من خلال وضع تصور عام عن المخاطر التي قد تواجه المؤسسة المالية، وإنشاء بيئة ملمة بثقافة الحد من المخاطر على مستوى المؤسسة المالية، وطرحها بشفافية مع المجلس وغيرهم من أصحاب المصالح.
63.	إدارة موارد المؤسسة المالية في ضوء خططها وأهدافها الإستراتيجية المعتمدة من المجلس.
64.	تنفيذ نظم الرقابة الداخلية وإدارة المخاطر بما في ذلك تنفيذ سياسة تعارض المصالح، والتحقق من فعالية تلك النظم وكفاءتها، والحرص على الالتزام بمستوى المخاطر المعتمد من المجلس.
65.	رفع تقرير سنوي إلى المجلس حول نظام الرقابة الداخلية وتطبيقه؛ ليُتاح له فرصة مراجعة النظام والتأكد من فاعليته.
66.	إبقاء المجلس على اطلاع دائم وبشكلٍ كافٍ بالأمور الجوهرية، وتزويده بالمعلومات التي قد يحتاج إليها؛ للاضطلاع بمسؤولياته والإشراف على الإدارة التنفيذية وتقييم جودتها.
67.	فهم وتوجيه الهياكل المالية وغير المالية على مستوى المجموعة، وأن تتوافر آلية مناسبة للحصول على المعلومات المحدثة بشأن ‏هيكلة المجموعة.
68.	وضع الإجراءات الملائمة للتواصل الدوري مع كبار عملاء المؤسسة المالية بهدف تقييم مخاطرهم، ومن الأهمية أن تأخذ في الاعتبار أُطُر الحوكمة المتبعة لدى العملاء قبل الدخول معهم في علاقات ائتمان ونحوها.

‏المبدأ الخامس: اللجان المنبثقة عن المجلس

‏يدعم تشكيل اللجان في المجلس ضمان فاعلية اتخاذ القرار لتحقيق أهداف المؤسسة المالية وفقاً لأفضل الممارسات والمعايير الفنية ‏التخصصية، ومساعدة المجلس في تأدية مهامه ومسؤولياته، والمساهمة في فعالية الأداء ومراجعة ومراقبة أعمال المؤسسة المالية ‏بصفة منتظمة، ويمكن تعيين أعضاء اللجان من داخل المجلس أو خارجه، ولا يُعفي الاستعانة بهذه اللجان المجلس من مسئولياته، ‏ومراعاة الآتي في شأنها:
69.	يُفضل ألّا يكون العضو عضواً في أكثر من لجنتين.
70.	على العضو حضور اجتماعات اللجنة بانتظام -ويجوز أن يكون ذلك باستخدام وسائل التقنية-، ويلزم حضور نصف الأعضاء لكي يكون الاجتماع صحيحاً، وتتخذ جميع القرارات بناءً على تصويت الأعضاء ومبدأ الأغلبية، وفي حال تعادل الأصوات يُرجّح الجانب الذي صوت معه رئيس اللجنة، ويُسجل رأي الطرف الآخر في محضر الاجتماع، مع التأكيد على أن التصويت بالوكالة غير مسموح.
71.	على العضو العمل بحسن نية، مع بذل العناية والاهتمام اللازمين بما يعود بالفائدة على أصحاب المصالح، بالإضافة إلى أداء واجباته بعيداً عن أي تأثير خارجي سواء من داخل المؤسسة المالية أو من خارجها، كما يجب عليه عدم تقديم مصالحه الشخصية أو مصالح من يمثلهم على مصالح المؤسسة المالية والمساهمين وغيرهم من أصحاب المصالح.
72.	يجب أن يكون لكل لجنة أمين سر من أعضاءها أو من خارجهم، ويُفضّل ألا يتولى الأمين أمانة سر لجنةٍ أخرى، كما يجب أن تتوافر فيه المؤهلات والمهارات والقدرات اللازمة التي تُمكّنه من أداء المهام الآتية -كحد أدنى-:
	أ.	توثيق اجتماعات اللجنة وإعداد محاضر لها، مع مراعاة عرض المسَوّدات على أعضائها؛ لإبداء المرئيات قبل التوقيع عليها.
	ب.	إعداد تقارير اللجنة، والرفع بها إلى المجلس وحفظها.
	ج.	تبليغ أعضاء اللجنة بمواعيد الاجتماعات قبل التاريخ المحدد بمدة كافية.
73.	تُحدد طبيعة العمليات وحجم المؤسسة المالية، إضافة إلى الخبرة النسبية ومؤهلات أعضاء المجلس، عدد اللجان التي ينبغي للمجلس تشكيلها، ويجب أن يكون من هذه اللجان، اللجان الآتية:

• ‎اللجنة التنفيذية:

74.	تتألف اللجنة من ثلاثة أعضاء على الأقل ولا تزيد عن خمسة، ولا يجوز أن يرأسها الرئيس التنفيذي.
75.	يجب ألّا تقل اجتماعات اللجنة عن ست اجتماعات في السنة، ويجوز دعوة مدير المخاطر أو من تراه اللجنة وفق احتياجها؛ لحضور اجتماعات اللجنة دون منحه حق التصويت على قراراتها.
76.	على رئيس اللجنة تقديم تقرير للمجلس حول أي قضية مهمة، ويحدد بعد التشاور مع رئيس المجلس البنود التي ينبغي إدراجها ضمن جدول أعمال المجلس، إضافةً إلى أي مواضيع لا تكون من اختصاصات اللجان الأخرى.
77.	يُحدد المجلس صلاحيات ومسؤوليات اللجنة، ويكون مسؤولا عن متابعة تنفيذها.

• لجنة المراجعة:

78.	تتألف اللجنة من ثلاثة أعضاء على الأقل ولا تزيد عن خمسة، جميعهم من الأعضاء غير التنفيذيين، ويكون من بينهم عضواً واحداً مستقل على الأقل⁴، ويرأسها عضو مستقل، كما يكون الأعضاء من خارج المجلس أكثر من الأعضاء من داخل المجلس، ولا يجوز أن يرأسها رئيس المجلس.
79.	تعتمد الجمعية العامة بناءً على توصية من المجلس، لائحة عمل اللجنة على أن تشمل ضوابط ومسؤوليات عملها وإجراءات تعيين أعضائها ومدة عضويتهم ومكافآتهم.
80.	يجب أن يكون لدى أعضاء اللجنة مؤهلات علمية وخبرات مهنية في مراجعة الحسابات وإدارة المخاطر، بما في ذلك معرفة المعايير المحاسبية ومعايير المراجعة، والقدرة على قراءة التقارير المالية، وفهم الأنظمة واللوائح والتعليمات الصادرة عن الجهات ذات ‏الصلة.
81.	‏يعتمد عدد اجتماعات اللجنة على حجم المؤسسة المالية ونطاق المهام التي تُكلف بها، على ألاّ تقل عن أربع اجتماعات في السنة، إضافة إلى أي اجتماعات أخرى تعقدُها عند الحاجة، ويجوز دعوة أي موظف لاجتماعات اللجنة ومناقشته في المواضيع المطروحة، بما في ذلك دعوة الرئيس التنفيذي ومراجعي الحسابات الداخليين والخارجيين، وتوزّع محاضر اجتماعات اللجنة على جميع أعضاء المجلس الذين يحق لهم طلب إيضاح أي مواضيع من اللجنة.
82.	تختص اللجنة بمراقبة أعمال المؤسسة المالية، والتحقق من سلامة ونزاهة التقارير والقوائم المالية لها وتوافر أنظمة رقابة داخلية فيها، وتشمل مهامها ما يلي:
أ.	التقارير المالية:
	-	دراسة القوائم المالية الربعية والسنوية للمؤسسة المالية قبل عرضها على المجلس، وإبداء الرأي والتوصية في شأنها: ‏لضمان نزاهتها وعدالتها وشفافيتها.
	-	‏إبداء الرأي الفني - بناءً على طلب المجلس - فيما إذا كان تقرير المجلس والقوائم المالية للمؤسسة المالية عادلة ومتوازنة ومفهومة، وتتضمن المعلومات التي تتيح للمساهمين والمستثمرين تقييم المركز المالي للمؤسسة المالية وأدائها ونموذج عملها وإستراتيجيتها.
	-	دراسة أي مسائل مهمّة أو غير مألوفة تتضمنها التقارير المالية.
	-	‏البحث بدقة في أي مسائل يثيرها المدير المالي أو مراجع الحسابات للمؤسسة المالية.
	-	‏التحقق من التقديرات المحاسبية في المسائل الجوهرية الواردة في التقارير المالية.
	-	‏دراسة السياسات المحاسبية المتبعة في المؤسسة المالية، وإبداء الرأي والتوصية للمجلس في شأنها.
ب.	المراجعة الداخلية:
	-	‏دراسة ومراجعة نظم الرقابة الداخلية والمالية وإدارة المخاطر في المؤسسة المالية.
	-	دراسة تقارير المراجعة الداخلية ومتابعة تنفيذ الإجراءات التصحيحية للملحوظات الواردة فيها.
	-	الرقابة والإشراف على أداء وأنشطة المراجع الداخلي وإدارة المراجعة الداخلية في المؤسسة المالية؛ للتحقق من توافر الموارد اللازمة وفعاليتها في أداء الأعمال والمهام المنوطة بها.
	-	التوصية للمجلس بتعيين/إنهاء خدمات مدير وحدة أو إدارة المراجعة الداخلية أو المراجع الداخلي واقتراح مكافآته.
	-	تقييم فعالية وكفاءة الضوابط والسياسات والإجراءات الداخلية، وآلية رفع التقارير ومدى الالتزام بها، وتقديم التوصيات لتحسينها.
ج.	مراجع الحسابات:
	-	التوصية للمجلس بترشيح مراجعي الحسابات وعزلهم وتحديد أتعابهم وتقييم أدائهم، وذلك بعد التحقق من استقلالهم ومراجعة نطاق عملهم وشروط التعاقد معهم.
	-	التحقق من استقلالية مراجع الحسابات وموضوعيته وعدالته، ومدى فعالية أعمال المراجعة، مع الأخذ بعين الاعتبار القواعد والمعايير ذات الصلة.
	-	مراجعة خطة مراجع الحسابات للمؤسسة المالية وأعماله، والتحقق من عدم تقديمه أعمالاً فنية أو إدارية تخرج عن نطاق أعمال المراجعة، وإبداء مرئياتها حيال ذلك.
	-	الإجابة عن استفسارات مراجع حسابات المؤسسة المالية.
	-	دراسة تقرير مراجع الحسابات وملاحظاته على القوائم المالية ومتابعة ما اتخِذ بشأنها.
د.	ضمان الالتزام:
	-	مراجعة نتائج تقارير الجهات الرقابية، والتحقق من اتخاذ المؤسسة المالية الإجراءات اللازمة بشأنها.
	-	الرفع إلى المجلس بالمسائل التي ترى ضرورة اتخاذ إجراء بشأنها، وإبداء توصياتها بالإجراءات التي يتعين اتخاذها.
	-	التحقق من التزام المؤسسة المالية بالأنظمة واللوائح والسياسات والتعليمات ذات الصلة، واتخاذ الإجراءات اللازمة لتحسين مستوى الالتزام النظامي في المؤسسة المالية.

• لجنة الترشيحات والمكافآت:

83.	تتألف اللجنة من ثلاثة أعضاء على الأقل ولا تزيد عن خمسة، ويكون من بينهم عضوين مستقلين على الأقل، ويرأسها عضو مستقل، ولا يجوز أن يرأسها رئيس المجلس.
84.	تعتمد الجمعية العامة بناءً على توصية من المجلس، لائحة عمل اللجنة على أن تشمل ضوابط وإجراءات عملها، ومهامها، وإجراءات تعيين أعضائها، ومدة عضويتهم ومكافآتهم.
85.	تُعنى اللجنة بالبحث واقتراح مرشحين لاختيارهم أعضاء للمجلس والإدارة التنفيذية، وإعداد سياسة واضحة لمكافآت أعضاء المجلس واللجان المنبثقة عنه والإدارة التنفيذية، وذلك وفق تعليمات البنك المركزي ذات الصلة.
86.	يجب ألّا تقل اجتماعات اللجنة عن اجتماعين في السنة يتم خلالها دراسة أداء الأعضاء وتقييمهم وترشيح أعضاء جدد، ومناقشة سياسة المكافآت والحوافز.
87.	تشمل مهام اللجنة الآتي:
	أ.	التنسيق مع إدارة الموارد البشرية لتطوير سياسة الإحلال والتعاقب الوظيفي، والتأكد من التزام الإدارة التنفيذية بها.
	ب.	وضع سجل يتضمن مؤهلات ومهارات أعضاء المجلس؛ بهدف التعرف على المهارات الإضافية المطلوبة لتفعيل دور المجلس وقيامه بمهامه ومسؤولياته.
	ج.	التأكد من أن حجم المكافآت يتفق مع الأعراف السائدة المحلية والأنظمة الرقابية، ومرتبط بتحقيق مصالح المساهمين، وتحقيق أهداف المؤسسة المالية الإستراتيجية طويلة المدى. ومن أن نظام الحوافز يتم مراجعته دورياً ولا يشجع على المشاركة في عمليات ذات مخاطر عالية لتحقيق أرباح قصيرة المدى، إلى جانب اتفاقه مع سياسة مخاطر المؤسسة المالية المعتمدة من المجلس.

• لجنة المخاطر⁵:

88.	‎تتألف اللجنة من ثلاثة أعضاء على الأقل ولا تزيد عن خمسة، ويكون من بينهم ثلاثة أعضاء غير تنفيذيين، ولا يجوز أن يرأسها الرئيس التنفيذي.
89.	يُشترط أن يتوافر في أعضائها مستوى ملائم من المعرفة بإدارة المخاطر، ويكون من بينهم ذو خبرة في المخاطر السيبرانية والتقنية.
90.	يرتبط مدير المخاطر في المؤسسة المالية بالمجلس من خلال لجنة المخاطر والتي عليها رفع مرئياتها حيال تقارير إدارة المخاطر إلى المجلس.
91.	يجب أن تعقد اللجنة ما لا يقل عن أربع اجتماعات في السنة، ويمكن دعوة مدير المخاطر لحضور الاجتماعات دون أن تكون له عضوية بها.
92.	تشمل مهام اللجنة الآتي:
	أ.	وضع إستراتيجية وسياسات شاملة لإدارة المخاطر بما يتناسب مع طبيعة وحجم أنشطة المؤسسة المالية، وأخذاً بعين الاعتبار المخاطر السيبرانية والتقنية، والتحقق من تنفيذها ومراجعتها وتحديثها بناءً على المتغيرات الداخلية والخارجية للمؤسسة المالية.
	ب.	تحديد مستوى مقبول للمخاطر التي قد تتعرض لها المؤسسة المالية والحفاظ عليه، والتحقق من عدم تجاوز المؤسسة المالية له.
	ج.	التحقق من جدوى استمرار المؤسسة المالية ومواصلة نشاطها بنجاح، مع تحديد المخاطر التي تهدد استمراراها خلال الاثني عشر شهراً القادمة.
	د.	الإشراف على نظام إدارة المخاطر بالمؤسسة المالية، وتقييم فعالية نظم وآليات تحديد وقياس ومتابعة المخاطر التي قد تتعرض لها المؤسسة المالية؛ وذلك لتحديد أوجه القصور بها.
	هـ.	إعادة تقييم قدرة المؤسسة المالية على تحمل المخاطر وتعرضها لها بشكل دوري من خلال إجراء اختبارات التحمل على سبيل المثال.
	و.	إعداد تقارير مفصلة حول التعرض للمخاطر والخطوات المقترحة لإدارة هذه المخاطر ورفعها إلى المجلس.
	ز.	التوصية للمجلس بتعيين/إنهاء خدمات مدير وحدة أو إدارة المخاطر.
	ح.	تقديم التوصيات للمجلس حول المسائل المتعلقة بإدارة المخاطر.
	ط.	ضمان توافر الموارد والنظم الكافية لإدارة المخاطر.
	ي.	مراجعة الهيكل التنظيمي لإدارة المخاطر ووضع توصيات في شأنه قبل اعتماده من قبل المجلس.
	ك.	التحقق من استقلال موظفي إدارة المخاطر عن إدارات الأعمال.
	ل.	التحقق من استيعاب موظفي إدارة المخاطر للمخاطر المحيطة بالمؤسسة المالية، والعمل على زيادة الوعي بثقافة المخاطر.
	م.	مراجعة ما تثيره لجنة المراجعة من مسائل قد تؤثر في إدارة مخاطر المؤسسة المالية.

⁴البنوك والمصارف: يجب أن يكون جميع أعضاء اللجنة مستقلين.

⁵شركات التمويل: تُسمى اللجنة بـ "لجنة إدارة المخاطر والائتمان".

المبدأ السادس: حقوق المساهمين

93.	على المجلس التأكد من أن سياسات الحوكمة المتبعة لدى المؤسسة المالية تحمي حقوق المساهمين وتسهل ممارسة حقوقهم، وتساهم في توفير قنوات اتصال فعالة ووسائل متنوعة للتواصل مع جميع مساهمي المؤسسة المالية، والتأكد من معاملتهم بالعدل بما في ذلك مساهمو الأقلية، وكذلك حثهم باستمرار على المشاركة في اجتماعات الجمعية العامة وتقديم المقترحات المتعلقة بأداء المؤسسة المالية وتطوير عملياتها.
94.	يجب أن يكون لدى المؤسسة المالية إجراءات محددة تضمن ممارسة المساهمين حقوقهم وحصولهم على المعلومات المناسبة دون تأخير، وتشمل هذه الحقوق: الحصول على الأرباح، وحضور جمعيات المساهمين. والاشتراك في مداولاتها، والتصويت على قراراتها بالحضور الشخصي أو باستخدام وسائل التقنية، وفق ما تحدده الأنظمة والتعليمات ذات الصلة.
95.	على المؤسسة المالية تزويد البنك المركزي بنسخة من محاضر اجتماعات الجمعية العامة خلال فترة لا تزيد عن خمسة عشر يوماً من تاريخ انعقادها.
96.	تشمل حقوق المساهمين الرئيسة ما يأتي:
	أ.	الحصول على جميع المعلومات ذات الصلة التي تمكن المساهمين من ممارسة حقوقهم على أكمل وجه بصفة دورية ودون تأخير، بما لا يضر بمصالح المؤسسة المالية.
	ب.	المشاركة والتصويت في اجتماعات الجمعية العامة، على أن يؤخذ بعين الاعتبار المواضيع التي يرغب المساهمون في طرحها في مثل هذه الاجتماعات.
	ج.	مناقشة الموضوعات المدرجة ضمن جدول أعمال الجمعية العامة، وتوجيه الاستفسارات إلى أعضاء المجلس والمحاسب القانوني، والحصول على إفادة بشأنها.
	د.	اختيار أعضاء المجلس باتّباع أسلوب التصويت التراكمي.
97.	يجب تزويد المساهمين بمعلومات حول مكان وتاريخ انعقاد الجمعية العامة وجدول أعمالها قبل اجتماعها بواحد وعشرين يوماً.
98.	للمساهمين حق ترشيح وانتخاب أعضاء المجلس والاستفسار عن مؤهلاتهم وخبراتهم وقدرتهم على أداء عملهم، ومناقشة حجم المكافآت والحوافز المالية التي يتقاضاها أعضاء المجلس وكبار التنفيذيين، إضافة إلى حقهم في تقديم أي استفسار إلى المجلس بشأن أي ممارسات غير مهنية والحصول على إفادة بشأنها.

‏المبدأ السابع: الإفصاح والشفافية

99.	‎يضع المجلس سياسات مكتوبة للإفصاح بما يتفق مع متطلبات الإفصاح الواردة في الأنظمة واللوائح والتعليمات ذات الصلة، مع مراعاة ما يلي:
	أ.	أن تتضمن تلك السياسات أساليب إفصاح ملائمة تمكن أصحاب المصالح من الاطلاع على المعلومات المالية وغير المالية المتعلقة بالمؤسسة المالية وأدائها بما في ذلك توجهات المؤسسة المالية المستقبلية وخططها الاستراتيجية، وكذلك التصنيفات الائتمانية الممنوحة لها من وكالات التصنيف الدولية.
	ب.	أن يكون الإفصاح بشكل واضح وصحيح وغير مضلل، وفي الوقت المناسب وعلى نحو منتظم ودقيق.
	ج.	مراجعة سياسات الإفصاح بشكل دوري، والتحقق من توافقها مع أفضل الممارسات، ومع أحكام الأنظمة واللوائح والتعليمات ذات الصلة.
100.	يُعدّ المجلس تقريراً سنوياً يعكس فيه عمليات السنة المالية المنتهية، على أن يتضمن -بحد أدنى- الآتي:
	أ.	أسماء أعضاء المجلس، وأعضاء اللجان، والإدارة التنفيذية، ووظائفهم الحالية والسابقة ومؤهلاتهم وخبراتهم.
	ب.	أسماء الشركات داخل المملكة أو خارجها التي يكون عضو مجلس إدارة المؤسسة المالية عضواً في مجالس إدارتها الحالية والسابقة أو من مديريها.
	ج.	تكوين المجلس وتصنيف أعضائه على النحو الآتي: عضو تنفيذي، عضو غير تنفيذي، عضو مستقل.
	د.	عدد اجتماعات المجلس التي عُقدت خلال السنة المالية الأخيرة، وتواريخ انعقادها، وسجل حضور كل اجتماع موضح فيه أسماء الحاضرين.
	هـ.	أي عقوبة أو جزاءات مفروضة على المؤسسة المالية من البنك المركزي أو من أي جهة إشرافية أو تنظيمية أو قضائية، مع بيان أسباب المخالفة والجهة الموقعة لها.
	و.	تفاصيل المساهمات الاجتماعية للمؤسسة المالية.
	ز.	بياناً بتواريخ الجمعيات العامة المنعقدة خلال السنة المالية الأخيرة، وأسماء أعضاء المجلس الحاضرين لهذه الجمعيات.
	ح.	اسم كل شركة تابعة أو من مجموعتها ورأس مالها ونسبة ملكية المؤسسة المالية فيها ونشاطها الرئيس، والدولة المحل الرئيس لعملياتها، والدولة محل تأسيسها.
	ط.	معلومات تتعلق بأي أعمال أو عقود تكون المؤسسة المالية طرفاً فيها وكانت فيها مصلحة لأحد الأطراف ذوي العلاقة، حيث تشمل أسماء المعنيين بالأعمال أو العقود، وطبيعة هذه الأعمال أو العقود وشروطها ومدتها ومبلغها، وإذا لم توجد أعمال أو عقود من هذا القبيل: فعلى المؤسسة المالية تقديم إقرار بذلك.
	ي.	الإفصاح عن المكافآت الممنوحة لأعضاء المجلس واللجان المنبثقة عنه وخمسة من كبار التنفيذيين ممن تلقوا أعلى مكافآت، على أن يكون من بينهم الرئيس التنفيذي والمدير المالي.
	ك.	نتائج المراجعة السنوية وفاعلية إجراءات الرقابة الداخلية في المؤسسة المالية، ومدى كفاءة نظام الرقابة الداخلية بها.

متطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي السعودي
الرقم: 199400000067 التاريخ (م): 2019/9/9 | التاريخ (هـ): 1441/1/10 الحالة:نافذ
صدرت هذه التعليمات بموجب التعميم رقم (1994/67), وتاريخ 1441/01/10هـ, وحدثت بموجب التعميم رقم (42064776), وتاريخ 1442/9/13هـ الموافق 2021/4/24م, وعدلت بموجب التعميم رقم (4919/67) وتاريخ 1441/01/25هـ الموافق 2019/09/24م , والتعميم رقم (42080755) وتاريخ 1442/11/19هـ, الموافق 2021/06/28م.

الفصل الأول التعريفات

1. يقصد بالألفاظ والعبارات الآتية - أينما وردت في هذه المتطلبات - المعاني المبينة أمام كل منها، ما لم يقتضِ السياق خلاف ذلك:

المصطلح	التعريف
البنك المركزي	البنك المركزي السعودي*.
المتطلبات	متطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي (الإصدار الثاني ٢٠٢١م).
المؤسسة المالية	الجهات الخاضعة لإشراف ورقابة البنك المركزي بما في ذلك البنوك والمصارف، وفروع البنوك الأجنبية، وشركات التأمين، وشركات إعادة التأمين، وشركات المهن الحرة المرخصة، وشركات التأمين الأجنبية، وشركات التمويل، وشركات إعادة التمويل العقاري ، وشركات تسجيل العقود، والشركات المساندة لنشاط التمويل، وشركات المعلومات الائتمانية، وشركات ومؤسسات الصرافة، وشركات المدفوعات والتقنيات المالية العاملة في المملكة.
المناصب القيادية	هي الوظائف والمهام والمسئوليات المنوط بشاغليها وضع واقتراح وتنفيذ القرارات الإستراتيجية وإدارة عمليات المؤسسة المالية اليومية، وتشمل مجلس الإدارة، والإدارة العليا للمؤسسات المالية حسب الوظائف المحددة في البند (1) من الفصل الثالث من هذه المتطلبات.

الفصل الثاني أحكام عامة

1. أهداف المتطلبات ونطاق التطبيق:

1-1	تهدف المتطلبات إلى الآتي:
	أ.	تحديد المناصب القيادية التي يتوجب على المؤسسات المالية الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة لشغلها أو القيام بها، ووضع الحد الأدنى من معايير الملاءمة التي يتوجب على المؤسسات المالية اتباعها لتقييم مدى ملاءمة شاغلي هذه المناصب.
	ب.	وضع الحد الأدنى من معايير الملاءمة والإجراءات التي يتوجب على المؤسسات المالية اتباعها لتقييم مدى ملاءمة شاغلي المناصب التي لا تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية لشغلها.
2-2	تُطبق المتطلبات على المؤسسات المالية، دون الإخلال بأي أنظمة أو تعليمات أخرى ذات علاقة.

2. أولوية التعيين أو التكليف:

تكون الأولوية في شغل المناصب القيادية للسعوديين، وعلى المؤسسة المالية في حال الحاجة إلى تعيين أو تكليف مرشح غير سعودي في منصب قيادي؛ إيضاح المبررات، وإثبات عدم توافر السعودي المؤهل لشغل المنصب، مع وضع خطة معتمدة لإحلال شخص سعودي مؤهل ضمن طلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة تتضمن الإجراءات والبرامج والدورات التي تقوم بها المؤسسة المالية من تدريب وتأهيل لموظفيها السعوديين المرشحين لشغل هذا المنصب، والمدة اللازمة لذلك.

3. يقتصر التعيين أو التكليف في المناصب الآتية وما في حكمها على السعوديين فقط:

أ.	مدير الموارد البشرية.
ب.	مدير أمن المعلومات/ الأمن السيبراني.
ج.	مدير تقنية المعلومات.
د.	مدير الالتزام.
هـ.	مدير مكافحة غسل الأموال وتمويل الإرهاب.
و.	مدير مكافحة الجرائم المالية.
ز.	مدير مكافحة الاحتيال.
ح.	مدير القانونية.
ط.	مدير الحوكمة / أمين سر مجلس الإدارة.
ي.	مدير الإدارة المعنية بتوفير معلومات أو تنفيذ ما يصدر ضد العملاء من قرارات ترد من خلال البنك المركزي (إدارة التنفيذ المالي).
ك.	مدير العناية بالعملاء في شركات التأمين.
ل.	مدير مطالبات المركبات في شركات التأمين.
م.	مدير مبيعات الأفراد في شركات التأمين.

4. الإحلال والتعاقب الوظيفي:

1-4	على المؤسسة المالية وضع سياسة معتمدة من مجلس الإدارة حسب الآتي:
	أ.	الإحلال الوظيفي، يتم تحديد مناصب الإدارة العليا في المؤسسة المالية التي يشغلها موظفون غير سعوديين، ومن ثم القيام بتأهيل موظفين سعوديين لشغلها من خلال التدريب والتطوير خلال فترة زمنية محددة.
	ب.	التعاقب الوظيفي، يتم تحديد المناصب الرئيسة المؤثرة على سير واستقرار المؤسسة المالية، ومن ثم القيام بتأهيل موظفين سعوديين من خلال التدريب والتطوير لشغل هذه المناصب فور خلوها ، بما يمكّن المؤسسة المالية من الاستمرارية في أداء أعمالها.
2-4	يجب أن تتضمن السياسة المشار إليها في الفقرة (١) من هذه المادة -كحد أدنى- الآتي:
	أ.	تحديد هذه المناصب على أن تشمل كحد أدنى وظائف الإدارة العليا الواردة في الملاحق المرافقة (٦،٥،٤،٣،٢،١).
	ب.	البرامج والدورات التدريبية المتخصصة التي ستنفذها المؤسسة المالية لتدريب وتأهيل موظفيها السعوديين المرشحين لشغل هذه المناصب، مع ضمان استمراريتها.
	ت.	وضع إطار تنظيمي لهذه السياسة على أن يتضمن الإجراءات المساعدة على تنفيذها.
3-4	أن تضمن هذه السياسة توفير الكفاءات السعودية المؤهلة لشغل هذه المناصب بشكل تدريجي من خلال الاستفادة من أبرز الممارسات والبرامج في هذا المجال.
4-4	على مجلس إدارة المؤسسة المالية والرئيس التنفيذي/العضو المنتدب/ المدير العام متابعة الالتزام بتنفيذ السياسة المشار إليها في هذه المادة.

5. التحقق من الشهادات:

على المؤسسة المالية التحقق من الشهادات العلمية والمهنية لشاغلي المناصب القيادية والمرشحين لها، وينبغي عليها اتباع الآتي:
أ.	التحقق من توثيق الشهادات الأكاديمية الصادرة من خارج المملكة عن طريق مصادقة الشهادة من الجهة المصدرة لها (المؤسسة التعليمية) بالختم الرسمي، ومن ثم مصادقتها من قبل جهة حكومية، كوزارة الخارجية أو وزارة التعليم إذا كان حاملها من مواطني البلد المانح للشهادة، أو مصادقتها من الملحقية الثقافية بسفارة حامل الشهادة إذا كان حاملها من غير مواطني البلد المانح للشهادة.
ب.	التحقق من توثيق الشهادات المهنية عبر الموقع الإلكتروني للجهات المصدرة للشهادات المهنية إذا كان متاحاً أو من خلال التواصل المباشر مع الجهات المصدرة عبر البريد الإلكتروني أو أي طريقة موثوقة أخرى.
ج.	التحقق عن طريق الجهات الوسيطة التي تقوم بعمليات التحقق من مصداقية الوثائق والشهادات الأكاديمية أو المهنية المصدرة من قبل مختلف المؤسسات التعليمية والمجتمعات المهنية للتأكد من صحة وصلاحية الوثائق.

الفصل الثالث المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة

1.	على المؤسسات المالية الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة على ترشيح أعضاء مجالس الإدارة، وعلى تعيين أو تكليف أو تمديد تكليف أي شخص للقيام بمهام أو مسئوليات مناصب الإدارة العليا الواردة في الملحقات الخاصة بكل مؤسسة مالية وفق الآتي:
		الملحق (١): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في البنوك العاملة في المملكة.
		الملحق (٢): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في شركات المعلومات الائتمانية العاملة في المملكة.
		الملحق (٣): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية في شركات التأمين و/أو إعادة التأمين وشركات المهن الحرة المتعلقة بالتأمين العاملة في المملكة العربية السعودية. (وللبنك المركزي إلزام شركات المهن الحرة المتعلقة بالتأمين بالحصول على عدم ممانعة البنك المركزي الكتابية لبعض أو جميع مناصب الإدارة العليا المحددة لشركات التأمين و/أو شركات إعادة التأمين).
		الملحق (٤): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في شركات التمويل، وشركات إعادة التمويل العقاري ، وشركات التمويل متناهي الصغر، والتمويل الاستهلاكي المصغر، والتمويل الجماعي بالدين، وشركات تسجيل العقود، والشركات المساندة لنشاط التمويل العاملة في المملكة.
		الملحق (٥): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في مراكز الصرافة العاملة في المملكة.
		الملحق (٦): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في شركات المدفوعات والتقنيات المالية العاملة في المملكة.
2.	يحظر تولي الأشخاص المرشحين للمناصب القيادية المسئوليات المنوطة بتلك المناصب أو بدء ممارسة أدوارهم أو الإعلان عن ذلك إلا بعد الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة على ذلك.
3.	على المؤسسة المالية الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة قبل تكليف أي شخص للقيام بمهام أي منصب في الإدارة العليا على ألّا تتجاوز مدة التكليف ستة أشهر قابلة للتمديد بموافقة البنك المركزي لفترة واحدة فقط، ولا يتطلب الحصول على عدم ممانعة البنك المركزي الكتابية على التكليف ما لم يتجاوز خلو المنصب الفعلي مدة (٢٠) يوم عمل.
4.	على المؤسسة المالية تقديم طلبات الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة على الترشيح لأعضاء مجالس الإدارة، وعلى التعيين أو التكليف أو تمديد التكليف في مناصب الإدارة العليا، مرافقاً بها جميع المستندات المطلوبة وفق ما ورد في الملحق (ب) من هذه المتطلبات وذلك بمدة لا تقل عن (٣٠) يوم عمل من موعد انعقاد الجمعية العامة التي سيُنتخب خلالها عضو مجلس الإدارة، أو بمدة لا تقل عن (٢٠) يوم عمل من الموعد المقترح لتولي المرشح لمنصب في الإدارة العليا، بحسب الأحوال.
5.	على المؤسسة المالية عند تقديمها أي عروض عمل لشغل المناصب القيادية إبلاغ المرشحين أن التعيين أو التكليف في تلك المناصب يتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة.
6.	على المؤسسة المالية اعتماد سياسة ومعايير وإجراءات للترشح للمناصب القيادية بهدف التأكد من استيفاء جميع المرشحين لمعايير الملاءمة الواردة في هذه المتطلبات وفي سياسة المؤسسة المالية واستمرار استيفائهم تلك المعايير طوال فترة شغلهم لهذه المناصب، على أن يراعى في ذلك أحكام الأنظمة واللوائح والسياسات والتعليمات ذات الصلة، وأن تتضمن كحد أدنى الآتي:
	أ.	الحد الأدنى من معايير الملاءمة على النحو الوارد في هذه المتطلبات.
	ب.	إجراءات تقييم الملاءمة.
	ج.	الإجراءات الواجب اتخاذها عند فقد أحد شاغلي المناصب القيادية لأيٍّ من معايير الملاءمة.
	د.	متطلبات مراجعة وتحديث السياسة من وقت لآخر، وحسب الحاجة.

أحكام إضافية بموجب التعميم رقم (42007671) وتاريخ 1442/02/12هـ.

يجب على المؤسسة المالية إتخاذ اللازم حيال تعديل سياساتها الداخلية بما يضمن ضرورة حصول منسوبيها من شاغلي المناصب القيادية على موافقة المؤسسة المالية و استيفاء عدم ممانعة البنك المركزي; قبل قبول الترشيح أو التكليف/أو إعادة التكليف أو التعيين/أو إعادة التعيين لدى أي جهة عامة أو خاصة, أو تولي أي مسئوليات أُخرى كالعضويات في مجالس الإدارات أو ما شابهها, مع الإشارة إلى أن عدم الالتزام بذلك يعد مشمولاً بحكم البند (8) من الفصل الرابع من متطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي السعودي.

الفصل الرابع معايير الملاءمة والإفصاح

1.	يقع على عاتق مجلس إدارة المؤسسة المالية مسئولية التأكد من ملاءمة الأشخاص المرشحين للمناصب القيادية بما يتوافق مع المتطلبات وسياسة وإجراءات المؤسسة المالية في هذا الشأن.
2.	على المؤسسات المالية اتباع معايير وإجراءات واضحة ودقيقة لتقييم ملاءمة شاغلي المناصب القيادية والمرشحين لها والتحقق منها، وأن تغطي معايير الملاءمة بحد أدنى الآتي:
	أ.	الأمانة والنزاهة والسمعة الحسنة والعدالة: أن يكون لدى الشخص صفات الأمانة والنزاهة والسمعة الحسنة والعدالة، وألا يكون قد أُدين بأي جريمة مخلة بالشرف والأمانة مالم يكن قد رُدّ إليه اعتباره.
	ب.	القدرة والكفاءة: أن يكون لدى الشخص المؤهل العلمي المناسب أو الخبرة الكافية والمهارات والقدرات اللازمة لأداء الدور المنوط به بشكل فعال والفهم اللازم للمتطلبات الفنية للأعمال والمخاطر والإجراءات الإدارية واستيفاء أي متطلبات قد يحددها البنك المركزي.
	ج.	الكفاءة المالية: أن يكون لدى الشخص القدرة والتجارب السابقة في إدارة التزاماته وشؤونه المالية بحصافة وبشكل مناسب، على أن ذلك لا يعني محدودية إمكانيات الشخص المالية.
	د.	الاستقلالية: أن يتمتع الشخص بالاستقلالية اللازمة لأداء المهام والواجبات المنوطة بالمنصب القيادي المقترح وألا يكون لديه مصالح أو التزامات وظيفية أو أي ظروف أخرى قد تؤدي إلى تعارض في المصالح أو تؤثر بأي شكل كان على قدرته على أداء الواجبات المنوطة بالمنصب المقترح باستقلاليه.
3.	يجب أن تكون إجراءات تقييم الملاءمة التي تقوم بها المؤسسة المالية - سواءً قبل طلب عدم ممانعة البنك المركزي الكتابية المسبقة أو تلك التي تتم بصفة مستمرة - موثقة ومدعومة بالمستندات وبالمعلومات ذات العلاقة، وعلى المؤسسة المالية التحقق من صحة ودقة المعلومات المقدمة من المرشحين للمناصب القيادية من مصادر مستقلة وموثوقة داخلياً وخارجياً، وأن يتم الحفاظ على سرية المعلومات التي تحصل عليها المؤسسة المالية ونتائج عمليات تقييم الملاءمة التي تقوم بها والحصول على موافقة المرشح إذا كانت ضرورية للاطلاع على المعلومات.
4.	على المؤسسة المالية شرح نموذج الملاءمة للمرشحين والتحقق من اكتماله وصحة ما ورد فيه، وعليها الإفصاح للبنك المركزي كتابياً عن أي معلومات تتبين لها وتكون ذات علاقة بملاءمة المرشح وأي تغيرات يكون من شأنها التأثير على صحة وسلامة ودقة واكتمال الإجابات المقدمة في نموذج الملاءمة، ولو كان ذلك بعد الحصول على عدم ممانعة البنك المركزي ، وذلك خلال مدة لا تزيد عن (٥) أيام عمل من تاريخ الحصول على تلك المعلومات أو من حدوث التغيّر.
5.	على المؤسسة المالية والمرشحين للمناصب القيادية الإفصاح للبنك المركزي بشكل كامل وصريح عن جميع المعلومات ذات العلاقة بمتطلبات الملاءمة، وينبغي أن تشمل المعلومات المقدمة للبنك المركزي بحد أدنى الآتي:
	أ.	جميع المعلومات المطلوبة في نموذج الملاءمة والمستندات المرافقة.
	ب.	أي معلومات جوهرية قد تؤثر على قرار البنك المركزي في شأن عدم الممانعة على الترشيح أو التعيين أوالتكليف أو تمديد التكليف.
	ج.	أي معلومات أخرى ذات علاقة تتضح للمؤسسة المالية أو المرشح.
6.	للبنك المركزي طلب أي معلومات أو وثائق يراها ضرورية لدراسة طلب عدم الممانعة على الترشيح أو التعيين أو التكليف أو تمديد التكليف وطلب مقابلة المرشح لشغل المنصب، وعلى المؤسسة المالية تزويد البنك المركزي بأي معلومات أو مستندات يطلبها خلال المدة التي يحددها البنك المركزي أو بحد أقصى (١٠) أيام عمل من تاريخ طلبها، وللبنك المركزي الحق في إغلاق طلب المؤسسة المالية في حال عدم تزويده بالمطلوب خلال الفترة المحددة.
7.	للبنك المركزي التحري بكافة الطرق والوسائل التي يراها مناسبة عن صحة وسلامة ودقة واكتمال كافة المعلومات والمستندات المقدمة له من المؤسسة المالية، والتحقق من مدى ملاءمة الأشخاص المرشحين، واتخاذ ما يراه مناسباً حيال عدم الممانعة على الطلبات المقدمة له أو رفضها دون أي مسئولية على البنك المركزي ، وعلى المؤسسة المالية إبلاغ المرشح بذلك.
8.	للبنك المركزي إلغاء عدم الممانعة الصادرة عنه على تعيين أو تكليف أو تمديد تكليف شاغل أيٍّ من المناصب القيادية لدى المؤسسة المالية، إذا رأى عدم تعاونه مع البنك المركزي أو التقصير أو الإهمال في أداء المطلوب منه، أو إذا تبين وجود أي محاولة لإخفاء أي معلومات أو تقديم معلومات مضللة أو خاطئة أو محاولة مخالفة هذه المتطلبات أو أي تعليمات أخرى صادرة من البنك المركزي أو التحايل عليها، وذلك دون إخلال بالإجراءات النظامية تجاه المؤسسة المالية والشخص المعني.
9.	على المؤسسة المالية إجراء تقييم لملاءمة شاغلي المناصب القيادية بصفة دورية، وبحد أدنى مرة سنوياً. وعلى المؤسسة المالية إبلاغ البنك المركزي فوراً بأي معلومات أو ملاحظات تتبين خلال عملية تقييم الملاءمة وتكون ذات تأثير جوهري على أهليتهم وملاءمتهم.
10.	على المؤسسة المالية إشعار البنك المركزي كتابياً (حسب العناوين الواردة في الملحق "ج") عند مباشرة شاغلي المناصب القيادية للمهام والمسؤوليات المنوطة بالمنصب، وعند قبول الاستقالة أو ترك العمل أو إنهاء الخدمة لأي سبب كان خلال (٥) أيام عمل من تاريخه.
11.	على المؤسسة المالية تزويد البنك المركزي بتقارير دورية نصف سنوية (نهاية شهر يونيو، وديسمبر) تتضمن بيانات شاغلي المناصب القيادية، والمناصب الشاغرة منها حسب ما ورد في الملحق (أ) من هذه المتطلبات.

الفصل الخامس المناصب التي لا تتطلب الحصول على عدم ممانعة البنك المركزي

1.	على المؤسسة المالية وضع سياسة ومعايير وإجراءات واضحة ودقيقة للتأكد من ملاءمة مرشحي وشاغلي المناصب التي لا تتطلب الحصول على عدم ممانعة البنك المركزي ، واستمرار ملاءمتهم، على أن تغطي كحد أدنى الأحكام الواردة في هذه المتطلبات.
2.	يقع على عاتق مجلس إدارة المؤسسة المالية مسئولية التأكد من ملاءمة الأشخاص المرشحين للمناصب التي لا تتطلب عدم ممانعة البنك المركزي - بما في ذلك شاغلي المناصب القيادية في الشركات التابعة للمؤسسة المالية، أو فروعها خارج المملكة - وذلك بما يتوافق مع هذه المتطلبات وسياسات وإجراءات المؤسسة المالية في هذا الشأن.
3.	يجب أن تُدعم جميع عمليات التقييم التي أجرتها المؤسسة المالية للمرشحين بالمعلومات والبيانات ذات الصلة وأن يتم توثيقها بشكل صحيح.
4.	للبنك المركزي الاطلاع والحصول على البيانات والإجراءات التي قامت بها المؤسسة المالية لترشيح أو تعيين أو تكليف شاغلي المناصب التي لا تتطلب الحصول على عدم ممانعة البنك المركزي.

الفصل السادس السريان

5.	تحل هذه المتطلبات محل متطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي السعودي المُبلغة بموجب التعميم رقم 1994/67 وتاريخ 1441/1/10هـ.
6.	يعمل بهذه المتطلبات اعتباراً من تاريخه.

ملحق (1): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في البنوك العاملة في المملكة

تم تعديل هذا الملحق بموجب التعميم رقم (4919/67) وتاريخ 1441/01/25هـ والتعميم رقم (42080755) وتاريخ 1442/11/19هـ.

• مجلس الإدارة:

1.	عضو مجلس الإدارة (بما في ذلك رئيس المجلس ونائبه).
2.	رؤساء وأعضاء اللجان المنبثقة من مجلس الإدارة.

• الإدارة العليا

الأشخاص الآتي بيانهم أو من في حكمهم:
1.	الرئيس التنفيذي/العضو المنتدب/ المدير العام (ونائبه).
2.	مدير المالية.
3.	مدير المخاطر.
4.	مدير المراجعة الداخلية.
5.	مدير الالتزام.
6.	مدير العناية بالعملاء.
7.	مدير مكافحة غسل الأموال وتمويل الإرهاب.
8.	مدير مكافحة الجرائم المالية.
9.	مدير مكافحة الاحتيال.
10.	مدير الائتمان.
11.	مدير العمليات.
12.	مدير القانونية.
13.	مدير الحوكمة / أمين سر مجلس الإدارة.
14.	مدير أمن المعلومات/ مدير الأمن السيبراني.
15.	مدير تقنية المعلومات.
16.	مدير الخزينة.
17.	مدير الموارد البشرية.
18.	مدير مصرفية الأفراد.
19.	مدير مصرفية الشركات.
20.	مدير الأصول والخصوم بالخزينة أو المسؤول الأول عن تحديد سعر الإقراض ما بين البنوك (SAIBOR) للبنوك المحلية.
21.	مدير الإدارة المعنية بتوفير المعلومات أو تنفيذ ما يصدر ضد العملاء من قرارات ترد من خلال البنك المركزي (إدارة التنفيذ المالي).
22.	أي منصب تنفيذي يرتبط مباشرة بالرئيس التنفيذي/العضو المنتدب/المدير العام ويشغله غير سعودي.

ملحق (2): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقةفي شركات المعلومات الائتمانية العاملة في المملكة

• مجلس الإدارة:

1.	عضو مجلس الإدارة (بما في ذلك رئيس المجلس ونائبه).
2.	رؤساء وأعضاء اللجان المنبثقة من مجلس الإدارة.

• الادارة العليا:

الأشخاص الآتي بيانهم أو من في حكمهم:
1.	الرئيس التنفيذي/العضو المنتدب/المدير العام (ونائبه).
2.	مدير تقنية المعلومات.
3.	مدير أمن المعلومات/ مدير الأمن السيبراني.
4.	مدير العمليات.
5.	مدير المراجعة الداخلية.
6.	مدير القانونية.
7.	مدير الحوكمة / أمين سر مجلس الإدارة.
8.	مدير الالتزام.
9.	مدير المخاطر.

ملحق (3): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في قطاع التأمين

أولاً: المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في شركات التأمين و/أو إعادة التأمين:

• مجلس الإدارة:

1.	عضو مجلس الإدارة (بما في ذلك رئيس المجلس ونائبه).
2.	رؤساء وأعضاء اللجان المنبثقة من مجلس الإدارة.
3.	سكرتير اللجان المنبثقة عن المجلس.

• الادارة العليا:

الأشخاص الآتي بيانهم أو من في حكمهم:
1.	الرئيس التنفيذي/العضو المنتدب/المدير العام (ونائبه).
2.	مدير المالية.
3.	مدير العمليات.
4.	مدير المخاطر.
5.	مدير الاستثمار.
6.	مدير المراجعة الداخلية.
7.	مدير الالتزام.
8.	مدير مكافحة غسل الأموال وتمويل الإرهاب.
9.	مدير مكافحة الجرائم المالية.
10.	مدير مكافحة الاحتيال.
11.	مدير تقنية المعلومات.
12.	مدير أمن المعلومات/ مدير الأمن السيبراني.
13.	مدير الحوكمة/أمين سر مجلس الإدارة.
14.	مدير القانونية.
15.	الخبير الإكتوراي المعين.
16.	مدير الإكتوارية.
17.	مدير الموارد البشرية.
18.	مدراء الفروع الإقليمية.
19.	مدير المطالبات.
20.	مدير العناية بالعملاء.
21.	مدير إعادة التأمين.
22.	مدير التسويق.
23.	مدير المبيعات.
24.	مدير الاكتتاب.
25.	أي منصب يرتبط مباشرة بالرئيس التنفيذي/العضو المنتدب/المدير العام.

ثانياً: المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في شركات المهن الحرة المتعلقة بالتأمين

الأشخاص الآتي بيانهم أو من في حكمهم:

1.	عضو مجلس المديرين (بما في ذلك رئيس المجلس ونائبه).
2.	الرئيس التنفيذي/ المدير العام (ونائبه).
3.	مدير إعادة التأمين.
4.	المسؤولون عن الوظائف الإكتوارية.
4.	مسؤول الالتزام أو ضابط الاتصال.
5.	أي منصب في الإدارة العليا المحددة لشركات التأمين وإعادة التأمين ويشغله غير سعودي.
6.	أي منصب يرتبط مباشرة بالرئيس التنفيذي/المدير العام ويشغله غير سعودي.

ملحق (4): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في قطاع التمويل

أولاً: المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في شركات التمويل، وشركات إعادة التمويل العقاري العاملة في المملكة:

• مجلس الادارة:

1.	عضو مجلس الإدارة (بما في ذلك رئيس المجلس ونائبه).
2.	رؤساء وأعضاء اللجان المنبثقة من مجلس الإدارة.

• الادارة العليا:

1.	الرئيس التنفيذي/ العضو المنتدب/ المدير العام (ونائبه)
2.	المدير المالي.
3.	مدير المخاطر.
4.	مسؤول الالتزام.
5.	مدير الائتمان (في حال استقلاله عن مدير المخاطر).
6.	مدير المراجعة الداخلية.
7.	مدير العمليات (في حال إنشاء المنصب).
8.	مدير أمن المعلومات.
9.	مدير مكافحة غسل الأموال (في حال استقلاله عن مدير الالتزام).
10.	مدير تقنية المعلومات.
11.	أي منصب تنفيذي يرتبط مباشرة بالرئيس التنفيذي/ العضو المنتدب/ المدير العام ويشغله غير سعودي.

ثانيًا: المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في شركات التمويل متناهي الصغر، والتمويل الاستهلاكي المصغر، والتمويل الجماعي بالدين، وشركات تسجيل العقود العاملة في المملكة

• مجلس الادارة:

1.	عضو مجلس الإدارة (بما في ذلك رئيس المجلس ونائبه).
2.	رؤساء وأعضاء اللجان المنبثقة من مجلس الإدارة (لجنة المراجعة كحد أدنى).

• الادارة العليا:

1.	الرئيس التنفيذي/ العضو المنتدب/ المدير العام (ونائبه)
2.	المدير المالي.
3.	مدير المخاطر.
4.	مسؤول الالتزام.
5.	مدير المراجعة الداخلية.
6.	مدير أمن المعلومات.
7.	مدير الائتمان (في حال استقلاله عن مدير المخاطر ويستثى من ذلك شركات تسجيل العقود)
8.	مدير تقنية المعلومات.
9.	أي منصب تنفيذي يرتبط مباشرة بالرئيس التنفيذي/ العضو المنتدب/ المدير العام ويشغله غير سعودي.

تابع ملحق (4)

ثالثًا: المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في الشركات المساندة لنشاط التمويل العاملة في المملكة

• مجلس الادارة:

1.	عضو مجلس الإدارة (بما في ذلك رئيس المجلس ونائبه).
2.	رؤساء وأعضاء اللجان المنبثقة من مجلس الإدارة (للشركات المساهمة).

• الادارة العليا:

1.	الرئيس التنفيذي/ العضو المنتدب/ المدير العام (ونائبه)
2.	المدير المالي.
3.	مدير المخاطر.
4.	مسؤول الالتزام.
5.	مدير التحصيل (إلزامي لشركات تحصيل الديون).
6.	مدير أمن المعلومات.
7.	مدير تقنية المعلومات (إلزامي لشركات الوساطة الرقمية).
8.	مدير المراجعة الداخلية.
9.	أي منصب تنفيذي يرتبط مباشرة بالرئيس التنفيذي/ العضو المنتدب/ المدير العام ويشغله غير سعودي.

ملحق (5): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقةفي مراكز الصرافة العاملة في المملكة

• مجلس الادارة:

1.	عضو مجلس الإدارة (بما في ذلك رئيس المجلس ونائبه).
2.	رؤساء وأعضاء اللجان المنبثقة من مجلس الإدارة.

• الإدارة العليا:

الأشخاص الآتي بيانهم أو من في حكمهم:
1.	الرئيس التنفيذي /العضو المنتدب /المدير العام (ونائبه).
2.	مدير الفرع.
3.	مدير المالية.
4.	مدير المخاطر.
5.	مدير المراجعة الداخلية.
6.	مدير الالتزام.
7.	مدير مكافحة غسل الأموال وتمويل الإرهاب.
8.	مدير القانونية.
9.	مدير الحوكمة/أمين سر مجلس الإدارة.
10.	مدير أمن المعلومات / مدير الأمن السيبراني.
11.	مدير تقنية المعلومات.
12.	مدير العمليات.
13.	أي منصب تنفيذي يرتبط مباشرة بالرئيس التنفيذي /العضو المنتدب /المدير العام ويشغله غير سعودي.

ملحق(6): المناصب القيادية التي تتطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة في شركات المدفوعات والتقنيات المالية العاملة في المملكة

• مجلس الإدارة:

1.	أعضاء مجلس الإدارة (بما في ذلك رئيس المجلس ونائبه).
2.	رؤساء وأعضاء اللجان المنبثقة من مجلس الإدارة.

• الإدارة العليا:

الأشخاص الآتى بيانهم أو من في حكمهم:
1.	الرئيس التنفيذي/العضو المنتدب/المدير العام (ونائبه).
2.	مدير المالية.
3.	مدير المخاطر.
4.	مدير المراجعة الداخلية.
5.	مدير الالتزام.
6.	مدير مكافحة غسل الأموال وتمويل الإرهاب.
7.	مدير الموارد البشرية.
8.	مدير الائتمان.
9.	مدير القانونية.
10.	مدير الحوكمة /أمين سر مجلس الإدارة.
11.	مدير أمن المعلومات / مدير الأمن السيبراني.
12.	مدير تقنية المعلومات.
13.	أي منصب تنفيذي يرتبط مباشرة بالرئيس التنفيذي /العضو المنتدب /المدير العام.

الملحق (أ): بيانات أعضاء مجلس الإدارة وشاغلي الإدارات العليا

بيانات أعضاء مجلس إدارة ( اسم المؤسسة المالية) للدورة الحالية التي تنتهي في......
م	الاسم	الجنسية	رقم الهوية/ الإقامة	صفة العضوية (تنفيذي —غيرتنفيذى- مستقل)	عدد الدورات	عضوية لجان	البريد الإلكتروني	رقم الهاتف	تحويله	الهاتف المحمول	ملاحظات
1

بيانات أعضاء مجلس إدارة ( اسم المؤسسة المالية) للدورة الحالية التي تنتهي في......
م	الاسم	الجنسية	رقم الهوية/ الإقامة	صفة العضوية (تنفيذي —غيرتنفيذى- مستقل)	عدد الدورات	تاريخ شغل العضوية	البريد الإلكتروني	رقم الهاتف	تحويله	الهاتف المحمول	ملاحظات
1

بيانات شاغلي الإدارات العليا لدى (اسم المؤسسة المالية)

الاسم

الجنسية

رقم الهوية/ الإقامة

الوظيفة

تعيين/تكليف

مده التعيين/التكليف

تاريخ شغل الوظيفة

تاريخ الانضمام للمؤسسة المالية

البريد الإلكتروني

رقم الهاتف

تحويلة

الهاتف المحمول

ملاحظات

المسمى

القطاع

الملحق (ب): المستندات اللازم تقديمها لطلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة للمناصب القيادية

ينبغي على المؤسسة المالية عند تقديم طلب الحصول على عدم ممانعة البنك المركزي الكتابية المسبقة للمناصب التي تتطلب ذلك تقديم الطلب عبر الآلية الواردة في الملحق (ج) من هذه المتطلبات مرفقاً معها المستندات الآتية:

م	المستندات	مرفق
م	المستندات	نعم	لا
1	نسخة ممسوحة ضوئياً بصيغة (pdf) من خطاب المؤسسة المالية يتم توقيعه من الرئيس التنفيذي أو رئيس مجلس الإدارة.
2	نسخة ممسوحة ضوئياً بصيغة (pdf) من نموذج الملاءمة بعد تعبئته واستيفاء كافة المتطلبات وتوقيعه من قبل الشخص المرشح للمنصب القيادي وتوقيع ومصادقة المؤسسة المالية عليه.
3	نسخة إلكترونية مطابقة من نموذج الملاءمة بعد استيفائه بصيغة (Word).
4	نسخة من نتائج تقييم الملاءمة التي أجرته المؤسسة المالية والمستندات ذات العلاقة بالتقييم.
5	نسخة من نتائج تقييم الملاءمة التي أجرته اللجان ذات العلاقة فى المؤسسة المالية لكل طلب ترشيح يخص مدير الالتزام - مدير المخاطر- مدير المراجعة الداخلية.
6	نسخه محدثه من السيرة الذاتية للمرشح.
7	نسخ من الشهادات الأكاديمية الرسمية التي تم التحقق منها
8	نسخة من جواز السفر والهوية الوطنية للسعوديين.
9	نسخة من جواز السفر وهوية مقيم لغير السعوديين.
10	الهيكل التنظيمي للمؤسسة المالية والمنصب المرشح له.
11	الوصف الوظيفي للمنصب.
12	خطة الإحلال للمرشحين غير السعوديين تتضمن ما ورد في المادة (٣) من هذه المتطلبات.
13	أي مستندات أخرى يراها البنك المركزي ضرورية.

الملحق (ج): إجراءات طلبات الحصول على عدم ممانعة البنك المركزي الكتابية على التعيين في المناصب القيادية

1.	ترسل المؤسسات المالية طلبات الحصول على عدم ممانعة البنك المركزي على الترشيح أو التعيين أوالتكليف أو تمديد التكليف في المناصب القيادية إلى العناوين الآتية:

م	القطاع	البريد الالكتروني
أ	البنوك والمصارف وشركات المعلومات الائتمانية	FPBANKING@SAMA.GOV.SA
ب	شركات التأمين و/أو إعادة التأمين وشركات المهن الحرة المتعلقة بالتأمين	IC.Fit@SAMA.GOV.SA
ج	شركات التمويل وشركات إعادة التمويل العقاري وشركات تسجيل العقود	FPFINANCE@SAMA.GOV.SA
د	مراكز الصرافة	MoneyExchLic@SAMA.GOV.SA
ه	شركات المدفوعات والتقنيات المالية	FPPayments@SAMA.GOV.SA

2.	يرفق مع طلب عدم الممانعة نسخ إلكترونية من المستندات والوثائق الواردة في الملحق (ب).

نموذج الملاءمة
الرقم: 199400000067 التاريخ (م): 2019/9/9 | التاريخ (هـ): 1441/1/10 الحالة:نافذ
لتحميل نسخة word من النموذج، الرجاء الضغط هنا.
لتحميل نسخة PDF من النموذج، الرجاء الضغط هنا.

تعليمات

يقصد بالألفاظ والعبارات الآتية، أينما وردت في هذا النموذج، المعاني المبينة أمام كل منها، ما لم يقتض السياق خلاف ذلك:

المملكة: المملكة العربية السعودية.

البنك المركزي: البنك المركزي السعودي*.
المؤسسة المالية: المؤسسة المالية الموضح اسمها في النموذج والتي يتبع لها المنصب المقترح.
المرشح: الشخص الموضح اسمه في النموذج، والمرشح للمنصب المقترح في المؤسسة المالية
المنصب المقترح: المنصب القيادي في المؤسسة المالية وفق التعريف الوارد في متطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي (الإصدار الثاني 2019م).
النموذج: نموذج الملاءمة.

الأنظمة واللوائح والسياسات والتعليمات ذات العلاقة:

الأنظمة واللوائح والقواعد والسياسات والتعليمات التي تخضع لها المؤسسة المالية و/أو المنصب المقترح، بحسب الحال، وتشمل على سبيل المثال وليس الحصر الآتي:

-	نظام مراقبة البنوك والقواعد والتعليمات ذات العلاقة، إذا كانت المؤسسة المالية بنكاً أو فرعاً لبنك أجنبي.
-	نظام مراقبة شركات التأمين التعاوني، ولائحته التنفيذية، واللوائح والقواعد والتعليمات ذات العلاقة، إذا كانت المؤسسة المالية شركة تأمين و/أو إعادة تأمين أو شركة من شركات المهن الحرة المتعلقة بالتأمين.
-	نظام مراقبة شركات التمويل، ولائحته التنفيذية، والقواعد والتعليمات ذات العلاقة، إذا كانت المؤسسة المالية شركة تمويل.
-	القواعد المنظمة لمزاولة أعمال الصرافة، والتعليمات والتعاميم ذات العلاقة، إذا كانت المؤسسة المالية مركز صرافة.
-	نظام المعلومات الائتمانية ولائحته التنفيذية، إذا كانت المؤسسة المالية شركة معلومات ائتمانية.
	طرف ذو صلة:
-	الآباء، والأمهات، والأجداد، والجدات.
-	الأولاد، وأولادهم.
-	الإخوة والأخوات الأشقاء، أو لأب، أو لأم.
-	الأزواج والزوجات.
-	أي شخص لديه علاقة مع المرشح من شأنها التأثير على استقلاليته.

يجب أن تكون المعلومات المقدمة من قبل المرشح في النموذج صحيحة ودقيقة وكاملة وخالية من أي معلومات زائفة أو خاطئة أو مظللة وألّا تُخفى أي معلومة جوهرية، على أن يتم التوقيع والمصادقة على النموذج وفقاً لما ورد فيه، مع الإشارة إلى أن للبنك المركزي استبعاد أي ترشيح يخالف ذلك دون أدنى مسؤولية ودون إخلال بأحكام الأنظمة ذات العلاقة.

يجب أن تقترن قراءة هذا النموذج مع متطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي (الإصدار الثاني 2019م).

يجب على المؤسسة المالية شرح النموذج للمرشحين والتحقق من اكتماله وصحة ما ورد فيه، وعليها الإفصاح للبنك المركزي كتابياً عن أي معلومات تتبين لها وتكون ذات علاقة بملاءمة المرشح وأي تغيرات يكون من شأنها التأثير على صحة وسلامة ودقة واكتمال الإجابات المقدمة في النموذج وذلك خلال مدة لا تزيد عن (5) أيام عمل من تاريخ الحصول على تلك المعلومات أو من حدوث التغيّر.

يجب على المؤسسة المالية تقديم جميع المستندات الواردة في الملحق (ب) المرفقة بمتطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي (الإصدار الثاني 2019م).

في حال عدم كفاية المساحة المخصصة للإجابة على أحد الأسئلة، فينبغي إرفاق الإجابة في ورقة خارجية مع تحديد رقم السؤال ونصه وتوقيع الورقة المرفقة من المرشح.

يحظر تعديل هذا النموذج بأي شكل من الأشكال.

1. معلومات المرشح

الاسم الكامل وفقاً للهوية الرسمية
أي أسماء أخرى سابقة أو يُعرف بها المرشح
الجنسية أو الجنسيات
رقم الهوية الوطنية /هوية مقيم
رقم جواز السفر
تاريخ الميلاد
مدينة ودولة الميلاد
عنوان الإقامة الحالي
عنوان الإقامة الدائم (إذا اختلف عن عنوان الإقامة الحالي)
رقم الهاتف الجوال
رقم هاتف بديل
البريد الإلكتروني
العنوان الوطني
هل أنت مقيم في المملكة بصفة دائمة؟	⬜ نعم	⬜ لا

2. معلومات المنصب المقترح

المنصب المقترح (حدد الخيار بوضع علامةX بجانبه)	⬜رئيس مجلس الإدارة.
	⬜ نائب رئيس مجلس الإدارة.
	⬜ عضو مجلس الإدارة.
	⬜ عضو في إحدى اللجان المنبثقة من مجلس الإدارة، اذكر اسم اللجنة والمنصب:
	⬜ عضو في الإدارة العليا، اذكر اسم المنصب:
اسم المؤسسة المالية
نوع المؤسسة المالية (حدد الخيار بوضع علامة X بجانبه)	⬜ بنك . .
	⬜ شركة تأمين و/أو إعادة تأمين، أو شركة من شركات المهن الحرة المتعلقة بالتأمين.
	⬜ شركة تمويل أو إعادة تمويل، أو شركة مساندة لنشاط التمويل، أو شركة تسجيل العقود.
	⬜ مركز صرافة.
	⬜ شركة معلومات ائتمانية.
	⬜ شركة مدفوعات وتقنيات مالية.
	⬜ غير ذلك، اذكر:

3. اذكر تفاصيل جميع المؤهلات العلمية المعتمدة التي حصلت عليها.

الدرجة العلمية	التخصص	الجهة والدولة	سنة الحصول على الدرجة

4. اذكر تفاصيل جميع المؤهلات المهنية المعتمدة التي حصلت عليها.

المؤهل المهني	التخصص	الجهة والدولة	سنة الحصول على المؤهل

5. اذكر المناصب التي تشغلها حالياً، وكذلك التي سبق أن شغلتها خلال السنوات العشر الماضية (عضو مجلس إدارة أو مديراً أو أي منصب آخر وفق ما ورد في السيرة الذاتية).

اسم الجهة	المنصب	تاريخ البداية	تاريخ النهاية	أسباب ترك المنصب

6. اذكر جميع الشركات التي تملك فيها حصصاً بشكل مباشر أو غير مباشر

اسم الشركة	عنوان الشركة	طبيعة نشاط الشركة	نسبة الملكية

7. اذكر تفاصيل الأسهم التي تملكها في المؤسسة المالية باسمك أو باسم طرف ذو صلة بك.

الاسم المسجلة به الأسهم	الصلة	عدد الأسهم	نسبة الملكية

8. اذكر تفاصيل الأسهم (غير المملوكة لك أو لطرف ذو صلة بك) في المؤسسة المالية والتي تعود منفعتها الاقتصادية لك أو لطرف ذو صلة بك.

الاسم المسجلة به الأسهم	عدد الأسهم	نسبة الملكية

9. هل أنت وكيل أو وصي لأي طرف ذو صلة بك في أي أسهم في المؤسسة المالية ؟

⬜ نعم	⬜ لا
إذا كانت الإجابة بنعم، اذكر التفاصيل:

10. هل أي من الأسهم المذكورة في إجابة الأسئلة (7) و(8) و(9) تعود لحساب طرف ما أو مرهونة قانونياً؟

⬜ نعم	⬜ لا
إذا كانت الإجابة بنعم، اذكر التفاصيل:

11.هل أنت مساهم أو عضو مجلس إدارة أو عضو في أحد اللجان المنبثقة من مجلس الإدارة أو مدير في شركة مرخص لها أو طلبت ترخيصاً لممارسة نشاط يخضع لإشراف البنك المركزي أو هيئة السوق المالية ؟

⬜ نعم	⬜ لا
إذا كانت الإجابة بنعم، اذكر التفاصيل:

12.أجب على الأسئلة الآتية بوضع علامة (X) في خانة الإجابة التي يتم اختيارها.
		الإجابة
		نعم	لا
1	الأمانة والنزاهة والسمعة الحسنة
1.1	هل سبق أن حكم عليك بارتكاب أي جريمة، سواءً داخل المملكة أو خارجها؟	⬜	⬜
2.1	هل سبق لك، علناً أو بشكل سري، أن حُذرت أو وجه لك اللوم أو التأنيب، أو اُنتقدت علناً من قبل أي سلطة إشرافية أو هيئة مهنية أو جهة أخرى مماثلة، أو أُخذ عليك تعهد بعدم القيام بعمل معين، أو كنت طرفاً في دعوى قضائية بناءً على ادعاء من جهة إشرافيه أو هيئة مهنية أو جهة أخرى مماثلة، سواءً داخل المملكة أو خارجها؟	⬜	⬜
3.1	هل سبق أن منعت من حق ممارسة تجارة أو عمل تجاري أو نشاط مالي أو مهنة تتطلب ترخيصاً أو تسجيلاً أو تفويضاً أو قُيدت ممارستك لذلك الحق، سواءً داخل المملكة أو خارجها؟	⬜	⬜
4.1	هل سبق أن كنت مساهم أو عضو مجلس إدارة أو مدير في منشأة منعت من حق ممارسة تجارة أو عمل تجاري أو نشاط مالي أو مهنة تتطلب ترخيصاً أو تسجيلاً أو تفويضاً أو قُيدت ممارستها لذلك الحق، أو في منشأة رفض أو أوقف أو أُنهي أو سُحب أو أُلغي ترخيصها أو تسجيلها أو تفويضها من قبل جهة إشرافية أو هيئة مهنية أو جهة أخرى مماثلة، سواءً داخل المملكة أو خارجها؟	⬜	⬜
5.1	هل سبق أن قدمت معلومات خاطئة أو مضللة للبنك المركزي أو أي جهة إشرافية أو حكومية أخرى داخل المملكة أو خارجها، أو أن أبديت عدم تعاون في أي تعامل مع البنك المركزي أو أي جهة إشرافية أو حكومية سواءً داخل المملكة أو خارجها؟	⬜	⬜
6.1	هل سبق أن وجه لك اللوم أو الاتهام في شأن جريمة جنائية، أو أدنت بارتكاب جريمة جنائية، أو سبق أن خضعت لأي تحقيق جنائي أو إجراءات تأديبية، سواءً داخل المملكة أو خارجها؟	⬜	⬜
7.1	هل سبق أن تعرضت لاستجواب أو تحقيق أو إجراء تأديبي من قبل أي جهة إدارية، حكومية أو غير حكومية، سواءً داخل المملكة أو خارجها؟	⬜	⬜
8.1	هل سبق أن أدنت بمخالفة نظام مراقبة البنوك، أو نظام السوق المالية، أو نظام مراقبة شركات التأمين التعاوني، أو نظام مراقبة شركات التمويل، أو لوائحها، أو القواعد المنظمة لمزاولة أعمال الصرافة أو أي أنظمة أو لوائح أخرى، سواءً داخل المملكة أو خارجها؟	⬜	⬜
9.1	هل سبق أن أبديت عدم الاستعداد للامتثال لأي أنظمة أو لوائح أو تعليمات، أو سبق لك تقديم العون لأي شخص آخر في مخالفة أحكام أي أنظمة أو لوائح أو تعليمات بأي شكل من الأشكال أو تحريضه على مخالفتها، سواءً داخل المملكة أو خارجها؟	⬜	⬜
10.1	هل سبق أن أدنت بارتكاب جريمة مخلة بالشرف أو الأمانة أو مخالفة للأنظمة واللوائح والتعليمات، سواءً داخل المملكة أو خارجها؟	⬜	⬜
11.1	هل سبق أن أدنت بممارسة أي نشاطات غير مصرح أو غير مرخص بممارستها، أو تعرضت للتحقيق للاشتباه في ممارستك أي نشاطات غير مصرح أو غير مرخص بها، سواءً داخل المملكة أو خارجها؟	⬜	⬜
12.1	هل سبق أن صدر بحقك حكم قضائي أو قرار تسوية مرتبطة بالأعمال التجارية أو الاستثمار أو الأعمال المالية الأخرى أو سوء سلوك أو اختلاس أموال، سواءً داخل المملكة أو خارجها؟	⬜	⬜
13.1	هل سبق أن كنت مرتبطاً بأي نشاط غير قانوني متعلق بالأعمال المصرفية، أو تلقي الودائع، أو أي تعاملات مالية أو تجارية أخرى، سواءً داخل المملكة أو خارجها؟	⬜	⬜
14.1	هل سبق أن استقلت من وظيفة أو منصب أثناء خضوعك للتحقيق، سواءً داخل المملكة أو خارجها؟	⬜	⬜
15.1	هل سبق أن صدر في حقك حكم قضائي من المحاكم العامة أو ديوان المظالم، أو قرار من لجنة الفصل في مخالفات أحكام نظام مراقبة البنوك أو لجنة المنازعات المصرفية، أو أحد لجان الفصل في المنازعات والمخالفات التأمينية، أو لجنة الفصل في المخالفات والمنازعات التمويلية، أو لجنة الفصل في منازعات الأوراق المالية، أو أي لجان قضائية أو شبه قضائية أخرى، سواءً داخل المملكة أو خارجها؟	⬜	⬜
16.1	هل أنت على علم بأي إجراءات قائمة قد تؤدي إلى ظروف أو وقائع من شأنها تغيير أي من إجاباتك على أي من الأسئلة السابقة أو أن لدى أي شخص نية للبدء بإجراءات مماثلة، سواءً داخل المملكة أو خارجها؟	⬜	⬜
2	القدرة والكفاءة
1.2	هل سبق لأي جهة إشرافية أو هيئة مهنية أو جهة أخرى مماثلة أن اعترضت أو لم توافق على تعيينك في أي وظيفة أو منصب، سواءً داخل المملكة أو خارجها؟	⬜	⬜
2.2	هل سبق أن جُردت من أهلية العمل كمدير أو جُردت من أهليتك للعمل بصفة إدارية، أو نُحيت من العمل كمدير أو العمل بصفة إدارية، سواءً داخل المملكة أو خارجها؟	⬜	⬜
3.2	هل سبق أن فُصلت أو عُزلت أو طلب منك الاستقالة من وظيفة أو منصب أو من مهام أو بصفتك وكيل أو وصي، سواءً داخل المملكة أو خارجها؟	⬜	⬜
4.2	هل ينقصك أي من المؤهلات العلمية والخبرة العملية والمهارات والمعرفة اللازمة للقيام بمهامك في المنصب المقترح على أكمل وجه؟	⬜	⬜
5.2	هل هنالك ما يمكن أن يؤثر سلباً على التزامك بتوفير الوقت والجهد اللازم لتأدية دورك في المنصب المقترح بشكل فعال؟	⬜	⬜
3	الملاءة المالية
1.3	هل سبق أن عجزت عن الوفاء بالتزاماتك المالية، بما في ذلك القروض والتسهيلات الائتمانية، تجاه البنوك أو شركات التمويل، حال استحقاقها، سواءً داخل المملكة أو خارجها؟	⬜	⬜
2.3	هل سبق أن تلقيت إعفاءات أو معاملة تفضيلية من دائنيك، أو دخلت في مصالحة أو ترتيبات معينة مع دائنيك لتسوية التزاماتك المالية، سواءً داخل المملكة أو خارجها؟	⬜	⬜
3.3	هل سبق أن عجزت عن الوفاء بدين مستحق وواجب الدفع بموجب حكم صادر من محكمة أو قرار صادر من لجنة قضائية مختصة سواء داخل المملكة أو خارجها أو سبق أن أبرمت أي ترتيب مصالحة أو تسوية مع دائنيك؟	⬜	⬜
4.3	هل سبق أن تقدمت بطلب إعلان إفلاسك أو قُدم في حقك طلب إفلاس أو حُكم عليك بالإفلاس أو دخلت في أي تسوية مع الدائنين أو خضعت لأي إجراءات مشابهة، سواءً داخل المملكة أو خارجها؟	⬜	⬜
5.3	هل سبق أن كنت مساهم أو عضو مجلس إدارة أو مدير في منشأة تعرضت للإفلاس أو التصفية أو الوضع تحت التصفية أو الوضع تحت الوصاية في الوقت الذي كانت لك علاقة بهذه المنشأة أو خلال عام واحد من انتهاء تلك العلاقة، سواءً داخل المملكة أو خارجها؟	⬜	⬜
4.	الاستقلالية
1.4	هل كان ترشيحك للمنصب المقترح في المؤسسة المالية بناءً على توجيه أو تعليمات أو توصية من شخص أو منشأة معينة؟	⬜	⬜
2.4	هل ستعمل وفق توجيه أو تعليمات أي شخص أو منشأة خلال قيامك بمهامك في المنصب المقترح؟	⬜	⬜
3.4	هل يُعد أي من المساهمين أو أعضاء مجلس الادارة أو المدراء التنفيذيين للمؤسسة المالية أو شركاتها التابعة طرف ذو صلة بك؟	⬜	⬜
4.4	هل سوف ترتبط بأي علاقة خلاف المنصب المقترح مع المؤسسة المالية (مثل المساهمة في ملكية المؤسسة المالية، أو المشاركة في عضوية مجلس إدارتها أو إدارتها العليا أو أي علاقة تجارية أو مالية أخرى)؟	⬜	⬜
5.4	هل سبق أن عملت، في أي وقت من الأوقات، في مراقبة المؤسسة المالية أو مراجعة حساباتها أو تقديم الاستشارات أو أي خدمات أخرى لها، سواءً بصفتك الشخصية أو من خلال كيان تملك فيه أو تشارك في عضوية مجلس إدارته أو تعمل مديراً فيه؟	⬜	⬜
6.4	هل لدى أي من الشركات أو المؤسسات التي تساهم في ملكيتها أو تشارك في عضوية مجلس إدارتها أو تتولى منصب مدير فيها أي نشاط تجاري أو مالي أو علاقة تعاقدية بأي شكل من الأشكال مع المؤسسة المالية؟	⬜	⬜
7.4	هل أنت مساهم أو عضو مجلس إدارة أو مدير في مؤسسة تمارس نشاط مماثل أو مشابه لنشاط المؤسسة المالية في المملكة؟	⬜	⬜
8.4	هل لديك أي علاقة ائتمانية مع المؤسسة المالية باسمك أو طرف ذو صلة بك تزيد عن المبلغ المنصوص عليه في لائحة حوكمة المؤسسة المالية؟	⬜	⬜
9.4	هل أنت على علم بأي مصالح تجارية أو مالية أو التزامات وظيفية أو أي ظروف أخرى قد تؤدي إلى تعارض في المصالح أو يمكن أن تؤثر بأي شكل كان على استقلاليتك وقدرتك على أداء واجباتك في المنصب المقترح؟	⬜	⬜

إذا كانت إجابتك على أي من الأسئلة السابقة بـ "نعم"، فيجب إدراج إجابة تفصيلية مع بيان رقم السؤال لجميع الأسئلة التي أجبت عليها بـ "نعم" في البيان الآتي:

الرقم	الإجابات التفصيلية

ملحوظة: في حال عدم كفاية المساحة المخصصة للإجابة على أحد الأسئلة، فينبغي إرفاق الإجابة في ورقة خارجية مع تحديد رقم السؤال ونصه وتوقيع الورقة المرافقة من الشخص المرشح.

13. هل هناك أي معلومات جوهرية لم يشتمل عليها هذا النموذج ويمكن أن تؤثر على قرار البنك المركزي في شأن عدم الممانعة على توليك المنصب المقترح في المؤسسة المالية؟

⬜ نعم	⬜ لا
إذا كانت الإجابة بنعم، اذكر التفاصيل:

* حل اسم "البنك المركزي السعودي" محل اسم "مؤسسة النقد العربي السعودي" بموجب نظام البنك المركزي السعودي رقم(م/36) بتاريخ 1442/4/11هـ

إقرار وتعهد
أُقرّ بموجب هذا أنني قرأت جميع الأنظمة واللوائح والسياسات والتعليمات ذات العلاقة، وأعلم أن تقديم أي معلومات أو وثائق غير صحيحة أو مضللة للبنك المركزي أو لأي جهة أو لأي شخص طبيعي أو اعتباري حول ممارسة الأعمال المالية أو التجارية في المملكة، سواءً أكان ذلك عن علم أو عدم مبالاة أو تقصير، يعتبر مخالفة تستوجب العقوبة بموجب أحكام الأنظمة واللوائح ذات العلاقة.
وأُقرّ أيضاً أن إجاباتي على هذا النموذج هي إجابات كاملة وصحيحة ودقيقة وتتفق مع أحكام الأنظمة واللوائح والسياسات والتعليمات المعمول بها في المملكة، ولا توجد أي معلومات أخرى جوهرية وذات علاقة لم يتم الإفصاح عنها في هذا النموذج ومرفقاته. كما أقرّ أنني سوف أقوم بتزويد البنك المركزي بأي معلومات أو مستندات تراها ضرورية للتحقق من صحة المعلومات المقدمة في هذا النموذج خلال المدة التي يحددها البنك المركزي أو بحد أقصى (10) أيام عمل من تاريخ طلب تلك المعلومات أو المستندات.
وأُقرّ وأوافق أن للبنك المركزي طلب أي معلومات أو مستندات إضافية من أطراف أخرى وفق ما تراه مناسباً لتقييم صحة المعلومات المقدمة في هذا النموذج وتقييم ملاءمة المرشح للمنصب المقترح.
وأُقرّ أنني، طيلة استمراري في المنصب المقترح، سوف أقوم بإخطار البنك المركزي بأي معلومات أو تغيُرات من شأنها أن تؤثر على دقة وكفاية واكتمال إجاباتي على هذا النموذج وذلك خلال مدة أقصاها (5) أيام عمل من حصولي على تلك المعلومات أو من حدوث التغيّر، وفي حالة مخالفتي لذلك فإن للبنك المركزي إلغاء عدم الممانعة في حال صدورها وأنني سأكون عرضة للعقوبات المقررة.
اسم المرشح

المنصب المقترح

التوقيع

التاريخ

مصادقة المؤسسة المالية
بالمصادقة على هذا النموذج، تؤكد المؤسسة المالية ملاءمة المرشح الموقع على هذا النموذج للمنصب المقترح وفق متطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي وسياسات وإجراءات المؤسسة المالية الخاصة بملاءمة الأشخاص، كما تم التأكد من المعلومات المقدمة من المرشح في هذا النموذج.
بالتوقيع على هذا النموذج نيابةً عن المؤسسة المالية أؤكد أنني قرأت هذا النموذج بعناية بعد إكماله وتوقيعه من المرشح، وتم التأكد من الشهادات والمؤهلات العلمية والمهنية والخبرات العملية وأن جميع المعلومات الواردة في هذا النموذج صحيحة.
اسم المؤسسة المالية

اسم المسئول

المنصب

التوقيع

التاريخ

ختم المؤسسة المالية

حماية العملاء والسلوك المالي

مبادئ وقواعد حماية عملاء المؤسسات المالية
الرقم: 44006639 التاريخ (م): 2022/8/23 | التاريخ (هـ): 1444/1/26 الحالة:نافذ
استناداً الى نظام البنك المركزي السعودي الصادر بموجب المرسوم الملكي رقم (م/36) وتاريخ 1442/04/11هـ، وأشارة الى تعميم البنك المركزي رقم (341000095960) وتاريخ 1434/08/03هـ المرافق طيه مبادئ حماية عملاء المصارف. والى تعميم البنك المركزي رقم (351000109203) وتاريخ 1435/08/21هـ المرافق طيه مبادئ حماية عملاء شركات التأمين، والى تعميم البنك المركزي رقم (361000110320) وتاريخ 1436/08/14هـ المرافق طيه مبادئ حماية عملاء شركات التمويل، وحرصاً من البنك المركزي على حماية عملاء المؤسسات المالية الخاضعة لإشراف البنك والتأكد من حصولهم على معاملة عادلة من خلال تطوير السياسات والتعليمات المتعلقة بحماية العملاء.
تجدون بطيه مبادئ وقواعد حماية عملاء المؤسسات المالية. ويؤكد البنك المركزي على المؤسسات المالية التقيد التام بما ورد في هذه المبادئ والقواعد. علماً أن هذه المبادئ والقواعد تحل محل مبادئ حماية العملاء الصادرة من البنك المركزي مسبقاً.
للإحاطة والعمل بموجبه اعتباراً من تاريخه.

القسم الأول: المقدّمة والغرض والتعاريف

المقدمة
يعدّ البنك المركزي الجهة التي تراقب وتشرف على المؤسسات المالية المرخّص لها من قبله، وله في ذلك صلاحيات تنظيمية بما يشمل تأطير وتنظيم ما يتصل بحقوق عملاء تلك المؤسسات المالية، وذلك استناداً إلى نظام البنك المركزي السعودي الصادر بموجب المرسوم الملكي رقم م/36 وتاريخ 1442/04/11هـ وتعديلاته وما تضمنته المادة (الرابعة) منه والتي نصّت على أنه "يؤدي البنك مهماته وفقاً لأحكام النظام، وما يصدره المجلس من لوائح وسياسات، ووفق أفضل المعايير والممارسات الدولية، وله جميع الصلاحيات اللازمة لتحقيق أهدافه، وله – في سبيل ذلك – ممارسة المهمات والصلاحيات والاختصاصات الآتية: 9- وضع التعليمات والإجراءات الكفيلة بحماية عملاء المؤسسات المالية". بالإضافة إلى نظام مراقبة البنوك الصادر بالمرسوم الملكي م/5 وتاريخ 1386/2/22هـ وتعديلاته، والذي أعطى البنك المركزي الصلاحية لتحديد الإجراءات والشروط التي يجب على البنك اتباعها عند تعامله مع العملاء، بالإضافة إلى ما تضمنه نظام مراقبة شركات التأمين التعاوني الصادر بالمرسوم الملكي رقم م/32 وتاريخ 1424/6/2هـ وتعديلاته بشأن اختصاصات البنك المركزي وذلك وضع القواعد والضوابط التي تكفل حقوق المستفيدين، كما تضمن نظام مراقبة شركات التمويل الصادر بالمرسوم الملكي رقم م/51 وتاريخ 1433/8/13هـ وتعديلاته ولائحته الضوابط اللازمة لحماية التعاملات وعدالتها وكذلك حقوق المستهلكين، علاوةً على ما جاء في نظام المعلومات الائتمانية الصادر بالمرسوم الملكي م/37 وتاريخ 1429/7/5هـ ولائحته والتي نظمت حقوق المستهلك في قطاع المعلومات الائتمانية ، وأخيراً نظام المدفوعات وخدماتها الصادر بالمرسوم الملكي م/26 وتاريخ 1443/3/22هـ والذي من أهدافه تعزيز حماية حقوق الأطراف الذي تعاملون مع نظم المدفوعات ومقدمي خدمات المدفوعات.

الغرض

1-	ترسيخ مبدأ حماية عملاء المؤسسات المالية ومواكبةً للتعليمات الصادرة دولياً لحماية عملاء المؤسسات المالية “HIGH – LEVEL PRINCIPLES ON FINANCIAL CONSUMER PROTECTION”.
2-	ضمان حصول العملاء الذين يتعاملون مع المؤسسات المالية الخاضعة لإشراف البنك المركزي على معاملة عادلة بشفافية وصدق وأمانة.
3-	حصول العملاء على الخدمات والمنتجات بكل يسر وسهولة وبتكلفة مناسبة وجودة عالية.

التعاريف

يُقصد بالألفاظ والعبارات الواردة في هذه المبادئ والقواعد المعاني المبيّنة أمام كل منها، ما لم يقتضِ السياق خلاف ذلك:

المملكة	المملكة العربية السعودية.
البنك المركزي	البنك المركزي السعودي*.
المؤسسة المالية	الجهة الخاضعة لإشراف ورقابة البنك المركزي طبقاً للأنظمة السارية.
البنك	أي شخص طبيعي أو اعتباري يزاول في المملكة أي عمل من الأعمال المصرفية بصفة أساسية المرخص له وفقاً لأحكام لنظام مراقبة البنوك.
شركة التمويل	الشركة المساهمة الحاصلة على ترخيص لممارسة نشاط التمويل وفقاً لنظام مراقبة شركات التمويل.
شركة التأمين	الشركة المساهمة التي تزاول التأمين أو إعادة التأمين أو كليهما وفقاً لنظام مراقبة شركات التأمين.
شركات المدفوعات	شركات خدمات المدفوعات المرخصة من البنك المركزي وفقاً لنظام المدفوعات وخدماتها.
منفذي الحوالات المالية	المؤسسة المالية التي تقدم خدمة تحويل الأموال وفق ترخيصها الصادر عن البنك المركزي.
مصدري بطاقات الائتمان والحسم الشهري	المؤسسة المالية المرخص لها في المملكة بإصدار بطاقات الائتمان والحسم الشهري.
شركات المعلومات الائتمانية	الشركات المرخص لها بجمع المعلومات الائتمانية عن المستهلكين وحفظها، وتزويد الأعضاء بتلك المعلومات عند طلبها وفقاً لنظام المعلومات الائتمانية.
السجل الائتماني	تقرير تصدره شركات المعلومات الائتمانية يحتوي على معلومات ائتمانية عن العميل.
تضارب المصالح	الموقف الذي تتأثر فيه موضوعية واستقلالية المؤسسة المالية أو أي من منسوبيها أثناء أداء المهام سعياً لمصالح خاصة بها أو بأحد منسوبيها والتي تخل بالعدل والإنصاف والنزاهة والمسؤولية تجاه العملاء.
العميل	الشخص ذو الصفة الطبيعية الموجه له الخدمات والمنتجات أو الحاصل عليها من المؤسسات المالية المُرخصة.
الشكوى	كل تعبير عن عدم الرضا ذي علاقة بالخدمة المقدمة، سواء كان مبرر أو غير مبرر، كتابةً أو شفاهه.
معالجة الشكوى	وصول المؤسسة المالية إلى نتيجة نهائية بشأن شكوى العميل من خلال اتباع التدابير والإجراءات اللازمة لمعالجة الشكوى بشكل عادل وفعّال خلال المدة الزمنية المحددة.
الاستفسار	استعلام العميل عن الخدمات أو المنتجات المقدمة من المؤسسات المالية.
الطلب	طلب مقدم من العميل للحصول على منتج أو خدمة تُقدم من المؤسسة المالية.
خطاب مخالصة	إفادة رسمية تصدر عن المؤسسة المالية تؤكد فيها على عدم وجود التزامات مالية على العميل تجاه منتج أو خدمة سبق وأن حصل عليها العميل.
الموظفين	الأشخاص المعنيين بتقديم الخدمات والمنتجات المقدمة من المؤسسة المالية، ويشمل ذلك كافة الموظفين المتعاقد معهم مباشرة أو المتعاقد معهم عن طريق الإسناد.
الخطأ	كل تصرف ينتج عنه مخالفة للسياسة الموثقة لإجراءات العمل يترتب عليه تبعات مالية و/أو مخالفة الحقوق النظامية أو التنظيمية لعميل واحد أو أكثر.
الإسناد	ترتيب يتم مع طرف ثالث تتعاقد معه المؤسسة المالية لتقديم خدمة نيابة عنها.
القنوات الموثقة	وسيلة تواصل موثقة يمكن التحقق منها وقابلة للاسترجاع بشكل ورقي أو إلكتروني.
يوم	يوم تقويمي ويشمل إجازة نهاية الأسبوع والعطل الرسمية.
يوم عمل	يوم تقويمي لا يشمل إجازة نهاية الأسبوع والعطل الرسمية.
الطرف الثالث	كيان مُسند إليه نشاط لتأديته نيابة عن المؤسسة المالية.

القسم الثاني: مبادئ حماية العملاء
تُعتبر هذه المبادئ الإطار العام لحماية عملاء المؤسسات المالية والذي يجب على المؤسسات المالية مراعاتها في كافة تعاملاتها مع العملاء، وهي على النحو الآتي:

المبدأ الأول: المعاملة بعدل وإنصاف
يجب على المؤسسة المالية التعامل بعدل وأمانة وإنصاف مع العملاء في جميع مراحل العلاقة بينهما، بحيث يكون ذلك جزءاً لا يتجزأ من ثقافة المؤسسة المالية، كما يجب بذل العناية والاهتمام الخاص للعملاء محدودي الدخل والتعليم وكبار السن والأشخاص ذوي الإعاقة من الجنسين.

المبدأ الثاني: الإفصاح والشفافية
على المؤسسة المالية التأكد من وضوح وسهولة فهم معلومات الخدمات والمنتجات المُقدمة للعملاء، بحيث تكون مُحدثة وواضحة ومُختصرة ودقيقة وغير مُضللة، ويمكن الوصول لها دون عناء خصوصاً شروطها وميزاتها الرئيسة، كما يجب أن تشمل إيضاح حقوق ومسؤوليات كل طرف وتفاصيل الأسعار والعمولات التي تتقاضاها المؤسسة المالية والضرائب المترتبة عليها والاستثناءات والغرامات وأنواع المخاطر والمنافع الرئيسية وآلية إنهاء العلاقة وما يترتب عليها، إضافةً إلى توفير معلومات عن المنتجات والخدمات البديلة المقدمة من المؤسسة المالية.

المبدأ الثالث: التثقيف والتوعية
يتعين على المؤسسة المالية وضع برامج وآليات مناسبة لتطوير معارف ومهارات العملاء ورفع مستوى الوعي والإرشاد لديهم وتمكينهم من فهم المخاطر الأساسية ومساعدتهم في اتخاذ قرارات مدروسة وفعّالة، ومساعدتهم في معرفة الجهة المُناسبة للحصول على المعلومات في حال حاجتهم لذلك.

المبدأ الرابع: سلوكيات وأخلاقيات العمل
يتوّجب على المؤسسة المالية العمل بطريقة مهنية عالية بما ينعكس على مصلحة العملاء وعلى امتداد العلاقة بينهما، حيث تُعتبر المؤسسة المالية المسؤول الأول عن حماية مصالح العملاء. كما يجب على المؤسسة المالية توفير الموارد البشرية اللازمة لتحقيق ما سبق وتنفيذ أعمالها وخدمة عملاءها في كافة مناطق المملكة المتواجدة بها وتوفير مراكز مناسبة لخدمة عملاءها والقنوات الموثقة للتواصل معهم.

المبدأ الخامس: الحماية ضد عمليات الاحتيال وسوء الاستخدام
يجب على المؤسسة المالية حماية أصول عملاءها من الاحتيال ووضع أنظمة تقنية ورقابية ذات مستوى عالي من الكفاءة والفعالية للحد من عمليات الاحتيال والاختلاس أو إساءة الاستخدام واكتشافها واتخاذ الاجراء اللازم حال وقوعها، وفقاً للأنظمة والتعليمات ذات العلاقة.

المبدأ السادس: حماية خصوصية المعلومات والبيانات
تلتزم المؤسسة المالية بوضع الآليات المناسبة وفقاً للأنظمة والتعليمات والسياسات السارية ذات العلاقة لحماية معلومات وبيانات العملاء المالية و/أو الائتمانية و/أو التأمينية و/أو الشخصية والحفاظ على خصوصيتها على أن تشمل جميع الحقوق الوارد ذكرها في نظام حماية البيانات الشخصية*، ووضع أنظمة رقابية على مستوى عالي تشتمل على آليات مناسبة تحدد الأغراض التي من أجلها تم جمع البيانات.
* عدل هذا النظام بموجب المرسوم الملكي رقم م/148 و تاريخ 1444/09/05هـ.

المبدأ السابع: معالجة الشكاوى
يجب على المؤسسة المالية توفير آلية مناسبة للعملاء لتقديم الشكاوى بحيث تكون الآلية واضحة وفعّالة، ويجب دراسة الشكوى واتباع التدابير والإجراءات اللازمة لمعالجتها بشكل عادل وفعّال، وتقديم أفضل الحلول وأنسبها دون تأخير وفقاً للأنظمة والتعليمات ذات العلاقة.
لمزيد من التفاصيل، اضغط هنا.

المبدأ الثامن: المُنافسة
يجب على المؤسسة المالية أن تتيح للعملاء القدرة على البحث والمقارنة بين أفضل الخدمات والمنتجات ومقدميها بسهولة ووضوح، وعلى المؤسسة المالية تقديم أفضل المنتجات والخدمات والأسعار بما يلبي احتياجات العميل ورغباته، وتعزيز الابتكار والحفاظ على جودة الخدمات والمنتجات.

المبدأ التاسع: خدمات الإسناد
عند القيام بالإسناد لأي من الخدمات التي تتضمن تعامل مع العملاء، على المؤسسة المالية التأكد من التزام الطرف الثالث بمتطلبات هذه المبادئ والقواعد -حيثما انطبقت-، وأنها تعمل لما فيه مصلحة عملائها وتتحمل مسؤولية حمايتهم، وتتحمل المؤسسة المالية المسؤولية في حال عدم التزام الطرف الثالث المُسندة إليه المهام بالأنظمة واللوائح والتعليمات السارية في أي من العمليات والمهام المسندة إليه وفقاً لما ورد في التعليمات ذات العلاقة الصادرة من البنك المركزي.

المبدأ العاشر: تضارب المصالح
يجب أن يكون لدى المؤسسة المالية سياسة مكتوبة بشأن تضارب المصالح، وعليها التأكد من أن السياسات التي تُساعد في كشف العمليات المُحتملة لتضارب المصالح موجودة ومُطبقة، وعندما تنشأ إمكانية تضارب مصالح بين المؤسسة المالية وأي طرف آخر فيجب الإفصاح عنها للجهة المسئولة.

القسم الثالث: القواعد السلوكية العامة

القاعدة رقم (1): يجب على المؤسسة المالية تشجيع العملاء على قراءة العقود وملحقاتها ونموذج الإفصاح الأولي والشروط والأحكام والوثائق وأي مستند آخر يتطلب موافقة العميل أو توقيعه، والتحقق من اطلاعهم وإدراكهم لما جاء فيها، بالإضافة إلى توفير الشروط والأحكام المُحدثة عبر القنوات الإلكترونية للمؤسسة المالية.
القاعدة رقم (2): يجب على المؤسسة المالية تقديم المعلومات و/أو المستندات للعملاء بشكل واضح ودقيق، وتجنب التضليل والغش والتدليس.
القاعدة رقم (3): يجب على المؤسسة المالية إدراج كافة الشروط والأحكام في نموذج تقديم طلب الحصول على المنتج أو الخدمة، على أن تتضمن البيانات التحذيرية المخاطر المُحتملة عند استخدام المنتج أو الخدمة خلاف المُتفق عليه. كما يجب صياغة كافة الشروط والأحكام باللغة العربية بشكل مبسّط وواضح وغير مضلل، مع توفير نسخة باللغة الإنجليزية عند طلب العميل ذلك.
القاعدة رقم (4): دون الإخلال بالقاعدة رقم (8) من هذا القسم، يجب على المؤسسة المالية إبلاغ العميل من خلال رسالة نصية إلى هاتفه المحمول المُعتمد لدى المؤسسة المالية إضافة إلى القنوات الموثقة الأخرى بأي تغيير يطرأ على الشروط والأحكام (إذا كانت الاتفاقية والتعليمات ذات العلاقة تجيز هذا التغيير) قبل بدء سريان ذلك التغيير بمدة لا تقل عن (30) يوم، كما يجب أن تُتيح المؤسسة المالية إمكانية الاعتراض في حال عدم موافقة العميل بعد استلام الإشعار عن طريق إحدى القنوات الموثقة.
القاعدة رقم (5): يجب على المؤسسة المالية تزويد العميل بنموذج الإفصاح الأولي الذي يحتوي على المعلومات الخاصة بالمنتجات والخدمات وتفاصيل احتساب الرسوم والعمولات وكلفة الأجل -إن وجدت- وذلك عند إبرام العقد أو الاتفاقية وأخذ إقرار من العميل بقراءتها وفهمها والموافقة على محتواها، ويجب أن يكون نموذج الإفصاح بلغة سهلة وواضحة وبطريقة مبسطة.
القاعدة رقم (6): يجب على المؤسسة المالية توحيد حجم الخط المستخدم (حجم 14 كحد أدنى) وأن يكون واضح ومقروء في العقود وملحقاتها، التي من بينها؛ نماذج الإفصاح الأولية، الشروط والأحكام، الوثائق، الاستثناءات، وأي مستند آخر يتطلب توقيع العميل أو اطلاعه عليه، كما يجب عدم طلب توقيع العميل (أياً كان شكل التوقيع) على أي مستند فارغ أو لم يتم استكمال كامل بياناته، وعلى المؤسسة المالية حماية مستندات وتواقيع العملاء وحفظها.
القاعدة رقم (7): يجب على المؤسسة المالية تزويد العميل بنسخة ورقية أو إلكترونية -حسب ما يفضله العميل- من جميع المستندات ذات العلاقة بالمنتجات أو الخدمات فور حصوله عليها، وأخذ إقرار من العملاء بالاستلام في حال تزويدهم بها ورقياً، على سبيل المثال لا الحصر: العقد وملحقاته، الوثائق التأمينية، الشروط والاحكام، جدول الرسوم والعمولات.
القاعدة رقم (8): يجب على المؤسسة المالية عدم إجراء أي تغيير بالزيادة في الرسوم والعمولات التي يتعيّن على العملاء سدادها بعد الحصول على الخدمة أو المنتج وتوقيع العقد أو الاتفاقية أو ما في حكمها، ويستثنى من ذلك الرسوم والعمولات المتعلقة بطرف آخر بشرط أن تكون مرتبطة بانتفاع العميل بالأصل الممول، ويلزم إشعار العميل بذلك عند إبرام العقد.
القاعدة رقم (9): يجب على المؤسسة المالية وضع قائمة الرسوم والعمولات (بما في ذلك رسوم الطرف الاخر) في مكان واضح بمبناها وفروعها وإدراجها في مواقعها الإلكترونية.
القاعدة رقم (10): يجب على المؤسسة المالية عند تقدم العملاء بطلب الحصول على خدمة أو منتج الالتزام بالآتي:
	أ.	إرسال رسالة نصية للعميل (فور تقديم الطلب) تحتوي بحد أدنى على: عنوان الطلب، الرقم المرجعي للطلب، التاريخ المتوقع لتنفيذه، الرقم المجاني المخصص للاستفسارات.
	ب.	إشعار العميل بقبول الطلب أو رفضه عبر رسالة نصية بحد أقصى (3) أيام عمل، وفي حال الرفض فيجب أن يتضمن الإشعار سبب الرفض بالإضافة إلى آلية الاعتراض على الرفض.
	ج.	استثناءً من الفقرة (ب) يتم الإشعار للمطالبات التأمينية كتابياً وتُحدد فترته وفقاً للمُدد المحددة في التعليمات ذات العلاقة، ويجب أن يتضمن الإشعار بحد أدنى ما يلي:
		-	عند قبول المطالبة بشكل كامل أو جزئي: مبلغ التسوية، توضيح كيفية الوصول لمبلغ التسوية، التبرير عند تخفيض مبلغ التسوية أو قبول المطالبة جزئياً.
		-	عند رفض المطالبة: سبب الرفض، المستندات الداعمة لقرار الرفض في حال طلبها من العميل.
القاعدة رقم (11): تقع مسؤولية حماية معلومات وبيانات العميل والحفاظ على سريتها على المؤسسة المالية، سواء المعلومات والبيانات المحفوظة لديها أو لدى طرف ثالث، ويجب على المؤسسة المالية الالتزام بالتالي:
	أ.	توفير بيئة آمنة وسرية في كافة قنواتها لضمان الحفاظ على سرية بيانات العميل عند تنفيذه للعمليات، ووضع إجراءات العمل المناسبة والأنظمة الرقابية الفعالة لحماية بيانات العملاء واكتشاف ومعالجة التجاوزات التي حدثت أو المتوقع حدوثها.
	ب.	توقيع كافة الموظفين الدائمين أو المؤقتين وموظفي الطرف الثالث على نموذج المحافظة على السرية بشأن بيانات العملاء والتأكد من عدم كشفهم المعلومات الشخصية للعملاء ومنع الدخول عليها واقتصاره على الأشخاص المخولين فقط سواء كانوا على رأس العمل أو بعد تركهم لوظائفهم.
	ج.	المُحافظة على سرية بيانات العميل وفقاً لما تقضي به الأنظمة والتعليمات ذات العلاقة.
القاعدة رقم (12): يجب على المؤسسة المالية التأكد من أن كافة القنوات الإلكترونية متوافرة وبشكل آمن، وفي حال تكبد العملاء خسارة مباشرة نتيجة اختراق هذه القنوات و/ أو ضعفها الأمني فيجب تعويضهم عن أي خسائر ناتجة عن ذلك، كما يجب الالتزام بالآتي:
	أ.	تطبيق أكثر من معيار للتحقق من الهوية عند الدخول على الخدمات الإلكترونية، واتخاذ الإجراءات اللازمة للحد من عمليات الاحتيال الإلكتروني.
	ب.	تضمين الغرض الذي تم من أجله إرسال الرسائل النصية المتضمنة رمز التحقق إلى العملاء على سبيل المثال: تعريف مستفيد، إعادة تعيين كلمة المرور، الدخول على الحساب، تحويل مبلغ مالي.
القاعدة رقم (13): يجب على المؤسسة المالية التحقق من استمرارية عمل أنظمتها وخدماتها والتأكد من جاهزيتها في تلبية احتياجات العملاء في كافة الأوقات، وعلى المؤسسة المالية عدم الاستفادة من أي مبالغ مُعادة قد تنشأ بسبب خطأ أو عطل فني وعليها إعادتها إلى العميل المُتضرر دون تأخير، والعملاء الآخرين الذين تعرضوا لنفس الخطأ في غضون (5) أيام عمل ودون انتظار المطالبة بها، ويجب إصلاح الخلل أو العطل وفقاً لمتطلبات استمرارية الأعمال، كما يجب التواصل مع العملاء المتأثرين وإحاطتهم بالخطأ وبالإجراءات التصحيحية التي تم اتخاذها من خلال إحدى القنوات الموثقة، وإعلان ذلك من خلال جميع القنوات المُتاحة.
القاعدة رقم (14): يجب على المؤسسة المالية ضمان أداء مهام جميع الموظفين بكفاءة وفعالية واتباع السلوكيات والأخلاقيات بمهنية عالية تجاه العملاء الحاليين أو العملاء المُحتملين في جميع الأوقات، إضافة إلى تدريب موظفي الصفوف الأمامية الذين يتعاملون بشكل مباشر مع العملاء بشكل دوري والعمل على حصولهم على الشهادات المهنية اللازمة للإلمام بمهارات التعامل مع العملاء وبالمنتجات والخدمات المقدمة للعملاء وبالتعليمات ذات العلاقة الصادرة من البنك المركزي.
القاعدة رقم (15): دون الإخلال بالتعليمات ذات العلاقة، يجب على المؤسسة المالية متابعة أداء موظفي الصفوف الأمامية من خلال الزيارات (الدورية – السرية) للفروع ومركز الاتصال وموظفي التحصيل، بما فيهم موظفي الطرف الثالث للتأكد من اتباع أفضل الممارسات عند التعامل مع العملاء، والإلمام بالتعليمات الصادرة عن البنك المركزي وبالمنتجات والخدمات المقدمة من المؤسسة المالية، على أن تُرفع تقارير نصف سنوية إلى الإدارة العُليا لمراقبة أداء الموظفين.
القاعدة رقم (16): يجب على المؤسسة المالية الالتزام بتوعية العملاء بشكل مستمر عبر كافة قنواتها، على أن تشمل بحد أدنى: المنتجات والخدمات ومخاطرها، آلية التعامل مع الديون والتعثر، عمليات الاحتيال، التعامل مع الشركات أو المؤسسات المالية أو الاستثمارية الغير مرخصة، الادخار، التثقيف والتخطيط المالي.
القاعدة رقم (17): يجب على المؤسسة المالية توفير قنوات متعددة لاستقبال الشكاوى والاستفسارات والطلبات بحيث تُمكّن العملاء من تقديم الشكاوى حسب ما يفضّلونه بكل يسر وسُهولة وفي الأوقات المنُاسبة لهم وبما ينسجم مع طبيعة المؤسسة المالية، على أن تتضمن بحد أدنى: الهاتف المجاني، الفروع و/أو الموقع الإلكتروني، تطبيقات الهواتف الذكية، البريد الإلكتروني.
القاعدة رقم (18): يجب على المؤسسة المالية وضع آلية معالجة الشكاوى في مكان واضح بمبنى المؤسسة المالية وفروعها كافة وموقعها الإلكتروني وتطبيقات الهواتف الذكية.
القاعدة رقم (19): يجب أن تتضمن آلية معالجة الشكاوى والاستفسارات الآتي:
	أ.	إجراءات تقديم الشكوى و/أو الاستفسار.
	ب.	توثيق استلام الشكوى و/أو الاستفسار وتزويد العميل برقم مرجع رئيس وبالمدة المحددة للمعالجة عبر رسالة نصية إلى هاتفه المحمول المُعتمد لدى المؤسسة المالية.
	ج.	تزويد العميل بالإدارة المختصة بمعالجة الشكاوى و/أو الاستفسار الذي من خلاله يمكن للعميل التواصل مع المؤسسة المالية عند الحاجة لمتابعة الشكوى و/أو الاستفسار.
	د.	توثيق القناة المستخدمة في التواصل مع العميل والاحتفاظ بسجلاتها. بحد أدنى خمس سنوات.
	هـ.	معالجة الشكاوى و/أو الاستفسار الوارد مباشرة للمؤسسة المالية وفقاً لما يصدر من تعليمات من البنك المركزي.
	و.	تزويد العميل بنتائج معالجة الشكوى و/أو الاستفسار بشكل مفصّل وبالمستندات اللازمة التي تؤيد صحة المعالجة من خلال أحد القنوات الموثقة، بالإضافة إلى الرد على استفساراتهم بشكل واضح وبجودة عالية.
	ز.	في حال عدم رضا العميل عن نتيجة معالجة شكواه ورغبته بتصعيدها، يجب تزويده بالآلية المُتبعة للتصعيد لمستوى أعلى داخل المؤسسة المالية أو توجيهه إلى الجهة المُختصة بحسب ما يفضله.
القاعدة رقم (20): يجب على المؤسسة المالية تطوير مؤشرات أداء لقياس معالجة الشكاوى الواردة إلى المؤسسة المالية بشكل مباشر ومنها (قياس رضا العملاء، قياس جودة معالجة الشكاوى)، ورفع نتائج المؤشرات بشكل ربع سنوي إلى أعلى منصب تنفيذي في المؤسسة المالية.
القاعدة رقم (21): يجب أن توفر المؤسسة المالية خلال (5) أيام عمل المستندات التالية بناء على طلب العميل:
	أ.	نسخة من النماذج الأصلية لأي خدمة أو منتج.
	ب.	نسخة من الشروط والأحكام المحدثة للمنتج أو الخدمة.
	ج.	نسخة من عقود المبرمة مع العميل، بما في ذلك مستندات الضمانات والكفالات.
	د.	نسخة من وثيقة التأمين إن وجدت في التعامل.
القاعدة رقم (22): يجب على المؤسسة المالية إتاحة رقم هاتف مجاني يمكّن شرائح العملاء الاتصال به من داخل المملكة عن طريق الهاتف الثابت والمحمول، إضافة إلى رقم هاتف للاتصال من خارج المملكة (للبنوك وشركات التأمين) لتقديم الشكاوى والاستفسارات، على أن يتم نشر الرقم المجاني في الصفحة الرئيسية للموقع الإلكتروني الخاص بالمؤسسة المالية بشكل واضح للعميل بالإضافة إلى كافة القنوات الأخرى.
القاعدة رقم (23): يجب على المؤسسة المالية الأخذ في الاعتبار الحالات الإنسانية ومسؤولياتها المجتمعية عند التعامل مع العملاء الذين لديهم صعوبات مالية طارئة وإيجاد الحلول المناسبة لهم قبل البدء في اتخاذ الإجراءات النظامية بحقهم.
القاعدة رقم (24): يجب على المؤسسة المالية وموظفيها عدم التمييز في التعامل بين عملائها (الحاليين والمستقبليين) بشكل مجحف وغير عادل بناءً على العرق، أو الجنس، أو الدين، أو اللون أو السنّ أو الإعاقة أو الحالة الاجتماعية أو أي شكل من أشكال التمييز الأخرى وذلك في مختلف التعاملات.
القاعدة رقم (25): يجب على المؤسسة المالية نشر مبادئ وقواعد حماية عملاء المؤسسات المالية على موقعها الإلكتروني وفي مكان واضح للعميل.
القاعدة رقم (26): يجب على المؤسسة المالية وضع ساعات عمل الفرع في المدخل الرئيس للفرع وفي موقعها الإلكتروني إضافة إلى ساعات عمل تقديم الخدمات الهاتفية.

القسم الرابع: القواعد السلوكية الخاصة

القاعدة رقم (1): يجب على البنك أو شركة التمويل ألا تتجاوز الرسوم والعمولات وتكاليف الخدمات الإدارية التي تحصل عليها من العميل ما يعادل (1%) من مبلغ التمويل أو (5000) خمسة الاف ريال، أيهما أقل، ولا يجوز حسمها إلا بعد توقيع العقد باستثناء رسوم التقييم العقاري فيجوز حسمها بعد حصول العميل على الموافقة الأولية لمنح التمويل العقاري.
القاعدة رقم (2): مع عدم الإخلال بالقاعدة رقم (1) من هذا القسم، يجب على البنك أو شركة التمويل عند منح التمويل العقاري أخذ إقرار من العميل (قبل البدء في إجراءات التعاقد) يتضمن حقها في عدم استرجاع رسوم التقييم العقاري في حال عدم إتمام إجراءات منح التمويل لسبب يعود إليه، كما يجب إعادة رسوم التقييم العقاري في الحالات التالية:
	-	عدم إتمام إجراءات منح التمويل لسبب لا يعود إلى العميل.
	-	إلغاء الطلب من العميل قبل تقييم العقار.
القاعدة رقم (3): يجب على البنك وشركة التمويل إصدار خطاب مُخالصة وتزويد العميل به عبر إحدى القنوات الموثقة مباشرة بعد سداد مستحقات المديونية أو سداد مبلغ التسوية المُتفق عليه، ودون الحاجة لتقديم طلب من العميل ما عدا الحالات الصادر بشأنها قرارات قضائية.
القاعدة رقم (4): يجب على البنك أو شركة التمويل إبلاغ العميل عبر القنوات الموثقة النتائج المتُرتبة على سجله الائتماني لدى شركات المعلومات الائتمانية في حال الوصول لتسوية بإسقاط البنك أو شركة التمويل للمبالغ المُتبقية التي لم يُسددها العميل من إجمالي المديونية.
القاعدة رقم (5): يجب على البنك أو شركة التمويل تزويد العميل بناء على طلبه، بكشف حساب المديونية مفصل مجاناً خلال يوم عمل يشمل جميع الرسوم وكلفة الأجل والتكاليف بما في ذلك أي تكاليف إضافية وذلك لمرة واحدة في حال حدوث تعثر أو طلب سداد مبكر للتمويل.
القاعدة رقم (6): يجب على البنوك وشركات المدفوعات ومصدري بطاقات الائتمان وبطاقات الحسم الشهري التأكيد على عملائهم التجار عدم تمرير و/أو فرض رسوم إضافية على حاملي بطاقات الائتمان (Credit Card) وبطاقات الحسم(Debit Card) وبطاقات مدى البنكية عند الدفع عبر أجهزة نقاط البيع(Merchant Service Charge) والعمليات التي تتم من خلال مقدمي خدمات المدفوعات والمواقع التجارية الإلكترونية وعـليهم مسـؤولية متابعة إيداعات التـاجر للتأكد من ملاءمتها لطبيعة نشاطه وتدريب العاملين في المحلات التجارية على استخدام أجهزة نقاط البيع وتزويدهم بالضوابط التشغيلية المطلوب الالتزام بها.
القاعدة رقم (7): يجب على البنوك وشركات المدفوعات ومصدري بطاقات الائتمان وبطاقات الحسم الشهري تضمين الاتفاقية المبرمة مع عملائهم التجار عدم أحقيتهم في فرض رسوم إضافية على مبلغ المنتج أو الخدمة في حال استخدم العميل بطاقات الائتمان (Credit Card) وبطاقات مدى البنكية (Debit and Prepaid Card) ومقدمي خدمات المدفوعات عند الدفع عبر أجهزة نقاط البيع والمواقع التجارية الإلكترونية لإتمام عملية الشراء.
القاعدة رقم (8): يجب على البنوك وشركات المدفوعات ومصدري بطاقات الائتمان وبطاقات الحسم الشهري إشعار العملاء عند حدوث عمليات مدينة أو دائنة على حساباتهم فور حدوثها عن طريق إرسال رسائل نصية إلى الهاتف المحمول وفقاً للتعليمات ذات العلاقة.
القاعدة رقم (9): يجب على البنوك وشركات المدفوعات تحديد الحد الأعلى لما يلي: التحويل، والسحب اليومي، وعمليات نقاط البيع، والشراء عبر الانترنت، وعمليات السداد. وإشعار العملاء بهذا الحد عند حصولهم على الخدمة، ومراجعته بشكل سنوي كحد أدنى.
القاعدة رقم (10): يجب على البنوك ومصدري بطاقات الائتمان وبطاقات الحسم الشهري إتاحة رقم هاتف مجاني على مدار الساعة يمكّن شرائح العملاء الاتصال به من داخل المملكة عن طريق الهاتف الثابت والمحمول، إضافة إلى رقم هاتف للاتصال من خارج المملكة، على أن يتضمن بحد أدنى على:
	أ.	الإبلاغ عن حالات فقدان أو سرقة البطاقات المصرفية أو البطاقات الائتمانية.
	ب.	الإبلاغ عن الاحتيال أو العمليات المشبوهة غير النظامية أو عمليات الدخول على بياناتهم أو حساباتهم.
	ج.	الاعتراض على عمليات البطاقة الائتمانية.
القاعدة رقم (11): يجب على البنوك توفير بطاقة صرف آلي جديدة للعميل مجاناً بناءً على طلب مقدم منه عبر قناة موثوقة أو بناءً على طلب شخص مخول نظاماً، ويجب إعادة إصدارها قبل انتهاء فترة الصلاحية بثلاثين يوم كحد أدنى، إلا في حال رغب العميل خلاف ذلك، والتأكد من أن البطاقة تم إصدارها وتسليمها إلى العميل أو إلى الشخص المخول نظاماً مع وضع آلية للتحقق من العميل.
القاعدة رقم (12): يجب على البنوك التحقق من تلبية كافة أجهزة الصرف الآلي ونقاط البيع والخدمات الإلكترونية الأخرى لاحتياجات العملاء وتؤدي إلى تسهيل إنجاز التعاملات وفق أحدث السُبل، على أن يتم الالتزام بالتالي:
	أ.	إجراء صيانة دورية لكافة أجهزة الصرف الآلي والتحقق من جاهزيتها واستمراريتها في جميع الأوقات.
	ب.	استخدام تقنيات حديثة ومتطورة في مُراقبة أداء أجهزة الصرف الآلي عن بُعد.
	ج.	تداول النقد السليم واستبدال التالف وسحبه من التداول في جميع الأوقات.
القاعدة رقم (13): يجب على البنوك معالجة المطالبات المُرتبطة بالعمليات الخاطئة وغير المكتملة بشكل صحيح التي تمت من خلال بطاقات مدى البنكية على جميع الخدمات (الصرف الآلي، نقاط البيع، عمليات التجارة الإلكترونية) خلال يومي عمل من تاريخ العملية.
القاعدة رقم (14): يجب على مصدري بطاقات الائتمان وبطاقات الحسم الشهري الالتزام بالآتي:
	أ.	إصدار بطاقة الائتمان أو الحسم الشهري بناءً على طلب مقدم من العميل عبر القنوات الموثقة.
	ب.	إبلاغ العملاء بحد السحب النقدي والرسوم على عمليات السحب من خلال الأجهزة والأنظمة التقنية كأجهزة الصرف الآلي الصرف الآلي لبطاقات الائتمان وبطاقات الحسم الشهري.
	ج.	عدم احتساب الرسوم السنوية لبطاقات الائتمان أو الحسم الشهري إلا بعد تفعيلها من العميل، وللجهة مصدرة البطاقة إلغاء البطاقة في حال عدم تفعيلها خلال 90 يوماً من تاريخ الإصدار.

القسم الخامس: أحكام ختامية

•	تعتبر هذه المبادئ والقواعد حداً أدنى لما يجب على المؤسسات المالية القيام به للعناية بالعملاء، ويجب أن تعمل على تطوير إجراءاتها الداخلية بشكل مُستمر بما يتناسب مع طبيعة وحجم أعمالها ومع أفضل المعايير والممارسات المحلية والدولية ذات العلاقة.
•	للبنك المركزي متابعة تطبيق هذه المبادئ والقواعد واتخاذ أي إجراءات ضرورية حسب ما يراه مناسباً بما يتم رصده من مخالفات بما في ذلك فرض عقوبات أو غرامات أو طلب تنفيذ إجراءات تصحيحية.
•	تسري جميع أحكام هذه المبادئ والقواعد اعتباراً من تاريخ اعتمادها من صاحب الصلاحية، وتكون نافذه من تاريخه.
•	تحل هذه المبادئ والقواعد محل مبادئ حماية العملاء الصادرة من البنك المركزي مسبقاً.
•	تلغي هذه المبادئ والقواعد ما يتعارض معها من تعليمات سابقة.

تعليمات الخدمات المقدمة للأشخاص ذوي الإعاقة في المؤسسات المالية
الرقم: 41039051 التاريخ (م): 2020/1/28 | التاريخ (هـ): 1441/6/3 الحالة:نافذ
استناداً إلى الصلاحيات المنوطة بالبنك المركزي بموجب نظامه الصادر بالمرسوم الملكي رقم (23) وتاريخ 1377/5/23هـ، ونظام مراقبة البنوك الصادر بالمرسوم الملكي رقم (م/5) وتاريخ 1386/6/22هـ، وإلى دور البنك المركزي الإشرافي والرقابي على المؤسسات المالية الخاضعة لإشرافه، وجهوده الهادفة لتعزيز الدور الإنساني للمؤسسات المالية تجاه عملائها من الأشخاص ذوي الإعاقة من خلال العمل على تسهيل وتيسير سُبل تقديم الخدمات المالية لهذه الفئة العزيزة من المجتمع.
مرافق تعليمات الخدمات المقدمة للأشخاص ذوي الإعاقة في المؤسسات المالية الهادفة لتعزيز دور المؤسسات المالية العاملة في المملكة الإنساني والتشجيع على تطوير الخدمات المالية المقدمة لعملائها من الأشخاص ذوي الإعاقة.
للإحاطة، والعمل بموجبه خلال ثلاثة أشهر من تاريخه، مع تزويد البنك المركزي بخطة الالتزام بهذه التعليمات خلال شهر من تاريخه.

أولاً: المقدمة

أ. الهدف
تهدف تعليمات الخدمات المقدمة للأشخاص ذوي الإعاقة في المؤسسات المالية الواردة في هذه الوثيقة إلى ترسيخ مبدأ العدالة بين كافة فئات المجتمع دون الانتقاص أو التمييز بأي شكل من الأشكال لحقوق أي فئة منها. وتحقيق الشمول المالي وإتاحة وصول كافة فئات المجتمع إلى المنتجات والخدمات المالية، وإزالة كافة الحواجز المادية والسلوكية التي تعمل على إعاقة أو صعوبة وصول الخدمات المالية للأشخاص ذوي الإعاقة في إدارة شؤونهم المالية باستقلالية وخصوصية تامة، وحماية حقوقهم كمستهلكين للخدمات المالية.

ب. النطاق
تسري هذه التعليمات على جميع المؤسسات المالية الخاضعة لرقابة وإشراف البنك المركزي.

ثانياً: التعاريف

1.	الشخص ذو الإعاقة: كل شخص لديه قصور طويل الأمد في الوظائف الجسدية، أو العقلية، أو الذهنية، أو النفسية تمنعه من أداء مهامه اليومية بصورة فعالة في المجتمع على قدم المساواة مع الآخرين.
2.	الإعاقة: هي الإصابة بواحدة أو أكثر من الإعاقات الآتية: الإعاقة البصرية، الإعاقة السمعية، الإعاقة العقلية، الإعاقة الجسمية والحركية، صعوبات التعلم، اضطرابات النطق والكلام، الاضطرابات السلوكية والانفعالية، الإعاقات المزدوجة والمتعددة، التوحد وغيرها من الإعاقات التي تتطلب رعاية خاصة.
3.	المؤسسة المالية: البنوك والمصارف وفروع البنوك الأجنبية وشركات التأمين وإعادة التأمين وفروع شركات التأمين و/أو إعادة التأمين الأجنبية وشركات المهن الحرة وشركات التمويل وشركات تسجيل عقود الإيجار التمويلي وشركات المعلومات الائتمانية وشركات المدفوعات وشركات ومؤسسات الصرافة العاملة في المملكة التي يشرف عليها البنك المركزي.
4.	إمكانية الوصول: التدابير التي تكفل إمكانية وصول الأشخاص ذوي الإعاقة، على قدم المساواة مع غيرهم.

ثالثاً: تعليمات خدمات الأشخاص ذوي الإعاقة

1. وحدة العناية بالأشخاص ذوي الإعاقة
تؤسس المؤسسة المالية وحدة إدارية تعنى بالأشخاص ذوي الإعاقة والتأكد من أن سياسات وإجراءات المؤسسة المالية المعتمدة تشمل متطلبات واحتياجات الأشخاص ذوي الإعاقة وأن الخدمات المالية تقدم لهم بيسر وسهولة.

2. البيئة العمرانية
على المؤسسة المالية توفير البيئة العمرانية الملائمة للأشخاص ذوي الإعاقة في كافة المقرات والفروع بشكل يوفر إمكانية الوصول واستخدام المباني والمرافق للأشخاص ذوي الإعاقة والاستفادة من الخدمات المقدمة دون أي صعوبات أو تعقيدات وذلك على النحو الآتي:
- توفير منحدرات لتسهيل وصول الأشخاص ذوي الإعاقة إلى المبنى واستخدام مرافقه المختلفة، بالإضافة إلى توفير مخارج طوارئ وإخلاء تتناسب مع احتياجات الأشخاص ذوي الإعاقة.
- توفير مواقف مركبات مخصصة لاستقبال الأشخاص ذوي الإعاقة.
- توفير أجهزة الخدمة الذاتية للأشخاص ذوي الإعاقة على أن تكون مزودة بالأدوات اللازمة وبارتفاع يسهل استخدامها.
- توفير مكاتب مجهزة بالأدوات اللازمة لخدمة الأشخاص ذوي الإعاقة.
- توفير الوسائل المختلفة للأشخاص ذوي الإعاقة لتوضيح الخدمات والمنتجات المقدمة من المؤسسة المالية.
- للمؤسسة المالية تقديم الخدمات المتنقلة "إن أمكن" للوصول للأشخاص ذوي الإعاقة الحادة في حال استدعت الحاجة لذلك.

3. التحقق من الإعاقة
للمؤسسة المالية استخدام كافة الوسائل المتاحة للتحقق من وجود الإعاقة كالاطلاع على التقارير الطبية المعتمدة أو المستندات الداعمة لإثبات نوع وحالة الإعاقة، أو بمعاينة الحالة على أن يتم التحقق لمرة واحدة فقط.

4. المنتجات والخدمات

على المؤسسة المالية وضع سياسة وإجراءات تضمن مساواة الأشخاص ذوي الإعاقة مع جميع أطياف المجتمع بتمكينهم من الحصول على المنتجات والخدمات وإدارة شؤونهم المالية.
تلتزم المؤسسة المالية بالآتي:
أ.	توفير نماذج الاتفاقيات والعقود المبرمة مع الأشخاص ذوي الإعاقة وفق الوسائل المتاحة بحسب الإعاقة، على سبيل المثال لا الحصر الطباعة بلغة برايل "أرقام وحروف بارزة" للأشخاص ذوي الإعاقة البصرية.
ب.	تكليف أحد موظفي المؤسسة المالية بقراءة الشروط والأحكام الأساسية للاتفاقيات والعقود المبرمة مع الأشخاص ذوي الإعاقة مثل المكفوفين وضعاف البصر.
ج.	تكليف أحد موظفي المؤسسة المالية لمساعدة الأشخاص ذوي الإعاقة على تعبئة النماذج والطلبات والعقود في حال طلب ذلك منه.

5. أجهزة الخدمة الذاتية والخدمات الإلكترونية

على المؤسسة المالية إتاحة وصول الأشخاص ذوي الإعاقة إلى الخدمات الذاتية والإلكترونية، وذلك على النحو التالي:
أ.	توفير أجهزة الخدمة الذاتية ومزودة بالأدوات المتوافقة لاستخدام الأشخاص ذوي الإعاقة، والإعلان عن أماكن توافر هذه الأجهزة بالطرق المتاحة.
ب.	تطوير الخدمات الإلكترونية لملاءمة استخدام الأشخاص ذوي الإعاقة، على سبيل المثال لا الحصر المواد التوعوية للأشخاص ذوي الإعاقة السمعية والمكفوفين.

6. الشفافية والعدالة في التعامل مع الأشخاص ذوي الإعاقة

أولاً: الإعلان والتسويق:
	أ.	على المؤسسة المالية تحديث السياسات التسويقية بحيث تتضمن شمول الأشخاص ذوي الإعاقة للاستفادة من المنتجات والخدمات المقدمة منها.
	ب.	على المؤسسة المالية توفير الشروحات التي تتلاءم مع الأشخاص ذوي الإعاقة للمنتجات والخدمات المقدمة من قبلها.
ثانياً: الالتزام بتحقيق العدل والمساواة في التعامل مع الأشخاص ذوي الإعاقة:
	أ.	يحظر على المؤسسة المالية استبعاد أو تقييد وصول الأشخاص ذوي الإعاقة إلى أي من الخدمات المالية لأي سبب كان وتحت أي ذريعة على أساس الإعاقة أو بسببها دون وجود السند النظامي لذلك.
	ب.	يحظر على المؤسسة المالية التعامل بممارسات تعسفية ومجحفة مع الأشخاص ذوي الإعاقة، ويجب التعامل معهم باحترام وعدالة مع الآخرين دون تمييز.

7. التثقيف والتوعية المالية للأشخاص ذوي الإعاقة
على المؤسسة المالية وضع برامج وآليات مناسبة لتطوير معارف ومهارات الأشخاص ذوي الإعاقة، ورفع مستوى الوعي والإرشاد لديهم وتمكينهم من فهم مخاطر المنتجات والخدمات المالية ومساعدتهم في اتخاذ قرارات مدروسة وفعالة وتوجيههم إلى الجهة المناسبة للحصول على المعلومات في حال حاجتهم إلى ذلك.

8. أحكام عامة

على المؤسسة المالية الالتزام بالتالي:
	أ.	مراجعة سياسات وإجراءات العمل المعتمدة وتطويرها لتشمل متطلبات واحتياجات الأشخاص ذوي الإعاقة.
	ب.	إعداد دليل إرشادي يوضح آلية تقديم الخدمات المالية للأشخاص ذوي الإعاقة وتدريب وتأهيل كوادر متخصصة للتواصل الفعال لتقديم الخدمات بشكل سهل ومُيسّر.
	ج.	إعطاء الأولوية والعناية القصوى للأشخاص ذوي الإعاقة بالشكل الذي يكفل تسهيل استقبالهم وتسريع إجراءات تقديم الخدمة لهم.
	د.	يتولى البنك المركزي التحقق من تطبيق الأحكام الواردة في هذه التعليمات، وفي حال عدم الالتزام سيتم مخالفة المؤسسات المالية وفق الأنظمة و اللوائح ذات العلاقة.

مبادئ السلوك وأخلاقيات العمل في المؤسسات المالية
الرقم: 722030000067 التاريخ (م): 2019/8/5 | التاريخ (هـ): 1440/12/4 الحالة:نافذ
إشارةً إلى دور البنك المركزي الإشرافي والرقابي على المؤسسات المالية الخاضعة لإشرافه، وجهوده الرامي إلى حماية سمعة المؤسسات المالية والتأكد من امتثال موظفيها لمبادئ السلوك الحكيم، إلى جانب تحقيق مفهوم الإدارة الرشيدة وتعزيز الأداء الوظيفي والسلوك المهني.
مرافق مبادئ السلوك وأخلاقيات العمل في المؤسسات المالية الهادفة إلى تعزيز الانضباط الوظيفي والنزاهة والشفافية والموضوعية والكفاءة والولاء والفاعلية في سلوك موظفي المؤسسة المالية أثناء تأديتهم لواجباتهم ومهامهم الوظيفية.
للإحاطة، والعمل بما تضمنته هذه المبادئ خلال ثلاثة أشهر من تاريخه، مع تزويد البنك المركزي بخطة الالتزام بذلك خلال شهر من تاريخه.

أولاً: المقدمة

أ. الهدف
تهدف مبادئ السلوك وأخلاقيات العمل في المؤسسات المالية الواردة في هذه الوثيقة إلى أن يكون أداء منسوبي المؤسسة المالية في إطار منظومة من القيم والمبادئ الأخلاقية وبما يعزز الانضباط الوظيفي والنزاهة والشفافية والموضوعية والكفاءة والولاء والفاعلية في سلوك موظفي المؤسسة المالية أثناء تأديتهم لواجباتهم ومهامهم الوظيفية
وإن ترسيخ هذه المبادئ السلوكية والأخلاقية من شأنه تحقيق رؤية ورسالة المؤسسة المالية. وحماية سمعتها والتأكد من امتثال موظفيها لمبادئ السلوك الحكيم. وتحقيق مفهوم الإدارة الرشيدة وتعزيز الأداء الوظيفي والسلوك المهني لمنسوبيها ومكافأة المجتهد ومساءلة المقصر وتحسين صورة المؤسسة المالية بشكلٍ عام.
لذا يجب أن تتحول هذه المبادئ إلى سلوك وممارسات يتم تطبيقها من قبل منسوبي المؤسسة المالية، والتوعية المستمرة عبر جميع وسائل الاتصال الممكنة من قبل المؤسسة المالية. وأن تشكل أداة مرجعية ترسم القواعد الأساسية التي ترشدهم إلى كيفية التعامل فيما بينهم عند أداء واجباتهم الوظيفية والصفات التي يجب أن يتحلوا بها.

ب. النطاق والإعتماد
تسري هذه المبادئ على جميع منسوبي المؤسسة المالية. على أن يعتمد مجلس إدارة المؤسسة المالية سياسة السلوك وأخلاقيات العمل الخاصة بها بما يتوافق مع هذه المبادئ والأنظمة والتعليمات ذات العلاقة الصادرة من الجهات المختصة.
وتحدد هذه المبادئ الحد الأدنى لقواعد السلوك، ويتحمل جميع المدراء داخل المؤسسة المالية مسؤولية تمكين موظفيهم من الاطلاع على هذه المبادئ، وإقرارهم عليها وإرفاقها بملف الموظف لدى الإدارة المختصة والتأكد من أنهم على دراية بها، كما أنهم مسؤولون عن تحديد ما إذا كانت هناك حاجة إلى تعليمات أكثر تفصيلا أو إجراءات داخل إداراتهم للامتثال لهذه المبادئ، وعلى المؤسسة المالية تزويد جميع منسوبيها بالتصور الكافي عن هذه المبادئ خلال فترة انضمامهم لديها.

ثانياً: التعاريف

أ.	أخلاقيات العمل: هي مجموعة من المعايير الأخلاقية والقواعد والآداب السلوكية التي يجب أن يتحلى بها الموظف في مهنته تجاه عمله، وزملائه الموظفين وتجاه المجتمع ككل.
ب.	المؤسسة المالية: البنوك والمصارف وفروع البنوك الأجنبية وشركات التأمين وإعادة التأمين وشركات التأمين الأجنبية وشركات المهن الحرة وشركات التمويل وشركات تسجيل عقود الإيجار التمويلي وشركات المعلومات الائتمانية وشركات ومؤسسات الصرافة العاملة في المملكة التي يشرف عليها البنك المركزي.*
ج.	منسوبي المؤسسة المالية: أعضاء مجلس الإدارة واللجان المنبثقة منه. والمسئولين التنفيذيين، والموظفين (رسميين ومتعاقدين). والاستشاريين، والموظفين الذين يعملون من خلال طرف ثالث.
د.	أصحاب المصلحة: كل من له مصلحة مع المؤسسة المالية، كالمساهمين. والدائنين، والعملاء، والموردين. وأي طرف خارجي.
هـ.	السلوك المهني: القيام بأداء الواجبات الوظيفية بأمانة ونزاهة وموضوعية وفق أفضل الممارسات. والعمل باستمرار على تحقيق أهداف المؤسسة المالية. وأن تكون الممارسات في حدود الصلاحيات المخولة، وتأدية العمل بشكل متجرد من الإهمال ودون مخالفة الأنظمة والتعليمات، وألا يكون لغرض إلحاق الضرر بالمصلحة العامة، أو لتحقيق مصلحة شخصية.
و.	المعلومات الداخلية: أي معلومات أو بيانات أو أرقام أو إحصائيات سواء كانت شفهية أو خطية أو إلكترونية، حصل عليها أو اطلع عليها أي من منسوبي المؤسسة المالية بحكم طبيعة عمله أو بحكم انتمائه للمؤسسة المالية وليست متاحة للآخرين.
ز.	المعلومات أو البيانات أو المستندات السرية: أي معلومات أو مستندات غير متاحة للعامة والتي تخص العمل والترتيبات الإدارية والمالية أو الوضع المالي للمؤسسة المالية.
ح.	تعارض المصالح: الموقف الذي تتأثر فيه موضوعية واستقلالية أي من منسوبي المؤسسة المالية أثناء أداء مهامه الوظيفية بمصلحة شخصية مادية أو معنوية مؤكدة أو محتملة تهمه أو تهم أحد معارفه، أو عندما يتأثر أداؤه لوظيفته باعتبارات شخصية مباشرة أو غير مباشرة. بمعرفته بالمعلومات التي تتعلق بالقرار.
ط.	المصلحة الشخصية: الفائدة الشخصية التي يمكن أن تتحقق لأي من منسوبي المؤسسة المالية بحكم طبيعة عمله أو مركزه الوظيفي والصلاحيات الممنوحة له.
ي.	الإفصاح: إبلاغ الموظف للإدارة المختصة في المؤسسة المالية عن الحالات التي حددتها المؤسسة المالية بأنها تتطلب الإفصاح وفقًا لسياسة الإفصاح المعدة من قبل المؤسسة المالية.
ك.	المساءلة النظامية: محاسبة الشخص عن الأفعال الصادرة عنه بالمخالفة للأنظمة والسياسات النافذة. وبما يؤدي إلى الإضرار بالآخرين أو بمصالح المنشأة التي يعمل بها.

*تقرر تضمين شركات ومؤسسات الصرافة العاملة بالمملكة ضمن نطاق تعريف المؤسسات المالية بموجب تعميم البنك المركزي رقم (41061973) وتاريخ 1441/11/2هـ.

ثالثاً: مبادئ السلوك وأخلاقيات العمل

أ. الالتزام بالسلوك المهني والآداب العامة
يجب على منسوبي المؤسسة المالية الالتزام بالآتي:
- التحلي بأعلى المعايير الأخلاقية من خلال الشفافية والنزاهة والأمانة والأخلاق الحميدة في جميع التعاملات بين بعضهم البعض ومع أصحاب المصلحة.
- الترفع عن كل ما يخل بشرف الوظيفة والكرامة سواء كان ذلك داخل مقر العمل أو خارجه أو كان في غير أوقات العمل، والامتناع عن أي تصرفات أو ممارسات تنتهك الآداب أو التقاليد والأعراف العامة. والابتعاد عن الخوض في الأمور السياسية أو المعتقدات الدينية أو المذهبية للأخرين أو التحريض ضدها، أو أي شكل من أشكال العنصرية.
- عدم إعاقة سير العمل أو الإضراب أو التحريض عليهما.
- أداء العمل بكل دقة وموضوعية وبما يحقق مصلحة العمل، والارتقاء بمهارات العمل من خلال التعلم والتدريب المستمر.
- المحافظة على سمعة المؤسسة المالية وذلك بعدم الإساءة إليها من خلال نشر معلومات أو تصريحات أو تعليقات خاصة بها من خلال استخدام وسائل الإعلام أو الاتصال المختلفة أو بأي وسيلة أو طريقة كانت.
- المحافظة على وقت العمل (الدوام الرسمي أو الإضافي أو المهمات الرسمية) لأداء وإنجاز مهام العمل.
- المحافظة على الأسرار المهنية المتعلقة بالعمل. وعدم الإفصاح عن أي معلومة قد يترتب على إفشائها الإضرار بمصلحة المؤسسة المالية سواء كان ذلك خلال فترة العمل أو بعد تركه للعمل.
- الحرص على الإلمام بالأنظمة وتطبيقها دون أي تجاوز أو مخالفة أو إهمال.
- الالتزام بالزي الرسمي والآداب العامة بما يتلائم مع أنظمة المملكة العربية السعودية وذلك خلال أوقات العمل الرسمية والدورات التدريبية وجميع المناسبات والمشاركات التي يمثل فيها الموظف المؤسسة المالية.
- ‏يجب أخذ الموافقة المسبقة من المؤسسة المالية في حال نشر معلومات أو تصريحات أو تعليقات خاصة بها من خلال استخدام وسائل الإعلام أو الاتصال المختلفة أو بأي وسيلة أو طريقة كانت.
- ‏الاستخدام الأمثل والمسموح للبنية التحتية لتقنية المعلومات والموارد التقنية المملوكة والتابعة للمؤسسة المالية بما لا يتعارض مع سير العمل.

ب. التفاعل مع أصحاب المصلحة
لأصحاب المصلحة أهمية كبيرة في المؤسسة المالية. ويجب أن يعاملوا بما يحقق الشفافية والنزاهة والتعاون بأعلى معايير المهنية. وتحدد سياسة أصحاب المصلحة المعدة من قبل المؤسسة المالية المبادئ العامة والتوجيهية لعلاقاته معهم من خلال:
1. الطموح: أن تكون المؤسسة المالية الشريك الأكثر ثقة. والأفضل تجربة لأصحاب المصلحة، بجعل الأعمال سهلة وسريعة.
2. ‎ الارتباط: أن تكون مسؤولية المؤسسة المالية شريكاً بناءً لأصحاب المصلحة من خلال تقديم المشورة الواضحة والصادقة، وتقديم المعلومات اللازمة عن المنتجات والخدمات لاتخاذ قرارات سليمة.
3. ‎ الاستجابة: أن تعطي المؤسسة المالية أهمية لشكاوى وملاحظات أصحاب المصلحة وإدارتها بشكل فوري وفعال ومنصف وفقاً للأنظمة واللوائح المعمول بها وبما يحقق أعلى معايير المهنية.
4. ‎ تعزيز مبدأ الثقة: أن توفر المؤسسة المالية معلومات واضحة ومفهومة ودقيقة ومحدثة لأصحاب المصلحة في إطار الثقة المتبادلة في جميع خدماتها وعملياتها، وأداء خدمات أصحاب المصلحة في الوقت المناسب وبالكامل حيث يشكل عامل الوقت عنصراً هاما في المنظومة المالية.

ج. مكافحة جرائم الفساد المالي والإداري

1. مكافحة غسل الأموال وتمويل الإرهاب والمعاملات المشبوهة
‏عمليات غسل الأموال وتمويل الإرهاب من الأنشطة المجرمة في المملكة العربية السعودية بناء على نظام مكافحة غسل الأموال ونظام مكافحة جرائم الإرهاب وتمويله ولائحتهما التنفيذية. كما شملت تلك الأنظمة واللوائح على تدابير وقائية يجب على المؤسسات المالية ومنسوبيها الالتزام بتنفيذها. وحيث أن الآثار المترتبة على تلك الجرائم المرتكبة لا تؤثر على المؤسسة المالية فقط إنما تمتد إلى التأثير على المجتمع والدولة. لذلك يجب أن يكون لدى المؤسسة المالية سياسات وإجراءات تتضمن تدابير مشددة للحد من مخاطر سوء الاستخدام لأغراض الجريمة المالية. ويتعين على منسوبي المؤسسة المالية مكافحة الجرائم المالية بما في ذلك غسل الأموال وتمويل الإرهاب والحذر من أي أنشطة غير عادية أو مشبوهة والإبلاغ عنها إلى الإدارة العامة للتحريات المالية وفقاً للمتطلبات النظامية.
‏ويقع على منسوبي المؤسسة المالية مسئولية تطبيق التعليمات المتعلقة بمكافحة غسل الأموال وتمويل الإرهاب ومنها الإبلاغ عن العمليات والأنشطة المشبوهة وعدم التنبيه أو التلميح للشخص المبلغ عنه أو أي شخص آخر عن أنه تم الإبلاغ عنه، وفي حالة ثبوت عدم صحة البلاغ فإنه لا يترتب على المبلغ عن هذه العمليات والأنشطة المشبوهة أي مسئولية تجاه المبلغ عنه عند الإبلاغ بحسن نية.
‏ويتوجب على المؤسسة المالية عدم تكليف أي من منسوبيها بمهام مكافحة غسل الأموال وتمويل الإرهاب إلا بعد إلحاقه في دورات متخصصة ومعتمدة تتعلق بمكافحة غسل الأموال وتمويل الإرهاب، إضافة إلى تقديم التوعية اللازمة لجميع منسوبها بكل ما له صلة بمكافحة غسل الأموال وتمويل الإرهاب وبكل الطرق الملائمة مثل الدورات التدريبية والنشرات ‏وغيره.
‏واجبات ومسؤوليات منسوبي المؤسسة المالية لتحقيق ذلك:
- ‏الالتزام بتطبيق نظام مكافحة غسل الأموال ونظام مكافحة الإرهاب وتمويله، وتعليمات البنك المركزي في شأن مكافحة غسل الأموال وتمويل الإرهاب.
- ‏أداء الموظف واجبات وظيفته ومهامها متوخياً الأمانة والنزاهة والدقة والمهنية.
- ‏عدم الدخول في أي أنشطة جنائية أو معاملات غسل أموال أو تمويل إرهاب.
- ‏قيام الإدارة المعنية بالمؤسسة المالية بالتبليغ فوراً للإدارة المختصة بمكافحة غسل الأموال وتمويل الإرهاب في المؤسسة المالية والتي تقوم بدورها بإبلاغ الإدارة العامة للتحريات المالية بالبنك المركزي عن جميع المعاملات المشبوهة التي يتم إجراؤها من قبل أصحاب المصلحة أو منسوبي المؤسسة المالية.
- ‎عدم التنبيه أو التلميح لأصحاب المصلحة أو المنسوبين أو غيرهم بأنه تم الاشتباه بأنشطتهم التي تكون تحت التحقيق من قبل المؤسسة المالية أو التي تم أو سيتم التبليغ عنها للجهات المختصة.

2. مكافحة الرشوة والفساد
‏تعد الرشوة من أعظم الجرائم وأكثرها تأثيراً على فساد المجتمعات، وعلى المؤسسة المالية أن تدين الفساد والرشوة بجميع أشكالها. ولا تسمح مطلقاً بالفساد والرشوة في أي تعامل أو تفاعل مع أصحاب المصلحة، كما تلتزم المؤسسة المالية بتنبيه وتثقيف منسوبيها بجرم وخطورة الرشوة والفساد وأضراره السلبية على مستوى المؤسسة المالية ومستوى المجتمع ككل.
‏واجبات ومسؤوليات منسوبي المؤسسة المالية لتحقيق ذلك:
- إبلاغ المدراء أو الإدارات المختصة في المؤسسة المالية في حال الشك بوجود شبهة فساد أو رشوة.
- ‏عدم قبول المحسوبية أو الواسطة في أداء مهمات العمل ومسؤولياته، والذي قد يؤثر سلبا على ثقة المتعاملين مع المؤسسة المالية.
- عدم اللجوء إلى أي شكل من أشكال الفساد الأخلاقي أو الإداري واستخدام وسائل مشبوهة أو غير مشروعة لإنجاز الأعمال.
- عدم إساءة استعمال السلطة الوظيفية واستغلال النفوذ وإبلاغ الإدارات المختصة في المؤسسة المالية عند وجود حالة إساءة أو استغلال.

د. الهدايا والضيافة

‏في سياق العلاقات يتم تقديم الهدايا وكرم الضيافة و/ أو قبولها، على جميع منسوبي المؤسسة المالية توخي الحذر وتطبيق الحكم السليم عند تقديم الهدايا وقبولها من أو إلى أصحاب المصلحة. لحماية نزاهة كل من الموظف والمؤسسة المالية وفق سياسة الهدايا والضيافة المعدة من قبل المؤسسة المالية.

‏وحرصا على مبدأ المهنية والاحترافية. يتم تقييم ما إذا كانت الهدية أو الضيافة معقولة ومناسبة ومبررة مع الأخذ بعين الاعتبار قيمة وطبيعة وتوقيت الهدية / الضيافة والنوايا المفترضة. وعلى منسوبي المؤسسة المالية مراعاة ما يلي:

أ.	عدم طلب أو قبول أي هدية أو دعوة أو خدمة أو أي شيء ذو قيمة مادية أو معنوية سواء كانت له أو لأحد أقاربه من شخص، أو منظمة لها علاقة أو تسعى إلى أن يكون لها علاقة مع المؤسسة المالية، بحيث يمكن أن يكون لها تأثير مباشر أو غير مباشر على موضوعية منسوبي المؤسسة المالية في تنفيذ مهامهم الوظيفية، أو من شأنها التأثير على قراراتهم أو قد تضطرهم إلى الالتزام بشيء ما لقاء قبول ذلك.
ب.	‏تتم المسائلة النظامية على كل من يثبت عليه القيام أو المشاركة أو المساعدة في تجاوز الأنظمة المتعلقة بطلب أو قبول الهدايا والدعوات ويتساوى في ذلك منسوبي المؤسسة المالية الحاليون والسابقون.
ج.	إذا كان رفض الهدية من شأنه أن يُسبب إساءة للمؤسسة المالية، أو إذا كان ردها غير ممكن من الناحية العملية، أو قدمت لمنسوبي المؤسسة المالية في الزيارات والمناسبات الرسمية أو عند استقبال ضيوف رسميين مما تقتضي قواعد المجاملة وبروتوكولات الزيارات والمناسبات قبولها فيجوز قبول الهدية بشرط مراعاة ما يلي:

ألا تكون نقدية بأي حال من الأحوال، أو على هيئة قروض، أو أسهم أو مشتقات مالية.
‎أن تكون الهدية وقيمتها مما هو متعارف على تقديمه. وذلك بحسب المناسبة التي قدمت فيها وطبيعتها كالدروع على سبيل المثال لا الحصر.
في حال كانت الهدية عبارة عن تخفيض أو تنازل عن رسوم، فيجب أن تتعلق بدعوة لحضور مؤتمر أو اجتماع يعزز المعرفة وينعكس إيجابيا على أعمال المؤسسة المالية ولا ينشأ عنه تضارب في المصالح.
أن تكون الهدية المقدمة غير مرتبطة بمنصب متلقي الهدية في المؤسسة المالية أو قدمت نتيجة للعمل في المؤسسة المالية.
ألا يكون لمقدم الهدية مصلحة خاصة أو عامة يرجو الحصول عليها من المؤسسة المالية أو أحد منسوبيها.

د.

يجوز للموظف قبول جائزة من الجهات الأخرى التي تتعامل معها المؤسسة المالية نتيجة لتحقيقه إنجازاً على ضوء ما يلي:

أن تكون الجائزة رصدت كجزء من برنامج معلن ومعترف به وبموجبه يتم منحها على أساس منتظم.
أن يتم اختيار الفائزين وفقاً لمعايير معلنة.
الحصول على موافقة المؤسسة المالية المسبقة على ذلك.

هـ.

على متلقي الهدية تقديم إفصاح مكتوب مباشرة لإدارة الالتزام بعد تلقي الهدية من خلال نموذج إفصاح في الحالات التالية:

إذا كانت الهدية لها قيمة ولها ثمن يمكن أن تباع به.
إذا كانت الهدية قابلة للتلف وتتجاوز قيمتها (1000) ريال.

و.	يحظر على منسوبي المؤسسة المالية تقديم الهدايا والهبات والدعوات لمن تربطه علاقة عمل بصفة شخصية مع المؤسسة المالية إلا إذا قدمت من خلال الإدارة المختصة وفقاً للسياسة المعتمدة من المؤسسة المالية بهذا الشأن.
ز.	يحظر قبول أو طلب الهدايا والهبات التي تنطوي على إمكانية إلحاق الضرر بسمعة المؤسسة المالية.

هـ. الالتزام بالأنظمة واللوائح والتعليمات والسياسات
‏يُعد الالتزام بالأنظمة واللوائح والتعليمات والسياسات أحد أهم أسس وعوامل نجاح المؤسسة المالية والمحافظة على سمعتها ومصداقيتها، وعلى أن يحرص منسوبيها على الاطلاع والتقيد والإلمام بالأنظمة واللوائح والتعليمات والسياسات النافذة ذات العلاقة بالعمل والمهام المنوطة بهم وتطبيقها دون أي تجاوز أو مخالفة أو إهمال، وعدم إجراء أي تعامل باسم المؤسسة المالية يمكن أن يخالف الأنظمة واللوائح والتعليمات أو السياسات المتعلقة بالمؤسسة المالية.،

و. التعامل مع تضارب المصالح
‏لحماية المؤسسة المالية وأصحاب المصلحة. يتحمل جميع منسوبي المؤسسة المالية تحديد أي تضارب محتمل أو فعلي في المصالح يمكن أن يؤثر سلبا على المؤسسة المالية و/ أو أصحاب المصلحة، وفي الحالات التي لا يمكن فيها منع حدوث تضارب في المصالح. يجب إدارتها بشكل مناسب. بحيث تدير المؤسسة المالية تضارب المصالح من خلال مجموعة من الضوابط والسياسات والإجراءات.

ز. الحفاظ على السرية وآليات الإفصاح عن المعلومات

تعتبر المعلومات من الأصول الهامة لأعمال المؤسسة المالية كما أن حفظها عامل مهم لنجاح المؤسسة المالية واستمرارها. وتعتبر جميع المعلومات المتعلقة بأصحاب المصلحة لدى المؤسسة المالية أو منسوبها مُلكاً للمؤسسة المالية. على المؤسسة المالية إعداد مجموعة من الضوابط والاجراءات الخاصة بإتلاف المستندات والأجهزة الغير مستخدمة أو التالفة.

تقوم المؤسسة المالية بتصنيف المعلومات من حيث درجة السرية وفقاً للآتي:

1. تصنيف معلومات المؤسسة المالية

	أ.	معلومات عامة: معلومات تقع ضمن النطاق العام ومتوفرة مجانا ومتاحة للعامة من خلال أحد قنوات المؤسسة المالية المصرح بها.
	ب.	معلومات داخلية: المعلومات التي لا يتم الكشف عنها لأشخاص من خارج المؤسسة المالية.
	ج.	معلومات سرية: ‏جميع المعلومات غير العامة المتعلقة بالمؤسسة المالية أو بمنسوبيها أو أصحاب المصلحة. ويجب على منسوبي المؤسسة المالية المطلعين على هذه المعلومات حمايتها ويجوز فقط الإفصاح عنها لمنسوبي المؤسسة المالية الآخرين على أساس الحاجة. وقد ينتج عن الإفصاح غير المصرح به عن المعلومات السرية عواقب قانونية تتمثل في دعاوى قضائية أو عقوبات نظامية أو إضرار للسمعة. ومن الأمثلة على المعلومات السرية: المعلومات الخاصة أو استراتيجيات المؤسسة المالية أو المعلومات الحساسة من ناحية التنافسية أو الأسرار التجارية أو المواصفات أو قوائم أصحاب المصلحة أو بيانات البحوث. ويجب منع غير المصرح لهم من الوصول لهذه المعلومات.
	‏د.	معلومات سرية للغاية: المعلومات التي أؤتمن بعض منسوبي المؤسسة المالية عليها والتي من شأنها أن تؤثر بشكل كبير على المؤسسة المالية أو منسوبيها أو أصحاب المصلحة إذا تم الإفصاح عنها دون تصريح. حيث ينبغي أن تتوفر المعلومات للموظفين بقدر ما تقتضيه حاجة عمل المؤسسة المالية المسموح بها فقط وأن يلتزم منسوبي المؤسسة المالية بسياسة أمن المعلومات، خاصة تلك التي تتعلق بالتعامل مع أنواع المعلومات المختلفة، كما يمنع منعاً باتاً الاطلاع على المعلومات التي تكون في ‏غاية السرية إلا للموظفين المرخصين بذلك.

2. تصنيف السرية

أ.	سرية معلومات أصحاب المصلحة: من واجبات ومسؤولية المؤسسة المالية حماية سرية معلومات أصحاب المصلحة ويؤتمن منسوبي المؤسسة المالية على المعلومات الهامة لأصحاب المصلحة وهذه المعلومات مهمة للحفاظ على قدرة المؤسسة المالية على تقديم منتجات وخدمات ذات جودة عالية. وتشمل تلك المعلومات دون حصر معلومات عن البيانات الشخصية ومنتجات وخدمات وحسابات وأرصدة والتعاملات والمعلومات الخاصة التي تتعلق بعمليات اندماج أو استحواذ وأوضاع الأوراق المالية، بالإضافة للطلبات المعلقة أو الخطط لزيادة رأس المال، وتعتبر مسؤولية حفظ معلومات أصحاب المصلحة مسؤولية فردية وجماعية بين منسوبي المؤسسة المالية. وذلك وفقاً لأدق معايير أمن سرية المعلومات ويجب أن يتم التعامل مع معلومات أصحاب المصلحة بأقصى درجات السرية. وأن تستمر مسؤولية الالتزام بحفظ سرية المعلومات حتى بعد انتهاء عمل/خدمة منسوبي المؤسسة المالية.، ويمنع مشاركة معلومات أصحاب المصلحة مع أي شخص ليس لديه حق الوصول إليها من داخل أو خارج المؤسسة المالية.
ب.	سرية معلومات الملكية: خلال العمل في المؤسسة المالية قد يقدم منسوبي المؤسسة المالية أو يطوروا و/أو يطلعوا على معلومات وأفكار وابتكارات وأنظمة وملكيات فكرية وتقنيات وسياسات وإجراءات وعمليات وبرامج كمبيوتر ومعدات وعمليات تشغيلية ونتائج وتوقعات ربحية وخطط للأعمال واستراتيجيات وبرامج ومعلومات موظفين وتقارير ودراسات وسجلات وبيانات وقوائم ومعلومات أصحاب المصلحة وأسرار تجارية وغيرها من المعلومات المتعلقة بالمؤسسة المالية أو أصحاب المصلحة أو أصحاب المصلحة المحتملين أو منتجاتها أو خدماتها أو أي أطراف أخرى تابعة للمؤسسة المالية والتي لا تكون متوفرة للعامة وقد تكون هذه المعلومات أصلية أو نسخة عن الأصلية أو إلكترونية أو محفوظة أو مكتوبة أو أي نوع آخر. ‏وكشرط من شروط التوظيف/الخدمة، إقرار منسوبي المؤسسة المالية أو الموافقة على أن معلومات الملكية هي ملك للمؤسسة المالية وحدها والتخلي عن أي حقوق أو مصالح لهم منها. كما أنه من واجب منسوبي المؤسسة المالية الحفاظ على معلومات الملكية، ولا يجوز لمنسوبي المؤسسة المالية استخدام هذه المعلومات خارج أعمال المؤسسة المالية. كما يمنع استخدام معلومات الملكية استخداما غير مصرح به. وعلى منسوبي المؤسسة المالية عدم تسجيل أي اتصالات تتضمن معلومات الملكية من خلال استخدام أجهزة إلكترونية أو استخدام أجهزة تسجيل شخصية بما في ذلك كاميرات الهواتف النقالة والحفاظ عليها وعدم استخدامها أو إفشائها أو إفصاحها لأي طرف ثالث غير مصرح له خلال فترة عملهم وخدمتهم وبعد انتهاءها. وأن يتخذ منسوبي المؤسسة المالية الحذر من أن يتم نشر أو إتلاف معلومات الملكية. وفي حالة الاستقالة من العمل يجب أن يحذف/يعيد منسوبي المؤسسة المالية جميع معلومات الملكية التي في حيازتهم بما في ذلك المعلومات التي يحتفظون بها في أجهزتهم وممتلكاتهم الشخصية مثل (الأجهزة الإلكترونية. كمبيوتر المنزل).
ج.	سرية المعلومات الداخلية: قد يؤتمن منسوبي المؤسسة المالية في بعض الأحيان على معلومات داخلية وتكون جوهرية. ويسمح بحيازة هذا النوع من المعلومات لكن لا يسمح بإساءة استخدامها. إن تعريف "المعلومات الداخلية الجوهرية" واسع. فالمعلومات الداخلية تكون "جوهرية" إذا كان هناك احتمال كبير أن يعتبرها الشخص الراشد معلومات مهمة لإنشاء استثمار/قرار تجاري أو إذا كان انتشار هذه المعلومات سيؤثر في سعر الأوراق المالية للشركة في السوق. وقد تعتبر المعلومات الداخلية جوهرية أيضاً إذا ارتبطت بالمستقبل أو بأحداث محتملة أو متوقعة، أو إذا كانت جوهرية فقط في حال دمجها مع معلومات متوفرة للعامة. وتعتبر جميع المعلومات "داخلية" إلا في حال تم الإفصاح عنها ومر الوقت المناسب لاستيعابها. ومن الأمثلة على الافصاح الكافي عن المعلومات: المعلومات التي تم رفعها لأسواق الأوراق المالية وللجهات التنظيمية (مثل تداول وهيئة السوق المالية) أو إصدارها في بيان صحفي أو من خلال الاجتماعات مع أفراد من الإعلام والعامة. لا يجوز لأي من منسوبي المؤسسة المالية مناقشة المعلومات الداخلية أو تمريرها لأي موظف آخر إلا إذا كان تبادل هذه المعلومات يخدم أغراض المؤسسة المالية. يجب ألا يقوم منسوبي المؤسسة المالية بالتداول بصورة مباشرة أو غير مباشرة أو عن طريق توكيل الغير أو بترتيب صفقة تداول يكون أحد أطرافها شخص تربطه بأحد منسوبي المؤسسة المالية علاقة عائلية أو علاقة عمل أو علاقة تعاقدية أو رتب لوكيله أو أي شخص آخر يتصرف بالنيابة عنه في الأسهم أو الأوراق المالية لأحد الشركات المدرجة أو إعطاء توصيات للقيام بذلك بناء على معلومات داخلية اطلعوا عليها بحكم عملهم/خدمتهم في المؤسسة المالية. لا يسمح لمنسوبي المؤسسة المالية الاستثمار أو اتخاذ القرارات التجارية (لا علاقة لها بعمل المؤسسة المالية) بناء على معلومات اكتسبوها من المؤسسة المالية. إذ أن عمل كهذا يعتبر مخالف ويعاقب عليه القانون، إذا اعتقد أي من منسوبي المؤسسة المالية بأنه اطلع على معلومات داخلية فإنه لا يجوز له التداول بالأوراق المالية بناء على تلك المعلومات إلا بعد استشارة إدارة الالتزام. وفي حال وجود تداول أو امتلاك أوراق مالية قبل الالتحاق بالمؤسسة المالية يجب إشعار الإدارة المختصة بذلك.
‏د.	تبادل معلومات سرية على أساس الحاجة: يجب على منسوبي المؤسسة المالية عدم الإفصاح عن المعلومات السرية لمنسوبين آخرين أو للجهات الإشرافية والرقابية أو للمحامين الخارجيين و/أو المستشارين، إلا بعد الحصول على الموافقات المطلوبة وعلى أن يكون الإفصاح وفق الحالات التالية: إذا كان للمتلقي حاجة مشروعة من تلك المعلومة وكان مرخص له الحصول عليها ومرتبط ذلك بمسؤوليات عمله/خدمته، وفقاً للتعليمات المنظمة لذلك. أنه لن ينتج أي ضرر عن إفصاح هذه المعلومة. وعلى منسوبي المؤسسة المالية عدم إعطاء أي معلومات عن المؤسسة المالية لجهات خارجية إلا إذا كان لديه الصلاحية للقيام بذلك. وقد يكون هناك استثناءات للإفصاح عن بعض المعلومات إذا كان الإفصاح عنها أمر طبيعي عند القيام بأعمال المؤسسة المالية. مثل الاستفسارات عن الملاءة المالية و/أو إذا تم طلب المعلومات من قبل جهة إشرافية أو تنظيمية أو إذا كان الإفصاح من مصلحة المؤسسة المالية وأصحاب المصالح فيها. وفيما يلي أمثلة عن بعض الحالات التي تخضع للاستثناء،‏ إلا أنه لن يتم تطبيق هذا الاستثناء إلا بعد الحصول على موافقة المسئولين المعنيين في المؤسسة المالية: ‎الإعلانات الدورية العامة التي تفرضها الجهات التنظيمية. إذا طلبت الجهات المختصة المعلومات لأغراض التحقيق. ويجب إحالة الاستفسارات التنظيمية والإشرافية لإدارة الالتزام. ولا يحق لأي موظف الرد على أي استفسار تنظيمي/إشرافي أو تزويد هذه الجهات بأي معلومات مطلوبة إلا من خلال إدارة الالتزام أو إذا كان مصرحاً له القيام بذلك.

واجبات منسوبي المؤسسة المالية:

‏إن منسوبي المؤسسة المالية ملزمين بحماية المعلومات السرية، وبالإضافة إلى المتطلبات المفصلة الموجودة في سياسة أمن المعلومات المعدة من قبل المؤسسة المالية فإنه يجب على المنسوبين كحد أدنى الالتزام بالآتي:

‏‏الالتزام بسياسة أمن المعلومات وإجراءاتها، والأنظمة والتعليمات ذات العلاقة بالسرية.
‏عدم الإطلاع على معلومات أصحاب المصلحة أو معلومات الملكية التي تعتبر "معلومات غير عامة" لأغراض لا صلة لها بعملهم، وفي حال إطلاعهم يجب أن يكون هذا الإطلاع ضمن صلاحياتهم، ولأسباب تخص العمل.
‏عدم السعي خلف الحصول على معلومات سرية لا يتطلبها عملهم.
‏عدم تزويد أي شخص غير مرخص له من داخل أو خارج المؤسسة المالية بمعلومات سرية، أو تسهيل وصوله إليها.
‏أن يكون إعطاء الأشخاص المرخص لهم المعلومات وفق الحدود المطلوبة.
‏حفظ معلومات أصحاب المصلحة ومعلومات الملكية أو غيرها من المعلومات السرية بطريقة تمكن الموظفين المرخص لهم فقط بالإطلاع عليها.
‏عدم ترك أي معلومات سرية في أماكن يمكن الإطلاع عليها مثل المكاتب أو الأماكن المشتركة.
‏استخدام المظاريف أو الخدمات البريدية أو البريد الالكتروني المشار عليه بالسرية عند القيام بتبادل معلومات سرية داخل المؤسسة المالية.
‏عدم أخذ أي نسخ لأي مستند أو نص لا علاقة له بعملهم قبل الحصول على موافقة المدير المباشر.
‏عدم الدخول إلى الخزائن أو الغرف المحصنة أو غيرها من المناطق المحظورة إلا إذا كان مرخص لهم القيام بذلك، أو إذا كان ذلك مرتبط بمتطلبات العمل.
إبقاء المستندات التي يتم العمل عليها في الوقت الحالي فقط فوق المكتب أما غيرها من المستندات فيجب إبقاءها في الأدراج ويفضل إبقائها في أماكن مقفلة.
القيام بإغلاق الأجهزة وقفل الأدراج عند مغادرة المكتب.
إتلاف جميع المستندات التي لم يعد هنالك حاجة لإبقائها والتي تحتوي على معلومات حساسة أو سرية، أما ما يتعلق بالمعاملات والمستندات الأخرى فيتم وضعها في ملف داخل خزائن مقفلة.
عدم الإفصاح عن أي معلومات سرية حول المؤسسة المالية لأي شخص بما في ذلك منسوبي المؤسسة المالية غير المرخص لهم بمعرفة هذه المعلومات أو المنسوبين الذين لا حاجة لهم في تلك المعلومات.
اتخاذ الإجراءات الوقائية لتفادي الإعلان غير المصرح به عن المعلومات السرية.
عدم مناقشة أمور حساسة أو معلومات سرية في أماكن عامة مثل المصاعد والممرات والمواصلات العامة.
المحافظة على سرية معلومات المؤسسة المالية خلال فترة عملهم/ خدمتهم وبعد انتهاء تلك الفترة وعدم مشاركة شخص آخر تلك المعلومات أو القيام بجمعها أو تسجيلها أو نشرها في أي وقت أو لأي سبب كان إلا بعد الحصول على موافقة كتابية من الإدارة المفوضة بذلك داخل المؤسسة المالية.
عدم الدخول إلى مباني المؤسسة المالية في غير ساعات العمل إلا بعد الحصول على موافقة المدير المباشر وإدارة الأمن والسلامة.
الفهم والإقرار بأن أي ملكيات فكرية وضعت لصالح المؤسسة المالية أو نشأت من خلال استخدام موارد المؤسسة المالية هي ملك للمؤسسة المالية وحدها.
المحافظة على سرية أرقام الغرف المحصنة ورموز الدخول إلى الأنظمة التقنية وجميع الأرقام السرية الأخرى.
الحيلولة دون الإعلان عن المعلومات السرية بقصد أو بغير قصد.
الالتزام بأخذ الموافقة المسبقة من صاحب الصلاحية لنسخ أو حيازة أي مستند أو نص خارج مبنى المؤسسة المالية لإتمام العمل خارج مقر المؤسسة المالية.

ويجب إبلاغ الجهة المختصة بأمن المعلومات في حال تلقى أحد منسوبي المؤسسة المالية معلومات سرية لا يحتاجها في حينه، علاوة على الواجبات المذكورة أعلاه فإن المنسوبين مسؤولون عن الالتزامات الأمنية التالية:

الالتزام بالمتطلبات القانونية والتنظيمية وغيرها من المتطلبات التعاقدية التي تطبق على مجال عملهم.
الحفاظ على الهوية الوظيفية والأرقام السرية الخاصة بأنظمة المؤسسة المالية التقنية مع مراعاة تغييرها بشكل دوري. ويعتبر منسوبي المؤسسة المالية مسؤولين عن أي عمل يتم إجراءه تحت هوياتهم الوظيفية ويجب إتباع سياسات أمن المعلومات لمنع سوء استخدام الهوية الوظيفية.
‏ عدم العبث بالحماية الأمنية الخاصة بأنظمة المؤسسة المالية التقنية.
القيام بالخطوات اللازمة لحماية معلومات المؤسسة المالية المخزنة في أجهزة الكمبيوتر.
الالتزام بالإجراءات الأمنية الإضافية للحيلولة دون الكشف عن معلومات سرية بغير قصد وذلك للمنسوبين الذين يملكون أجهزة كمبيوتر محمولة أو الذين يستطيعون الوصول لأنظمة المؤسسة المالية عن بُعد أو المرخص لهم باستخدام أي أجهزة محمولة أخرى لتأدية أعمال المؤسسة المالية.

ح. استخدام المعلومات الداخلية وتسريبها للتلاعب في السوق
على منسوبي المؤسسة المالية عدم القيام بأي فعل أو المشاركة أو تشجيع الآخرين في أي سلوك قد يحدث انطباعاً خاطئاً عن أي استثمار أو سعر أو قيمة شيء ما من خلال استخدام المعلومات الداخلية أو تسريبها للحصول على منافع شخصية لحسابه الخاص أو لأطراف أخرى.

ط. الإبلاغ عن المخالفات الفعلية أو المحتملة
على المؤسسة المالية أن توفر وسائل تواصل فعّالة لاستقبال البلاغات عن المخالفات الفعلية أو المحتملة، ويجب على أي من منسوبي المؤسسة المالية الإبلاغ عن الشكوك التي تراوده حول التعاملات التي تتم من قبل منسوبين آخرين لديهم معلومات داخلية وسرية. وكذلك الإبلاغ عن حالات الاحتيال أو محاولة الاحتيال وأي فقدان لمبالغ أو أوراق تجارية أو أي مخالفات محتملة للأنظمة واللوائح والتعليمات أو السياسات الخاصة بالمؤسسة المالية. بالإضافة إلى الإبلاغ عن أي تعاملات غير عادية يرى الموظف من وجهة نظره أنها لا تتوافق مع الوضع المالي لأصحاب المصلحة وذلك عبر خطوط الابلاغ المختلفة التي توفرها المؤسسة المالية. ويتم التعامل مع المبلغ عن المخالفات بسرية تامة وتضمن المؤسسة المالية الحماية المناسبة للموظف المُبلغ عن المخالفات بحسن نية، كما لا تتسامح المؤسسة المالية مع أي شكل من أشكال الأعمال الانتقامية ضد المبلغ عن المخالفات.
‏يجب على المؤسسة المالية محاسبة منسوبيها المتغاضين بشكل متعمد عن الإبلاغ عن أي أفعال أو تعاملات مخالفة للأنظمة واللوائح والتعليمات والسياسات ذات العلاقة.

ي. المكافآت والحوافز
للمؤسسة المالية أن تمنح منسوبيها مزايا خارج نطاق نصوص عقد العمل الرسمي المبرم معهم لتحفيزهم لتحقيق أفضل النتائج. وفق سياسة المكافآت والحوافز المعدة من قبل المؤسسة المالية. على أن تراعي الآتي:
1. ‎ضمان إدارة مخاطر سليمة وفعالة من خلال هيكل إدارة فعالة لتحديد الأهداف ومشاركتها مع الموظفين.
2. ضمان إدارة مخاطر فعالة للمكافآت والحوافز من خلال وضع سياسة تضمن عدم تركز المكافآت والحوافز على فئة محدودة من الموظفين.
3. التوافق مع استراتيجية العمل الخاصة بالمؤسسة المالية والقيم والأولويات الرئيسية والأهداف طويلة المدى.

رابعاً: عواقب عدم الإلتزام بمبادئ السلوك وأخلاقيات العمل
‏على المؤسسة المالية التحقق من تطبيق سياسة السلوك وأخلاقيات العمل في المؤسسة المالية. ورصد وضبط أي انتهاكات لها. وكذلك تطويرها وتحديثها بما يتوافق مع هذه المبادئ. وإيقاع العقوبات المترتبة على مخالفتها وفق الأنظمة والتعليمات ذات العلاقة. وحسب لائحة تنظيم العمل والجزاءات الخاصة بكل مؤسسة مالية.

ضوابط الإعلان عن المنتجات والخدمات المقدمة من المؤسسات المالية
الرقم: 44064343 التاريخ (م): 2023/3/5 | التاريخ (هـ): 1444/8/13 الحالة:نافذ
استناداً إلى نظام البنك المركزي السعودي الصادر بالمرسوم الملكي رقم (م/36) وتاريخ 1442/4/11هـ، وانطلاقاً من جهود البنك المركزي المستمرة لحماية عملاء المؤسسات المالية، وتعزيز مبدأ الإفصاح والشفافية في القطاع المالي، ولتحديد الحد الأدنى من المعايير والإجراءات التي يجب على المؤسسات المالية الالتزام بها عند الإعلان عن المنتجات والخدمات المالية.
مرافق ضوابط الإعلان عن المنتجات والخدمات المقدمة من المؤسسات المالية، والتي يتوجّب على المؤسسات المالية كافة الالتزام بها، واستكمال الإجراءات اللازمة حسب السياسات والإجراءات المتبعة.
للإحاطة والعمل بموجبه اعتباراً من تاريخه.

المقدمة
يُعد البنك المركزي الجهة التي تراقب وتشرف على المؤسسات المالية المرخص لها من قبله، وله في ذلك صلاحيات تنظيمية بما يشمل تأطير وتنظيم ما يتصل بمسائل الإعلان عن المنتجات والخدمات التي تقدمها تلك المؤسسات المالية وذلك استناداً الى نظام البنك المركزي السعودي، الصادر بموجب المرسوم الملكي رقم (م/36) وتاريخ 1442/04/11هـ، وما تضمنته المادة (الرابعة) منه والتي نصت على أن: "يؤدي البنك مهماته وفقاً لأحكام النظام، وما يُصدره المجلس من لوائح وسياسات، ووفق أفضل المعايير والممارسات الدولية، وله جميع الصلاحيات اللازمة لتحقيق أهدافه، وله – في سبيل ذلك – ممارسة المهمات والصلاحيات الآتية: 3- إصدار اللوائح والتعليمات ذات الصلة بالمؤسسات المالية وأعمالها، ... 9- وضع التعليمات والإجراءات الكفيلة بحماية عملاء المؤسسات المالية". ولتحقيق المستهدفات فيما يتعلق بالإعلان عن المنتجات والخدمات التي تقدمها المؤسسات المالية للعملاء والمستهلكين فإن البنك المركزي السعودي أصدر هذه الضوابط.

نطاق التطبيق
تسري هذه الضوابط على المؤسسات المالية كافة عند الإعلان عن أي منتج أو خدمة مقدمة منها.

التعريفات

المصطلح	التعريف
البنك المركزي	البنك المركزي السعودي*.
المؤسسات المالية	الجهات الخاضعة لإشراف ورقابة البنك المركزي طبقاً للأنظمة السارية
العميل	الشخص ذو الصفة الطبيعية أو الاعتبارية الحاصل على أي من المنتجات والخدمات
المستهلك	الشخص ذو الصفة الطبيعية أو الاعتبارية الموجه له المنتجات والخدمات.
المنتجات والخدمات	أي منتج أو خدمة تقدمها المؤسسة المالية.
الإعلان	رسالة تجارية تُروج بأي وسيلة كانت، بشكل مباشر أو غير مباشر
الوسيلة	الأداة المستخدمة للإعلان، مرئية أو مسموعة أو مقروءة

الهدف

تهدف هذه الضوابط الى الآتي:
أ.	وضع الإطار التنظيمي والحد الأدنى من المعايير والإجراءات التي يجب على المؤسسات المالية الالتزام بها عند الإعلان عن منتجاتها وخدماتها.
ب.	رفع مستوى ثقة المتعاملين مع المؤسسات المالية.
ج.	حماية عملاء المؤسسات المالية وتعزيز مبدأ الإفصاح والشفافية.

الالتزام بالأنظمة واللوائح والتعليمات ذات العلاقة

تلتزم المؤسسات المالية عند الإعلان عن أي منتج أو خدمة، بما ورد في هذه الضوابط، وبما لا يتعارض مع ما ورد في الأنظمة واللوائح والقواعد والتعليمات ذات العلاقة – وأي تحديثات تصدر في شأنها لاحقاً، ومنها – على سبيل المثال لا الحصر:
أ.	ما يصدر من أنظمة ولوائح وتعليمات وضوابط من الجهات المعنية بتنظيم المحتوى الإعلاني والدعائي، ومنها: وزارة الإعلام، والهيئة العامة للإعلام المرئي والمسموع.
ب.	نظام مراقبة البنوك.
ج.	نظام مراقبة شركات التأمين التعاوني ولائحته التنفيذية.
د.	نظام مراقبة شركات التمويل ولائحته التنفيذية.
هـ.	نظام التمويل العقاري ولائحته التنفيذية.
و.	نظام الإيجار التمويلي ولائحته التنفيذية.
ز.	نظام المدفوعات وخدماتها ولوائحه.
ح.	قواعد تطبيق أحكام نظام مراقبة البنوك.
ط.	قواعد تنظيم شركات التمويل الاستهلاكي المصغر.
ي.	القواعد المنظمة لمزاولة أعمال الصرافة.
ك.	ضوابط التمويل الاستهلاكي المُحدثة.
ل.	ضوابط إصدار وتشغيل بطاقات الائتمان وبطاقات الحسم الشهري.
م.	القواعد المنظمة لمزاولة نشاط الوكالة المصرفية في المملكة العربية السعودية.
ن.	قواعد ممارسة نشاط التمويل الجماعي بالدين المحدثة.
س.	تعليمات إسناد المهام الى طرف ثالث.
ع.	مبادئ السلوك وأخلاقيات العمل في المؤسسات المالية.
ف.	أي تعليمات يُصدرها البنك المركزي مستقبلاً ذات صلة.

الضوابط والإجراءات

المادة (1): على المؤسسات المالية بذل العناية اللازمة عند الإعلان عن المنتجات والخدمات من حيث محتوى الإعلان وطريقته، وتجنب استخدام أساليب مغرية أو مضللة أو غير دقيقة، وعدم المبالغة في عرض مميزات تلك المنتجات أو الخدمات المعلن عنها، ويجب أن تكون كافة العبارات والأرقام المستخدمة سهلة الفهم وبخط واضح ومقروء بما في ذلك الهوامش العلوية أو السفلية.
المادة (2): يجب أن تكون اللغة العربية هي اللغة الأساسية المستخدمة في الإعلان عن المنتجات والخدمات المقدمة من المؤسسات المالية، ويستثنى من ذلك الإعلانات الموجهة لغير الناطقين باللغة العربية مع الالتزام التام بما ورد في هذه الضوابط.
المادة (3): على المؤسسات المالية استيفاء متطلبات الإعلان عن أي منتج أو خدمة والتي تشمل كحد أدنى الآتي:
	1.3	اسم وشعار وبيانات الاتصال بالمؤسسة المالية.
	2.3	اسم المنتج أو الخدمة المُعلن عنها.
	3.3	الشروط والأحكام الأساسية.
	4.3	شريحة العملاء و/ أو المستهلكين المستهدفين.
	5.3	كافة مبالغ الرسوم والعمولات المتعلقة باستخدام الخدمة أو المنتج شاملة ً ضريبة القيمة المضافة، وإذا كان الإعلان عن وثيقة تأمين يجب أن يتم الإيضاح ما إذا كان السعر شاملاً كافة الرسوم أم لا.
	6.3	الحد الأدنى من العمليات/ المتطلبات اللازمة للاستفادة من المنتج أو الخدمة - إن وُجدت -.
	7.3	شرحاً للرموز المختصرة المشار اليها في الإعلان صراحةً بلغة الإعلان.
	8.3	إذا كان الإعلان عن منتج أو خدمة تمويلية، يجب أن يتضمن بيان معدل النسبة السنوية (APR) ومدة التمويل بشكل واضح للعميل و/ أو المستهلك – إن وجدت -، ولا يجب أن يتضمن الإعلان معدلات أخرى لكلفة الأجل. وفي حال الإعلان عن منتج تمويل عقاري؛ فيجب توضيح أن كلفة الأجل متغيرة أو ثابتة.
	9.3	مع مراعاة الفقرة (5-3) من المادة (5) يجب أن يشير الإعلان إلى أن المؤسسة المالية خاضعة لرقابة وإشراف البنك المركزي.
المادة (4): مع مراعاة ما ورد في المادة (3) أعلاه، يتعيّن على المؤسسات المالية عند الإعلان عن أية عروض ترويجية، تضمين آلية الاستفادة من تلك العروض بطريقة واضحة تسهل على العملاء والمستهلكين تلقيها مع توضيح فترة بداية العرض ونهايته.
المادة (5): يُحظّر على المؤسسات المالية عند الإعلان القيام بالآتي:
	1-5	تقديم عرض أو بيان أو ادعاء غير صحيح أو أن يكون مصوغاً بعبارات من شأنها أن تؤدي بطريقة مباشرة أو غير مباشرة الى خداع أو تضليل العملاء و/ أو المستهلكين.
	2-5	تقديم إعلان يتضمن انتهاك لحقوق الملكية الفكرية أو استعمال علامة مقلدة.
	3-5	استخدام اسم و/ أو شعار البنك المركزي في إعلاناتها.
	4-5	تقديم إعلان يؤدي إلى إحداث لبس مع منتجات أو خدمات أو أسماء أخرى.
	5-5	المساس بالنظام العام والآداب العامة أو الإساءة لقيم وعادات المجتمع.
	6-5	الإشارة في معنى الإعلان إلى التحريض على ارتكاب الجرائم أو إلى أي تمييز عنصري أو إثارة النزعات المذهبية او الطائفية أو القبلية أو المناطقية أو غيرها من نزاعات التعصب.
	7-5	الإعلان عن منتجات أو خدمات غير مشروعة.
	8-5	استخدام صور تمثل وجه أو مظهر أو جزء من وجه أو مظهر لعملة ورقية أو معدنية أو بلاستيكية متداولة نظاماً في المملكة العربية السعودية دون الحصول على عدم ممانعة من الجهات المختصة.
المادة (6): في حال كان المنتج أو الخدمة المعلن عنها مسعرة بالعملات الأجنبية أو في حال كانت قيمة المنتج أو الخدمة المعلن عنها تتأثر بسعر صرف العملات الأجنبية، فيجب أن يحتوي الإعلان على العبارة الآتية: "يمكن لسعر المنتج/ الخدمة التأثر بالتغيُّرات في سعر صرف العملات الأجنبية" على أن تكون العبارة بخط واضح ومقروء.
المادة (7): يجب على المؤسسات المالية عند الإشارة إلى أن المنتج أو الخدمة تُقدم مجاناً، أن توضح ذلك بعبارة صريحة مع تحديد الفئة المستهدفة من المنتج أو الخدمة.
المادة (8): يجب أن تراعي المؤسسة المالية عند الإعلان عن منتجاتها وخدماتها، عدم الإضرار بسمعة القطاع المالي ومصالح المؤسسات المالية الأخرى أو التقليل منها، أو الإخلال بمبدأ المنافسة.
المادة (9): يُحظّر على المؤسسات المالية استخدام المعلومات والبيانات الشخصية التي تخص العملاء ضمن المواد الإعلانية إلا بعد الحصول على الموافقة الكتابية منهم.
المادة (10): يُحظّر على المؤسسات المالية إرسال أي إعلان لمنتجات تأمينية أو ائتمانية غير مناسبة للعملاء و/ أو المستهلكين الأفراد الذين تقل أعمارهم عن (ثمانية عشرة) عاماً هجرية.
المادة (11): يجب على المؤسسات المالية الحصول على موافقة العميل كتابياً أو الكترونياً بشأن رغبته في استقبال الإعلانات المُرسلة له حسب القنوات التي يُفضلها العميل، وأن تمنح الحق للعميل بشكل دائم في رفض استقبال هذه الإعلانات بكل سهولة وبطرق واضحة ومحددة.
المادة (12): تكون الإعلانات وما تضمنته من عروض أو مواصفات أو مزايا ملزمة على المؤسسات المالية، ويجب تضمين المواصفات المُعلن عنها ضمن العقد أو الاتفاقية أو الوثيقة أو ما في حكمها.
المادة (13): تكون الإعلانات عبر القنوات الرسمية والموثوقة للمؤسسات المالية و/ أو عبر طرف ثالث مرخص له من الجهة المختصة، وعلى المؤسسات المالية التأكد من التزام الطرف الثالث بهذه الضوابط والتعليمات ذات العلاقة، وتتحمل المؤسسات المالية المسؤولية في حال عدم التزام الطرف الثالث بها.
المادة (14): يجب على المؤسسات المالية تطوير سياسة خاصة بالإعلانات تتوافق مع هذه الضوابط والأنظمة والتعليمات الصادرة عن البنك المركزي والجهات المختصة، وكذلك التحقق من تطبيقها، وتحديثها متى ما دعت الحاجة إلى ذلك وبحدٍ أدنى مرة واحدة كل ثلاث سنوات.
المادة (15): على إدارة الالتزام أو من يقوم بعملها في المؤسسة المالية مراجعة المواد الإعلانية والموافقة عليها كتابياً قبل نشرها بعد التأكد من موافقتها لأحكام هذه الضوابط وجميع الأنظمة واللوائح والتعليمات ذات العلاقة.
المادة (16): مع عدم الإخلال باختصاصات الجهات المعنية في حال مخالفة الأنظمة الأخرى، تُعد المؤسسة المالية مسؤولة في حال تضمن محتوى إعلانها لأي مخالفة.
المادة (17): للبنك المركزي إلزام المؤسسات المالية التي لا تتقيد بالتعليمات الواردة في هذه الضوابط أو التعليمات ذات العلاقة بسحب الإعلان خلال يوم عمل واحد من إخطار البنك المركزي لها بذلك.

أحكام ختامية

1.	تُعتبر هذه الضوابط مكمّلة للقواعد والتعليمات الأخرى ذات العلاقة، وتلغي ما يتعارض معها من أحكام في أي قواعد أو تعليمات صادرة من البنك المركزي قبل تاريخ صدور هذه الضوابط.
2.	تسري أحكام هذه الضوابط اعتباراً من تاريخ اعتمادها، وتكون نافذة من تاريخه.
3.	تُمنح المؤسسات المالية مهلة (60) يوم من تاريخ التعميم لتطوير السياسة المنصوص عليها في المادة (14) من هذه الضوابط.

شكاوى المستهلكين

النموذج الموحد للرد على الشكاوى الواردة عبر نظام "ساما تهتم"

إشارةً إلى تعليمات البنك المركزي المبلغة بموجب التعميم رقم ‎ 381000107382 وتاريخ 1438/11/01هـ‏ في شأن تطبيق اتفاقية مستوى الخدمة في معالجة الشكاوى الواردة عبر نظام "ساما تهتم". ونظراً إلى ما تم رصده من ملاحظات خلال الفترة الماضية على مستوى جودة الردود على الشكاوى من خلال النظام.

وحرصاً من البنك المركزي على سرعة معالجة الشكاوى بكفاءة وجودة عالية وبما يساهم في حفظ حقوق العملاء؛ فإنه يتوجب على كافة المؤسسات المالية الخاضعة لإشراف ورقابة البنك المركزي الالتزام باستخدام صيغة النموذج الموحّد للرد على الشكاوى الواردة عبر نظام "ساما تهتم" وذلك وفقاً لتصنيف الرد بحسب ما هو موضّح في النموذج المرافق.

كما يؤكد البنك المركزي على ضرورة تطوير وتفعيل عمل إدارة العناية بالعميل مع الإدارات ذات العلاقة، ومن ذلك إيجاد وتفعيل اتفاقية مستوى خدمة تضمن سرعة معالجة الشكاوى خلال المُدد المحددة في التعليمات، وبجودة عالية، وقياس مدى الالتزام بهذه الاتفاقية بشكل دوري للتأكد من فاعليتها.

الشكاوى المستلمة عبر نظام "ساما تهتم" من قبل العميل:

أولاً: في حال استخدام خاصية "المستندات الناقصة" لدراسة الشكوى أو الاستفسار:

عزيزنا العميل:

تحية طيبة.

إشارة إلى الشكوى المقدمة منكم بشأن اعتراضكم على (يتم تحديد شكوى العميل بالتفصيل):

1- ........

2- ........

‏نأمل التكرم بتزويدنا بالمستندات التالية ليتسنى لنا اكمال اللازم: (يتم طلب كافة المستندات والمعلومات المطلوبة غير المتوافرة لدى المؤسسة المالية)

1- .......

2- .......

ثانيا: لإفادة العميل بعد معالجة الشكوى:

عزيزنا العميل:

تحية طيبة،

‏إشارة إلى الشكوى المقدمة من قبلكم بشأن اعتراضكم على (يتم تحديد شكوى العميل بالتفصيل):

1- ......

2- ......

‎‏نود الإفادة أنه تم معالجة الشكوى وذلك... (بإيداع المبلغ محل الاعتراض/ بعكس المبلغ/ بتسوية العقد/ بإعادة الجدولة.... إلخ، يتم إيضاح الإجراء التصحيحي متضمناً كافة التفاصيل وتاريخ الإجراء).

‏(يتم توضيح نتائج دراسة الشكوى مع تزويد العميل بالمستندات المؤيدة لمعالجة الشكوى)

‏كما نود الإحاطة أنه تم التواصل معكم بتاريخ ............ وجرى الرد على كافة استفساراتكم وإفادتكم بالنتائج ‏أعلاه.

الشكاوى المصعّدة للبنك المركزي:

السادة البنك المركزي

تحية طيبة،

‏إشارة إلى طلبكم... (يتم تحديد جميع ما تم طلبه لمعالجة الشكوى من قبل البنك المركزي)....

‏نود الإفادة أنه تم معالجة الشكوى...... (يتم توضيح نتائج دراسة الشكوى بالتفصيل والإشارة إلى نص الفقرة المُستند عليها من "التعليمات/ العقد/ الشروط والأحكام... إلخ". على أن يكون رد البنك مدعوماً بالمستندات المؤيدة لصحة المعالجة. بالإضافة إلى الإجابة على ملاحظة البنك المركزي وإرفاق أي مستندات تم طلبها)

‏كما نود الإحاطة أنه تم التواصل مع العميل هاتفياً بتاريخ ...... الساعة ......... وتم إفادته بنتائج معالجة الشكوى.

قياس مؤشرات أداء الجهات المالية

انطلاقاً من دور البنك المركزي لحماية عملاء الجهات المالية الخاضعة لإشرافه، وإشارةً إلى تعميم البنك المركزي رقم 381000107382 وتاريخ 1438/11/01هـ والمُشار فيه إلى تدشين المرحلة الأولى من نظام "ساما تهتم" (SAMACares)، وحيث تضمن التعميم أن البنك المركزي سيقوم خلال المرحلة الثانية من النظام بتقييم عمل الجهات المالية وفقاً لمؤشرات أداء يتم اعتمادها لاحقاً.

لذا نود التأكيد على أهمية الالتزام بمؤشرات الأداء الموضحة أدناه:

مؤشر الأداء	وصف المؤشر	الهدف المطلوب
نسبة رضا العملاء عن معالجة الشكاوى	الشكاوى التي قام فيها العملاء بالاعتراض على رد الجهة المالية	لا تقل عن 80%**
نسبة جودة ردود المؤسسات المالية للبنك المركزي*	الشكاوى التي تم إغلاقها بعدد مراسلات تزيد على ثلاث مرات	لا تزيد عن 97%*
نسبة الالتزام باتفاقية مستوى الخدمة	اتفاقية مستوى الخدمة حسب تعميم البنك المركزي رقم 381000107382	لا تقل عن 95%*
نسبة الشكاوى التي تم معالجتها وإقفالها لصالح العميل بعد تصعيدها*	الشكاوى التي تم فيها قبول اعتراض العملاء على رد الجهة المالية وتم إغلاقها لمصلحة العميل	لا تزيد عن 5%**

علماً أنه ستتم متابعة أداء الجهات المالية وفق هذه المؤشرات بشكل ربع سنوي اعتباراً من تاريخ 2018/01/01م، ويتوقع البنك المركزي من مجلس الإدارة مراقبة أداء هذه المؤشرات وتقديم الدعم الكامل والموارد البشرية اللازمة للإدارات ذات العلاقة بما يضمن الالتزام.

وحرصاً من البنك المركزي على تعامل الجهات المالية بعدل وإنصاف مع العملاء؛ سيقوم البنك المركزي باتخاذ الإجراءات النظامية ضد الشركات والبنوك المخالفة لما ورد في هذا التعميم.

^*تم التعديل بموجب التعميم رقم (42027544) وتاريخ 1442/04/28هـ.

^**تم التعديل بموجب التعميم رقم (44009296) وتاريخ 1444/05/02هـ.

تدشين نظام "ساما تهتم"
انطلاقاً من دور البنك المركزي في تعزيز مفهوم حماية عملاء الجهات المالية الخاضعة لإشرافه، واستمراراً لجهود البنك المركزي في تحسين تجربة العملاء عند التعامل مع تلك الجهات، ولأهمية تطوير كفاءة وفعالية معالجة الشكاوى، فإنه يسرنا إحاطتكم بتدشين نظام "ساما تهتم" (SAMACares) والذي سيُمكّن مُستخدميه من تحليل مختلف أنواع الشكاوى ومتابعة أنماطها حسب كل منتج وخدمة.
وحيث تعتبر الشكاوى من أهم المؤشرات والمصادر لتطوير الخدمات والمنتجات وتأكيداً على حق العملاء في تقديم الشكاوى، نود التأكيد على ضرورة تعديل السياسات والإجراءات لتتلاءم مع تعريف الشكوى على أنها "كل تعبير عن عدم الرضا ذي علاقة بالخدمة المقدمة، سواء كان مبرراً أو غير مبرر، كتابةً أو شفاهه"*.
وإشارة الى ضوابط معالجة الشكاوى والتعاميم ذات العلاقة ولضمان عدم تجاوز الفترات النظامية في معالجة الشكوى فإنه يجب على الجهات المالية الالتزام في نظام "ساما تهتم" بتطبيق اتفاقيات مستويات الخدمة والتي يُستثنى منها الفترة التي تكون الشكوى محالة للعميل وذلك حسب الفترات التالية:
1. الرد على الشكاوى الواردة مُباشرة من العملاء خلال مدة أقصاها خمسة أيام عمل من تاريخ استلامها.
2. الرد على شكاوى العملاء التي قام البنك المركزي بقبول اعتراض العميل على رد الجهة خلال مدة أقصاها ثلاثة أيام عمل من تاريخ طلب الإفادة.
3. الرد على الشكاوى التي تم تصنيفها من قبل البنك المركزي على أنها ذات أهمية عالية خلال يومي عمل من تاريخ طلب الإفادة.
وعليه فإن البنك المركزي يتوقع منكم تقديم الدعم للإدارات ذات العلاقة بالصلاحيات المُناسبة والموارد البشرية والمادية اللازمة لضمان الالتزام بما تم الإشارة إليه أعلاه، على أن تُعطى عملية تحليل الشكاوى الأولوية والاهتمام الكافي من قبل الإدارة العليا، علماً أن البنك المركزي سيقوم بتقييم عمل الجهات المالية وفقاً لمؤشرات الأداء التالية:
1. نسبة الشكاوى التي قام فيها العملاء بالاعتراض على رد الجهة.
2. نسبة الشكاوى التي تم قبول اعتراض العملاء على رد الجهة.
3. معدل فترة الرد على الشكاوى حسب التصنيف المذكور في اتفاقية مستوى الخدمة.
4. معدل المراسلات بين البنك المركزي والجهة المالية من قبول اعتراض العميل حتى إغلاق الشكوى.**
* بموجب التعميم رقم (371000101671) وتاريخ 1437/9/17هـ.
** لمزيد من التفاصيل، يرجى الرجوع إلى تعميم البنك المركزي رقم (391000028201) وتاريخ 1439/3/10هـ "قياس مؤشرات أداء الجهات المالية".

دليل ارشادي لحساب مبلغ السداد المبكر
الرقم: NA التاريخ (م): 2015/8/1 | التاريخ (هـ): 1436/10/16 الحالة:نافذ
إخلاء مسئولية: تم بذل أقصى الجهود لتحقيق مستوى عال من الجودة و الدقة لمحتويات هذا الدليل، و لا يتحمل البنك المركزي أية آثار متعلقة باستخدامه، وللمزيد يمكن الرجوع إلى الصفحة المتعلقة بحدود المسئولية على موقع البنك المركزي.

مقدمة
يولي البنك المركزي أهمية كبيرة لكل ما من شأنه الارتقاء بمستوى حماية حقوق المستفيدين من المنتجات التمويلية وتعزيز مبادئ الشفافية والإفصاح وذلك من خلال تطبيق المعايير الفنية وأفضل الممارسات الدولية التي من شأنها الارتقاء بمستوى الشفافية والإفصاح وعدالة التعاملات في القطاع. ويعتبر السداد المبكر حق للمستفيدين من منتجات التمويل المختلفة وعليه قام البنك المركزي بإلزام مقدمي التمويل (البنوك/شركات التمويل ) باستخدام طريقة موحدة لحساب مبلغ السداد المبكر لعقود التمويل ذات الدفعات الشهرية مثل التمويل الشخصي، وتمويل المركبات من خلال الإيجار التمويلي أو غيره، والتمويل العقاري، وذلك بهدف تمكين المستفيدين من معرفة حقوقهم.
تم إعداد هذا الدليل لتقديم شرح مبسط عن مبلغ السداد المبكر وطريقة حسابه، وذلك بناء على ما تضمنته المادة (82) و(84) من اللائحة التنفيذية لنظام مراقبة شركات التمويل الصادرة في شهر ربيع الآخر 1434هـ الموافق لشهر فبراير 2013م، والمادة (9) و(11) من اللائحة التنفيذية لنظام الايجار التمويلي الصادرة في شهر ربيع الآخر 1434هـ الموافق لشهر فبراير 2013م، والمادة (11) من التحديث الأول لضوابط التمويل الاستهلاكي الصادرة في شهر رمضان 1435هـ الموافق لشهر يوليو 2014م.

السداد المبكر

كفلت أنظمة التمويل ولوائحه التنفيذية وضوابط التمويل الاستهلاكي للمستفيدين من منتجات التمويل تعجيل سداد باقي مبلغ التمويل، في أي وقت، باستثناء فترة حظر السداد المبكر للتمويل العقاري إذا نص العقد على ذلك بشرط ألا تتجاوز مدة الحظر سنتين من تاريخ إبرام العقد، وذلك دون تحمل كلفة الأجل عن المدة المتبقية. ولجهة التمويل الحصول على تعويض من المستفيد عن الآتي:

أ.	كلفة إعادة الاستثمار، بما لا يتجاوز كلفة الأجل للأشهر الثلاثة التالية للسداد، محسوبة على أساس الرصيد المتناقص.
ب.	ما تدفعه جهة التمويل لطرف ثالث بسبب عقد التمويل، حسب الشروط الآتية:
1.	أن تكون دفعت لطرف ثالث ولم يقوم المستفيد بتعويض جهة التمويل عنها.
2.	أن توثق هذه الدفعات في ملف التمويل.
3.	عدم إمكانية استرداد الدفعات من الطرف الثالث.
4.	أن تحسب بناء على المدة المتبقية من عقد التمويل.

أبرز شروط حساب مبلغ السداد المبكر
1. استخدام طريقة الرصيد المتناقص في توزيع كلفة الأجل على فترة الاستحقاق، بحيث تُوزع كلفة الأجل تناسبياً بين الأقساط على أساس قيمة الرصيد المتبقي من مبلغ التمويل في بداية الفترة التي يُستحق عنها القسط .
2. يجب أن يوضح جدول السداد (Amortization Table) (عدد الدفعات، تاريخ الدفعة، قيمة الدفعة، قيمة مبلغ كلفة الأجل (الربح) ومبلغ الاصل من كل دفعة، الرصيد المتبقي من مبلغ التمويل بعد كل دفعة).
3. عند الرغبة بالسداد المبكر، فإنه يتعين سداد كامل الرصيد المتبقي من مبلغ التمويل بالإضافة إلى كلفة الأجل للأشهر الثلاثة التالية للسداد، محسوبة على أساس الرصيد المتناقص.

أمثلة لحساب مبلغ السداد المبكر

مثال(1) طريقة حساب مبلغ السداد المبكر لتمويل شخصي
بيانات التمويل	اتفاقية تمويل شخصي بمبلغ (50,000) ريال يتم سدادها على شكل دفعات شهرية قيمة كل دفعة (4,244) ريال ولمدة (12) شهر.
طريقة حساب السداد المبكر	في حال رغبة العميل بالسداد المبكر وكان عدد الدفعات المتبقية (6) دفعات، يكون الرصيد المتبقي من مبلغ التمويل (25,212.74) ريال ومجموع كلفة الأجل للأشهر الثلاثة التالية للسداد المبكر (179.27) ريال
مبلغ السداد المبكر (مجموع المبالغ المظللة)	25,212.74+179.27= (25,392 ريال)

الشهر	رصيد بداية الفترة	القسط الشهري	مبلغ كلفة الأجل	مبلغ الأصل	الرصيد نهاية الفترة
1	50,000.00	4244	142.03	4,101.97	45,898.03
2	45,898.03	4244	130.38	4,113.62	41,784.41
3	41,784.41	4244	118.69	4,125.31	37,659.10
4	37,659.10	4244	106.97	4,137.03	33,522.08
5	33,522.08	4244	95.22	4,148.78	29,373.30
6	29,373.30	4244	83.44	4,160.56	25,212.74
7	25,212.74	4244	71.62	4,172.38	21,040.36
8	21,040.36	4244	59.77	4,184.23	16,856.13
9	16,856.13	4244	47.88	4,196.12	12,660.01
10	12,660.01	4244	35.96	4,208.04	8,451.97
11	8,451.97	4244	24.01	4,219.99	4,231.98
12	4,231.98	4244	12.02	4,231.98	0.00

مثال (2) طريقة حساب مبلغ السداد المبكر لإيجار تمويلي للمركبات منتهي بالتملك
بيانات التمويل	اتفاقية إيجار تمويلي لمركبة بقيمة (150,000) ريال يتم سدادها على شكل دفعات شهرية قيمة كل دفعة (2,300) ريال ولمدة (60) شهر، وتكون الدفعة المقدمة (30,000) ريال ويتم دفع الرسوم الإدارية (1,000) ريال بعد إبرام العقد.
طريقة حساب السداد المبكر	في حال رغبة العميل بالسداد المبكر وكان عدد الدفعات المتبقية (24) دفعة، يكون الرصيد المتبقي من مبلغ التمويل (52,084.08) ريال ومجموع كلفة الأجل للأشهر الثلاثة التالية للسداد المبكر (705.58) ريال
مبلغ السداد المبكر (مجموع المبالغ المظللة)	52,084.08+705.58= (52,789.66 ريال)

الشهر	رصيد بداية الفترة	القسط الشهري	قيمة أجرة الأصل	قيمة حق التملك	الرصيد نهاية الفترة
1	120,000	2300	564.18	1,735.82	118,264.18
2	118,264.18	2300	556.02	1,743.98	116,520.19
3	116,520.19	2300	547.82	1,752.18	114,768.01
4	114,768.01	2300	539.58	1,760.42	113,007.59
5	113,007.59	2300	531.30	1,768.70	111,238.89
6	111,238.89	2300	522.99	1,777.01	109,461.88
7	109,461.88	2300	514.63	1,785.37	107,676.51
8	107,676.51	2300	506.24	1,793.76	105,882.75
9	105,882.75	2300	497.80	1,802.20	104,080.55
10	104,080.55	2300	489.33	1,810.67	102,269.88
11	102,269.88	2300	480.82	1,819.18	100,450.70
12	100,450.70	2300	472.27	1,827.73	98,622.97
13	98,622.97	2300	463.67	1,836.33	96,786.64
14	96,786.64	2300	455.04	1,844.96	94,941.68
15	94,941.68	2300	446.37	1,853.63	93,088.05
16	93,088.05	2300	437.65	1,862.35	91,225.70
17	91,225.70	2300	428.90	1,871.10	89,354.59
18	89,354.59	2300	420.10	1,879.90	87,474.69
19	87,474.69	2300	411.26	1,888.74	85,585.95
20	85,585.95	2300	402.38	1,897.62	83,688.33
21	83,688.33	2300	393.46	1,906.54	81,781.79
22	81,781.79	2300	384.49	1,915.51	79,866.29
23	79,866.29	2300	375.49	1,924.51	77,941.78
24	77,941.78	2300	366.44	1,933.56	76,008.22
25	76,008.22	2300	357.35	1,942.65	74,065.57
26	74,065.57	2300	348.22	1,951.78	72,113.78
27	72,113.78	2300	339.04	1,960.96	70,152.83
28	70,152.83	2300	329.82	1,970.18	68,182.65
29	68,182.65	2300	320.56	1,979.44	66,203.21

الشهر	رصيد بداية الفترة	القسط الشهري	قيمة أجرة الأصل	قيمة حق التملك	الرصيد نهاية الفترة
30	66,203.21	2300	311.25	1,988.75	64,214.46
31	64,214.46	2300	301.90	1,998.10	62,216.36
32	62,216.36	2300	292.51	2,007.49	60,208.87
33	60,208.87	2300	283.07	2,016.93	58,191.94
34	58,191.94	2300	273.59	2,026.41	56,165.53
35	56,165.53	2300	264.06	2,035.94	54,129.59
36	54,129.59	2300	254.49	2,045.51	52,084.08
37	52,084.08	2300	244.87	2,055.13	50,028.95
38	50,028.95	2300	235.21	2,064.79	47,964.16
39	47,964.16	2300	225.50	2,074.50	45,889.66
40	45,889.66	2300	215.75	2,084.25	43,805.41
41	43,805.41	2300	205.95	2,094.05	41,711.36
42	41,711.36	2300	196.10	2,103.90	39,607.47
43	39,607.47	2300	186.21	2,113.79	37,493.68
44	37,493.68	2300	176.28	2,123.72	35,369.95
45	35,369.95	2300	166.29	2,133.71	33,236.25
46	33,236.25	2300	156.26	2,143.74	31,092.50
47	31,092.50	2300	146.18	2,153.82	28,938.69
48	28,938.69	2300	136.05	2,163.95	26,774.74
49	26,774.74	2300	125.88	2,174.12	24,600.62
50	24,600.62	2300	115.66	2,184.34	22,416.28
51	22,416.28	2300	105.39	2,194.61	20,221.67
52	20,221.67	2300	95.07	2,204.93	18,016.74
53	18,016.74	2300	84.71	2,215.29	15,801.45
54	15,801.45	2300	74.29	2,225.71	13,575.74
55	13,575.74	2300	63.83	2,236.17	11,339.56
56	11,339.56	2300	53.31	2,246.69	9,092.87
57	9,092.87	2300	42.75	2,257.25	6,835.62
58	6,835.62	2300	32.14	2,267.86	4,567.76
59	4,567.76	2300	21.48	2,278.52	2,289.24
60	2,289.24	2300	10.76	2,289.24	0.00

مثال(3) طريقة حساب مبلغ السداد المبكر لتمويل عقاري
بيانات التمويل	اتفاقية تمويل عقاري بقيمة (1,000,000) ريال يتم سدادها على شكل دفعات شهرية قيمة كل دفعة(4,510) ولمدة (300) شهر، وتكون الدفعة المقدمة (300,000) ريال ويتم دفع الرسوم الإدارية (5,000) ريال بعد إبرام العقد
طريقة حساب السداد المبكر	في حال رغبة العميل بالسداد المبكر وكان عدد الدفعات المتبقية(120) دفعة، يكون الرصيد المتبقي من مبلغ التمويل(406,235.99) ريال ومجموع كلفة الأجل للأشهر الثلاثة التالية للسداد المبكر (6,056.030)ريال
مبلغ السداد المبكر (مجموع المبالغ المظللة)	406,235.99+6,056.03= (412,292.02 ريال)

مثال(4) طريقة حساب مبلغ السداد المبكر لتمويل شخصي
بيانات التمويل	اتفاقية تمويل شخصي بمبلغ (100,000) ريال يتم سدادها على شكل دفعات شهرية قيمة كل دفعة (4,450) ريال ولمدة (24) شهر. وتستحق الدفعة الأولى بعد (20) يوم من تاريخ توقيع العقد، ويتم دفع الرسوم الإدارية (1,000) ريال بعد إبرام العقد.
طريقة حساب السداد المبكر	في حال رغبة العميل بالسداد المبكر وكان عدد الدفعات المتبقية (11) دفعة، يكون الرصيد المتبقي من مبلغ التمويل(47,376.41) ريال ومجموع كلفة الأجل للأشهر الثلاثة التالية للسداد المبكر (710.6) ريال
مبلغ السداد المبكر (مجموع المبالغ المظللة)	710.6 + 47,376.41= (48,087.01 ريال)

أسئلة متكررة

1. كيف يتم احتساب طريقة الرصيد المتناقص في توزيع كلفة الأجل؟

يجب أن ينص عقد التمويل على استخدام طريقة الرصيد المتناقص في توزيع كلفة الأجل على فترة الاستحقاق، بحيث تُوزع كلفة الأجل تناسبياً بين الأقساط على أساس قيمة الرصيد المتبقي من مبلغ التمويل في بداية الفترة التي يُستحق عنها القسط .

2.هل يجوز للمستأجر التملك المبكر للأصل المؤجر؟

إذا اختار المستأجر امتلاك الأصل المؤجّر بموجب العقد في أي وقت، فيجوز له التملك المبكر لذلك الأصل بملحق منفصل يبرم به البيع أو الهبة، وذلك بتعجيل سداد الأقساط المتبقية دون تحمل كلفة الأجل عن المدة المتبقية من العقد، وللمؤجر التعويض عن كلفة إعادة الاستثمار وما يدفعه المؤجر لطرف ثالث بسبب عقد التمويل. كما يجوز أن يُنص في العقد على فترة يحظر فيها التملك المبكر، إذا كان محل العقد عقاراً، وبشرط ألا تتجاوز مدة الحظر سنتين من تاريخ إبرام العقد.

3.هل يجوز للمستفيد السداد المبكر لكامل المبلغ المتبقي من التمويل؟ وهل يتحمل كلفة الاجل عن الفترة المتبقية؟

يجوز للمستفيد تعجيل سداد كامل الرصيد المتبقي من مبلغ التمويل، في أي وقت، دون تحميله كلفة الأجل عن المدة الباقية، ولكن يتم تعويض جهة التمويل عن كلفة إعادة الاستثمار بما لا يتجاوز كلفة الأجل للأشهر الثلاثة التالية للسداد بالإضافة إلى ما تدفعه جهة التمويل لطرف ثالث بسبب عقد التمويل.

4.هل يجوز للمستفيد السداد المبكر لجزء من المبلغ المتبقي من التمويل؟

لا يوجد في أنظمة التمويل ولوائحها التنفيذية ما يمنع السداد المبكر لجزء من المبلغ المتبقي من التمويل. وأوجبت ضوابط التمويل الاستهلاكي المحدثة في الفقرة الأولى من المادة الحادية عشرة جهة التمويل قبول أي سداد بموجب عقد التمويل قبل تاريخ استحقاقها كسداد جزئي بما يعادل قسط واحد أو مضاعفاته.

5.هل يشترط مرور مدة معينة للسماح بالسداد المبكر؟

يجوز أن ينص عقد التمويل العقاري على فترة يحظر فيها السداد المبكر، بشرط ألا تتجاوز مدة الحظر سنتين من تاريخ إبرام عقد التمويل العقاري. كما ينطبق ذلك على الإيجار التمويلي إذا كان محل العقد عقاراً.

6.هل يجوز لجهة التمويل أن ترفض السداد المبكر للمبلغ المتبقي من التمويل؟

لا يجوز لجهة التمويل رفض السداد المبكر للمبلغ المتبقي من التمويل في حالة طلب المستفيد ذلك، ولكن يجوز أن ينص عقد التمويل العقاري على فترة يحظر فيها السداد المبكر بحيث لا تتجاوز هذه الفترة سنتين من تاريخ إبرام عقد التمويل.

7.ما هي التعويضات التي يجوز لجهة التمويل الحصول عليها في حالة السداد المبكر للمبلغ المتبقي من التمويل؟

يحق لجهة التمويل الحصول على تعويض من المستفيد في حالة السداد المبكر عن الآتي:

1.	كلفة إعادة الاستثمار، بما لا يتجاوز كلفة الأجل للأشهر الثلاثة التالية للسداد، محسوبة على أساس الرصيد المتناقص.
2.	ما تدفعه جهة التمويل لطرف ثالث بسبب عقد التمويل من نفقات، حسب الشروط الآتية:
أ.	أن تكون دفعت لطرف ثالث ولم يقوم المستفيد بتعويض جهة التمويل عنها.
ب.	أن توثق هذه الدفعات في ملف التمويل.
ج.	عدم إمكانية استرداد الدفعات من الطرف الثالث.
د.	أن تحسب بناء على المدة المتبقية من عقد التمويل.

أحكام عامة

تعليمات الإفصاح عن التراخيص
الرقم: 686310000067 التاريخ (م): 2019/7/18 | التاريخ (هـ): 1440/11/15 الحالة:نافذ

1-تمهيد

1-1

تهدف هذه التعليمات إلى توعية العملاء عن معلومات المؤسسات المالية التي تمكنهم من معرفة الجهات الرقابية والإشرافية الخاضعة لها، من خلال إلزام المؤسسات المالية بالإفصاح عن البيانات والتراخيص اللازمة لتعزيز ثقة العملاء والمستثمرين.

2-1

تحدد هذه التعليمات جميع المعلومات التي يتعين على المؤسسات المالية عرضها في هوامش مكاتباتها. ويجب أن تُفَسر وفقاً للأنظمة واللوائح والتعليمات ذات العلاقة.

2-التعاريف

يقصد بالألفاظ والعبارات الآتية – أينما وردت في هذه التعليمات – المعاني المبينة أمام كل منها، ما لم يقتضي السياق خلاف ذلك.

المصطلح	التعريف
البنك المركزي	البنك المركزي السعودي*.
المؤسسةالمالية	البنوك والمصارف، وفروع البنوك الأجنبية، وشركات التأمين، وشركات إعادة التأمين، وشركات المهن الحرة المرخصة، وشركات التأمين الأجنبية، وشركات التمويل، وشركات المعلومات الائتمانية، وشركات ومؤسسات الصرافة، ومراكز النقد، وشركات المدفوعات ونظام المدفوعات العاملة في المملكة التي يشرف عليها البنك المركزي.
الدعاية والإعلان	هو الإشهار والترويج والإرشاد بكافة الوسائل والطرق لخدمات ومنتجات المؤسسة المالية.
الهوامش	كلمة أو عنوان يُذكر في رأس أو تذييل الصفحة لإظهار مضمون ذي أهمية، ويمكن أن يظهر عبر ختم المؤسسة المالية (في حال كانت المؤسسة المالية تستخدم أختام).
المكاتبات	الرسائل البريدية والإلكترونية، والإعلانات الترويجية وأي وثائق أخرى.
العملاء	المستهلكين والمستفيدين من الخدمات والمنتجات التي تقدمها المؤسسات المالية.

3- نطاق التطبيق
تسري هذه التعليمات على جميع المؤسسات المالية الواردة في التعاريف أعلاه.

4- تعليمات الالتزام

1-4	يجب أن تحتوي مكاتبات المؤسسة المالية، المطبوعات المكتبية، البروشورات، البريد الإلكتروني والموقع الإلكتروني، تطبيقات الهواتف الذكية، الأدلة التجارية، الإعلان في وسائل الإعلام، البيانات الصحفية الترويجية، التواصل المباشر مع العملاء المحتملين أو أشخاص آخرين ووسائل التواصل الاجتماعي على هوامش تذكر أنها مرخصة وخاضعة لرقابة وإشراف البنك المركزي، كما يجب أن تحتوي على المعلومات المشار إليها في الفقرة رقم (4-4) كحد أدنى.
2-4	يجوز للفروع الخارجية للمؤسسة المالية السعودية العاملة في دول أخرى إضافة هذه المعلومات في وسائل التواصل لديها (تفادياً لحصول لبس لدى العملاء)، شريطة ألا يتعارض ذلك مع أنظمة الدولة التي تعمل بها.
3-4	يجب أن يكون اسم المؤسسة المالية المعلن مطابقاً للاسم الصادر به الترخيص.
4-4	يجب على المؤسسة المالية المرخصة أن تذكر في مكاتباتها والوثائق الأخرى (كالعقود والاتفاقيات) المعلومات التالية:
		أ.	اسم المؤسسة المالية ونوعها ومركزها الرئيسي ورقم السجل التجاري.
		ب.	جهة ورقم الترخيص.
		ج.	أنها خاضعة لإشراف ورقابة البنك المركزي.
		د.	العنوان الوطني.
5-4	في حال عدم إمكانية الإفصاح عن كافة البيانات المطلوبة في الإعلانات، يتم الاكتفاء بالإفصاح أن المؤسسة المالية خاضعة لإشراف ورقابة البنك المركزي.
6-4	يُستثنى مما ورد في هذه التعليمات التعاملات المصرفية بالأوراق التجارية.

5- صيغة الإفصاح المقترحة

1-5	الإفصاح في هوامش الكتاب، البريد الإلكتروني، والموقع الإلكتروني بالبيانات التالية كحد أدنى:
		اسم المؤسسة المالية....................، نوع الكيان.................، مساهمة برأس مال..................، رقم السجل التجاري.....................، ص.ب....................، هاتف....................، العنوان الوطني....................، الموقع الإلكتروني..................، مرخص لها برقم ترخيص............، خاضعة لرقابة وإشراف البنك المركزي.
2-5	لفروع البنوك المحلية العاملة بالخارج:
		اسم المؤسسة المالية................، فرع لمؤسسة مالية سعودية، خاضعة لرقابة وإشراف....................

سياسة الإبلاغ عن المخالفات لدى المؤسسات المالية
الرقم: 722200000067 التاريخ (م): 2019/8/5 | التاريخ (هـ): 1440/12/4 الحالة:نافذ
إشارةً إلى دور البنك المركزي الإشرافي والرقابي على المؤسسات المالية الخاضعة لإشرافه، وسعياً منه إلى خلق قنوات اتصال آمنة بين المبلغ والإدارة المعنية في المؤسسات المالية عن أي انتهاكات ارتكبت أو ترتكب أو على وشك أن ترتكب بغرض مكافحة الاحتيال والاختلاس وقضايا الفساد لدى المؤسسات المالية.
مرافق سياسة الإبلاغ عن المخالفات لدى المؤسسات المالية الهادفة إلى تحديد الحد الأدنى للضوابط اللازمة لاستقبال البلاغات ومعالجتها ليكون من السهل على منسوبيها وأصحاب المصلحة التبليغ عن المخالفات دون أن يترتب على تصرفهم أي أثر سلبي.
للإحاطة، والعمل بما تضمنته هذه السياسة خلال ثلاثة أشهر من تاريخه، مع تزويد البنك المركزي بخطة الالتزام بذلك خلال شهر من تاريخه.

أولاً: المقدمة

أ. الإطار العام
تعتبر وثيقة "سياسة الإبلاغ عن المخالفات لدى المؤسسات المالية" مرجع معتمد لتحديد أطر سياسة المؤسسة المالية التي يجب الالتزام بها كحد أدنى في استقبال بلاغات المخالفات ومعالجتها، ويتلخص الإطار العام لهذه السياسة في النقاط الرئيسة الآتية:
أ. التزامات عامة.
ب. وحدة معالجة المخالفات.
ج. حالات الإبلاغ عن المخالفات.
د. التزامات المبلغ عن المخالفة.
هـ. التزامات المؤسسة المالية عند تلقي البلاغ.
و. التزامات عامة لحماية الشخص المبلغ عن المخالفة.
ز. معالجة لإبلاغ.
ح. مؤشرات قياس الأداء.
وتعد سياسة المؤسسات المالية للتبليغ عن المخالفات عنصراً رئيساً في حماية نزاهتها وتتطلب الدعم الفعال من جميع منسوبيها وأصحاب المصلحة الذين يتعين عليهم التبليغ عن أي وقائع يشتبه في انطوائها على مخالفة. ويجب أيضاً على منسوبي المؤسسة المالية وأصحاب المصلحة التعاون في عمليات التحقيق في هذه الوقائع وأن تقوم المؤسسات المالية بتشجيعهم على التعاون التام من خلال إيجاد بيئة ذات موثوقية وحماية قصوى لهم.

ب. الهدف
تهدف هذه السياسة إلى تحديد الحد الأدنى للضوابط اللازمة لاستقبال البلاغات ومعالجتها ليكون من السهل على منسوبي المؤسسات المالية وأصحاب المصلحة التبليغ عن المخالفات دون أن يترتب على تصرفهم أي أثر سلبي.

ج. الغرض
السعي إلى خلق قنوات اتصال آمنة بين المبلغ والإدارة المعنية لاستقبال ومعالجة البلاغات في المؤسسات المالية عن أي انتهاكات ارتكبت أو ترتكب أو على وشك أن ترتكب بغرض مكافحة الاحتيال والاختلاس وقضايا الفساد والسلوك غير القانوني أو غير الأخلاقي أو غير المهني لدى المؤسسات المالية.

د. النطاق
تطبق هذه الوثيقة على منسوبي المؤسسات المالية وأصحاب المصلحة في جميع الإجراءات المتخذة لمعالجة بلاغ عن مخالفة لدى المؤسسات المالية التي يشرف عليها البنك المركزي.

ثانياً: التعاريف
أ. البنك المركزي: البنك المركزي السعودي.
ب. المؤسسة المالية: البنوك والمصارف وفروع البنوك الأجنبية وشركات التأمين وإعادة التأمين وشركات التأمين الأجنبية وشركات المهن الحرة وشركات التمويل وشركات تسجيل عقود الإيجار التمويلي وشركات المعلومات الائتمانية العاملة في المملكة التي يشرف عليها البنك المركزي.
ج. منسوبي المؤسسات المالية: أعضاء مجلس الإدارة واللجان المنبثقة منه، والمسؤولين التنفيذيين، والموظفين (رسميين ومتعاقدين)، والاستشاريين، والموظفين الذين يعملون من خلال طرف ثالث.
د. أصحاب المصلحة: كل من له مصلحة مع المؤسسة المالية، كالمساهمين، والدائنين، والعملاء، والموردين، وأي طرف خارجي.
هـ. المخالفة: أي عملية احتيال، أو فساد، أو تواطؤ، أو إكراه أو سلوك غير قانوني، أو سوء تصرف، أو سوء إدارة مالية أو تجاوزات محاسبية أو وجود تضارب في المصالح أو أي تصرف خاطئ أو ممارسات غير نظامية أو غير أخلاقية أو غير ذلك من انتهاكات للأنظمة والتعليمات السارية أو التستر على أي مما سبق.

ثالثاً: محتوى السياسة

أ. التزامات عامة

يجب على المؤسسات المالية الالتزام بالآتي:

1.	إعداد سياسة للإبلاغ عن المخالفات وأن يتم اعتمادها من قبل مجلس إدارة المؤسسة المالية، وإذا لم يكن للمؤسسة المالية مجلس إدارة فيتم اعتمادها من قبل الرئيس التنفيذي أو المدير العام، وأن يتم مراجعتها سنوياً.
2.	رفع تقرير دوري إلى مجلس الإدارة ولجنة المراجعة في المؤسسة المالية بالحالات التي تم استقبالها والإجراءات التي تمت حيالها.
3.	حث منسوبيها وأصحاب المصلحة على التبليغ عن أي مخالفة داخل المؤسسة المالية أو خارجها في نطاق عملها.
4.	توعية وطمأنة منسوبيها وأصحاب المصلحة عن مدى سرية هوية المبلغ والمعلومات المتضمنة في البلاغ لكل مراحل المعالجة التي يمر بها البلاغ.
5.	توفير الحماية لمقدمي البلاغات من أي إجراء انتقامي ضده.
6.	حث منسوبيها وأصحاب المصلحة بعدم التردد في الإبلاغ عن أي مخالفات بسبب أنهم غير متأكدين من صحة البلاغ وإذا ما كان يمكن إثبات هذا الادعاء أم لا، وأن المتوقع من جميع منسوبي المؤسسة المالية وأصحاب المصلحة الامتناع عن الشائعات والسلوك غير المسؤول والادعاءات الكاذبة، وإذا كان هذا الادعاء بحسن نية ولكن لم يتم تأكيد هذا الادعاء في التحقيق فلن يتم اتخاذ أي إجراء ضد مقدم البلاغ.
7.	تزويد منسوبيها وأصحاب المصلحة بالمعلومات عن كافة قنوات الإبلاغ عن المخالفات، وأن يكون الحد الأدنى لوسائل الإبلاغ جميع القنوات الآتية: (هاتف مباشر، موقع إلكتروني، خدمات بريدية، بريد إلكتروني).
8.	وضع برامج توعوية لحث منسوبيها وأصحاب المصلحة على الإبلاغ وتوضيح مسؤولياتهم.

ب. وحدة معالجة المخالفات
تؤسس المؤسسة المالية وحدة إدارية مستقلة لاستقبال ومعالجة البلاغات وتتبع تنظيمياً لإدارة الالتزام.

ج. حالات الإبلاغ عن المخالفات

يجب على المؤسسات المالية حث منسوبيها وأصحاب المصلحة بالإبلاغ عما قد يرشدها إلى تصحيح الخطأ أو الإجراء أو الكشف عن المخالفات أو تعزيز القيم، والإبلاغ قد يكون عن الأنشطة الآتية:

1.	الفساد المالي والإداري، والمتمثل في أي استغلال غير مشروع للموارد المالية أو التنظيم الإداري في المؤسسة المالية.
2.	مخالفة الأنظمة واللوائح والتعليمات والسياسات واجبة الاتباع وفقاً لنطاق عمل المؤسسة المالية.
3.	مخالفات تتعلق بالبيئة والصحة والسلامة في النطاق المكاني للعمل، والتي تشمل أي سلوك سلبي من شأنه إلحاق الضرر بالبيئة أو مكان العمل أو تهديد سلامة أي إنسان.
4.	التصرفات غير اللائقة المخالفة للنظام العام والآداب الإسلامية والعادات والتقاليد.
5.	سوء الاستخدام لممتلكات المؤسسة المالية أو أصولها.
6.	إساءة استخدام السلطة أو اتخاذ قرار قد يكون ضد مصلحة المؤسسة المالية من قبل منسوبي المؤسسة المالية.
7.	تمرير عمليات غير نظامية لأعمال المؤسسة المالية أو التحايل على الأنظمة أو تستر على أخطاء نظامية.
8.	عند وجود تضارب في المصالح في أي من الأعمال أو العقود التي تقوم بها المؤسسة المالية.
9.	عند سوء استخدام الصلاحيات الممنوحة من قبل المؤسسة المالية لمنسوبيها كعمليات تبادل الأرقام السرية وغيرها.
10.	الحصول على منافع أو مكافآت غير مستحقة.
11.	الإفصاح عن معلومات سرية بطريقة غير نظامية.
12.	الإخفاء بسوء النية أو الإهمال المقصود أو إتلاف الوثائق الرسمية أو التستر عن التقارير المالية الاحتيالية.
13.	الإهمال الجسيم الذي قد يترتب عليه الإضرار بالمؤسسة المالية.
14.	التستر على أي من المخالفات الواردة أعلاه.

د. التزامات المبلغ عن المخالفة

ينبغي على المبلغ عن مخالفة مراعاة الآتي:

1.	تحري المصداقية في الإبلاغ وذلك بتجنب الإشاعات والمزاعم غير المستندة على أساس حقيقي، والإبلاغ متى ما توفر لديه معطيات اشتباه حقيقية ومعقولة.
2.	تجنب البلاغات الكيدية لغرض تشويه سمعة الآخرين أو الإيقاع بهم أو الانتقام أو زعزعة الثقة في المؤسسة المالية أو منسوبيها أو أصحاب المصلحة.
3.	بذل العناية اللازمة بتحري الدقة في الإبلاغ وإيضاح كافة التفاصيل ذات العلاقة بالبلاغ التي من شأنها الإرشاد إلى حالة المخالفة وإرفاق كل ما من شأنه إعطاء تفاصيل وأدلة عن المخالفة وبما يتفق مع طبيعة المخالفة.
4.	سرعة الإبلاغ عن المخالفة في أقرب فرصة ممكنة.
5.	السرية التامة للبلاغ لتحقيق الصالح العام للمؤسسة المالية.
6.	تحمل مسؤولية الادعاءات الكيدية التي تؤدي إلى تشويه سمعة أو إلحاق الضرر بالمؤسسة المالية أو أحد منسوبيها أو أصحاب المصلحة.

هـ. التزامات المؤسسة المالية عند تلقي البلاغ

تلتزم المؤسسة المالية في حال تلقيها بلاغ مخالفة بالآتي:

1.	التعامل مع أي بلاغ بالجدية اللازمة مهما كانت طبيعة البلاغ أو لغته أو كفاية معلوماته أو حجم تأثيره وأهميته.
2.	اتخاذ كافة الاجراءات التي من شأنها حماية المبلغ وعدم الإضرار به.
3.	إفادة المبلغ عن استلام بلاغه، وما تم التوصل إليه من قرار إن أمكن ذلك.
4.	اتخاذ الإجراءات التصحيحية للمخالفة في حال ثبوتها.
5.	مراعاة مصلحة منسوبيها وأصحاب المصلحة.
6.	إحالة البلاغات إلى الجهة المختصة في أعمال الضبط والتحقيق سواء داخل المؤسسة المالية أو خارجها.
7.	تراعي المؤسسة المالية مدة حفظ البلاغات والوثائق ذات العلاقة بها من تسجيلات وفقاً للأنظمة والتعليمات.
8.	إعداد تقارير خاصة بالبلاغات وطرق معالجتها.

و. التزامات عامة لحماية الشخص المبلغ عن المخالفة.

1.	تلتزم المؤسسة المالية بحماية مقدمي البلاغات غير الكيدية من أي إجراء انتقامي قد يصدر من منسوبي المؤسسة المالية ضد المبلغ.
2.	لا يحق للمبلغ الذي لم يذكر اسمه وهويته ولم تكن المؤسسة المالية قادرة على تحديدها، المطالبة بالحماية التي تغطيها هذه السياسة والمذكورة في "ثالثاً" الفقرة "د" الرقم "2".
3.	تلتزم المؤسسة المالية بعدم الإفصاح عن أية معلومات بشأن الشخص المبلغ عن المخالفة، ويستثنى من ذلك الجهات المختصة، كجهات التحقيق والجهات القضائية.

ز. معالجة البلاغ

1. قنوات التبليغ (وسائل رفع البلاغ)
توفر المؤسسة المالية قنوات تضمن سرية البيانات وفعالة لرفع البلاغات تكون في متناول جميع منسوبي المؤسسة المالية وأصحاب المصلحة.

2. المعالجة الموضوعية للبلاغات
تتعامل المؤسسة المالية مع البلاغات الواردة بموجب تعليمات داخلية تضمن معالجة موضوعية وتصاعدية ورسم خطة إجراءات تصحيحية. وأن يتم تصنيف البلاغ حسب نوع المعالجة لكل بلاغ بما يتناسب مع الهيكل الإداري للمؤسسة المالية.

3. الإشراف والاعتماد
تعد المؤسسة المالية سياسة داخلية للاعتماد والإشراف على آلية معالجة بلاغات المخالفات، وتحدد أصحاب الصلاحية في التعامل معها.

4. نظام آلي لإصدار تقارير الإبلاغ

تضع المؤسسة المالية الضوابط اللازمة لاستعراض ما تتضمنه تقارير الإبلاغ بشكل يضمن فهماً واضحاً. وتعد نظام آلي يمكن من خلاله عرض المعلومات الآتية على الأقل:

1.	القناة التي تم استقبال البلاغ من خلالها.
2.	إجمالي عدد البلاغات.
3.	إجمالي عدد البلاغات حسب تصنيف المواضيع.
4.	عدد المعالجة منها وعدد ما هو تحت الإجراء.
5.	نوع المعالجة.

وأن يتاح عبر النظام الآلي ما يمكن من خلاله أن يطلب البنك المركزي تقرير لأي مرحلة من مراحل معالجة البلاغ.

5. مراحل معالجة البلاغات

تعد المؤسسة المالية إجراءات عمل لمعالجة البلاغات تصف خطوات كل إجراء بشكل تفصيلي وتتضمن تحديد دقيق للمدخلات والمخرجات والنماذج والنظم الآلية المستخدمة لكل إجراء وأصحاب الصلاحية. وأن تتضمن إجراءات العمل كحد أدنى المراحل الآتية:

1.	استقبال البلاغ.
2.	تقييم مبدئي.
3.	تحديد خطة التحقق.
4.	توثيق المسوغات الداعمة لقرار المعالجة.
5.	القرار المتخذ للمعالجة.
6.	متابعة تنفيذ القرار.
7.	حفظ السجلات.

ح. مؤشرات قياس الأداء
أن يكون هناك مؤشر لكل مرحلة من مراحل إجراءات العمل لمعالجة بلاغات المخالفات يحدد فيه مستوى الأداء من خلال قياس مدى استيفاء كافة متطلبات كل إجراء المحددة ضمن إجراءات العمل المعدة من المؤسسة المالية.

تعليمات إحلال الرقم الموحد الصادر من مركز المعلومات الوطني المبتدئ بالرقم (7)‏ محل رقم السجل التجاري للمنشآت غير الحكومية
الرقم: 42017708 التاريخ (م): 2020/11/3 | التاريخ (هـ): 1442/3/18 الحالة:معدَّل
إشارة إلى تعليمات البنك المركزي الصادرة بموجب التعميم رقم (42007290)‏ وتاريخ 1442/2/11هـ‏ في شأن إحلال الرقم الموحد الصادر من مركز المعلومات الوطني المبتدئ بالرقم (7)‏ محل رقم السجل التجاري للمنشآت غير الحكومية، المبني على قرار مجلس الوزراء رقم ‎ (225) وتاريخ 1439/5/6هـ‏ وبرقية معالي وزير التجارة رقم ‎(29238)‏ وتاريخ 1441/11/9هـ‏ وبرقية معالي رئيس الهيئة السعودية للبيانات والذكاء الاصطناعي رقم ‎(702) وتاريخ 1441/12/20هـ،‏ وتعليمات البنك المركزي الإلحاقية في شأن خطة ومتطلبات الاحلال والمهل الزمنية (وآخرها التعليمات بموجب التعميم المحدد للمهلة الزمنية للإحلال حتى تاريخ ‎15‏ نوفمبر 2020م)‏ المبنية على معطيات تنسيق البنك المركزي مع الجهة المختصة المعنية بالإحلال.
ونظراً لأهمية المحافظة على الاستقرار المالي وضمان عدم الإخلال بالأعمال والبيانات والمعلومات، ولأهمية هذا التغيير بإحلال الأرقام الموحدة بدلاً من أرقام السجلات التجارية والتراخيص لتكون الهوية الرقمية المعرفة بالمنشآت غير الحكومية خلال دورة حياتها حيث سيكون الاستعلام والافصاح والتعامل والتنفيذ وغيره من جميع الجهات الحكومية المخولة نظاماً بموجب الرقم الموحد المبتدئ بالرقم (7)‏. وبناءً على ما ورد إلى البنك المركزي عن التحديات والصعوبات والتأثيرات المتوقعة للتغيير المطلوب على الجوانب القانونية والمالية الائتمانية والعمليات التشغيلية والخدمات والمنتجات المقدمة التي تبينت خلال تطبيق التعليمات المشار اليها أعلاه، وبعد التنسيق مع الجهة المختصة بإحلال الرقم الموحد والتزام البنك المركزي بأن يقوم بالتنسيق ومتابعة القطاعات التي تشرف عليها بالإحلال وفق خطة عملية يتم تقييم مستجداتها بصفة مستمرة. أفيدكم بالآتي:
أولاً: تمديد المهلة الزمنية لخطط الإحلال حتى تاريخ 1442/05/16هـ‏ الموافق 2020/12/31م‏ وسيتم تقييم التحديات والصعوبات الجوهرية المستجدة خلال هذه المهلة. المبنية على جهود فاعلة ومقبولة وفق تقارير دورية يتم تزويد البنك المركزي بها.
ثانياً: الالتزام بتعليمات الإحلال (المرفقة أدناه).
ثالثاً: تحل هذه التعليمات محل التعليمات بموجب التعاميم السابقة جميعاً.

1- المتطلبات الآلية (الأتمته) للإحلال في النظم الآلية
إعداد متطلبات إحلال الرقم الموحد في النظم الالية (الأتمته) التي تستلزم التعديل بحيث يتم (إضافة / استحداث خانة لمعرف الرقم الموحد المنشآت غير الحكومية في جميع النظم الآلية اللازمة الرئيسة والداخلية والخارجية المتضمنة خانة لرقم السجل التجاري) والإبقاء على خانة رقم السجل التجاري الحالية، وربط خانة الرقم الموحد المستحدثة بخانة رقم السجل التجاري (تكون خانتين مترابطتين ببعضهما). بحيث إذا تم البحث والاستعلام برقم السجل التجاري يظهر معه للمستعلم في الوقت نفسه الرقم الموحد المبتدئ بالرقم ‎(7)‏ وإذا تم البحث والاستعلام بموجب الرقم الموحد يظهر معه رقم السجل التجاري.

2- استمرار خانة رقم السجل التجاري
يجب عدم إلغاء خانة رقم السجل التجاري الحالية وعدم إلغاء العمل بها إلا بتوجيه أو عدم ممانعة أو تعليمات من البنك المركزي مستقبلاً.

3- مزودي الخدمة
العمل وبصفة عاجلة على التعاقد مع مزودي الخدمة في حال كانت المتطلبات الآلية اللازمة لإحلال الرقم الموحد تنفذ من مزودي خدمة (مع الالتزام بتعليمات الإسناد المبلغة). وبحيث لا يكون هذا المطلب سبباً للتأخير.

4- الآثار المترتبة على الاحلال
يجب العمل على حصر المخاطر المحتملة والآثار المترتبة على عملية إحلال الرقم الموحد، ووضع الخطط لتلافيها، بما في ذلك خطط استمرارية الأعمال والدعم اللازم (فني، بشري، وغيره). ومراعاة العلاقات في النظم الالية المتعلقة بالمخاطر العالية ومنها على سبيل المثال لا الحصر، الائتمان والعمليات التجارية، والحجوزات، ومنع التعامل، والراكدة، والقوائم المحلية والدولية (UN)،‏ ومتطلبات اعرف عميلك عموما وما يخص التحقق من المستفيد الحقيقي.

5- الحصر اللازم

يجب العمل على حصر جميع الأطراف ذات العلاقة بالإحلال ومنها على سبيل المثال الآتي:

(1)	حصر جميع العملاء الحاليين أصحاب الحسابات والعضويات والعلاقات التعاقدية القائمة ذات العلاقة (جميع المنشآت غير الحكومية سواء أكانت شركات ومؤسسات المرتبطين مع المؤسسة المالية بموجب السجل التجاري أو كيانات أخرى خلاف السجل التجاري - بتراخيص- مثل المحامين وجمعيات النفع العام وغيرهم).
(2)	حصر جميع شركاء العمل جميعا (جهات اشرافية ورقابية، مؤسسات مالية. شركات معلومات ائتمانية، سداد، مدى، إيصال، مفوترين، مقاصة، سريع، جهات حكومية، وغيرها).
(3)	حصر جميع الأعضاء وعملائهم بالنسبة لشركات المعلومات الائتمانية.

6- استيفاء الرقم الموحد

يجب الحصول على الرقم الموحد المقابل لكل رقم سجل تجاري لكل عميل من العملاء ‏وشركاء العمل ومن يلزم الحصول على رقمه الموحد من خلال الاتي:

(1)	موقع وزارة التجارة بالنسبة للمنشآت غير الحكومية الحاصلة على سجل تجاري.
(2)	أو من خلال موقع وزارة الموارد البشرية والتنمية الاجتماعية بالنسبة للمنشآت غير الحكومية الحاصلة على ترخيص من جهة ترخيص.
(3)	أو من شركة ثقة / خدمة واثق. بحيث يتم تزويد الشركة بأرقام السجلات التجارية التي تم حصرها ليتم الحصول من خلالها على الرقم الموحد المقابل لكل سجل تجاري بالطريقة التي تناسب كل مؤسسة مالية.
(4)	أو من أي مصدر إلكتروني رسمي موثوق آخر يمكن الحصول من خلاله على الرقم الموحد.
(5)	أو من قاعدة بيانات المؤسسات المالية والمعلومات الائتمانية حسب المتوافر لديها في صور وثائق العلاقة مسبقاً.

7- عدم القدرة على الحصول على الرقم الموحد وفق الفقرة ‎(6)
استثناء من المتطلب في الفقرة (6) فإنه في الحالات التي يتعذر فيها الحصول على الرقم الموحد المقابل لرقم السجل التجاري من شركة ثقة خصوصا بسبب محدودية العملاء وغير ذلك من الأسباب، يمكن الحصول عليه من خلال منسقي البنك المركزي الموضح بياناتهم ومعلوماتهم في التعاميم السابقة حسب كل قطاع، بحيث يتم طلبها من المنسقين عن طريق البريد الالكتروني الرسمي بموجب ملف اكسل مشفر برقم سري يتكون من عمود واحد فقط يشتمل على قائمة أرقام السجلات التجارية فقط (ولا يشتمل على أي معلومات أو بيانات أخرى عن العملاء) وبحيث يتم إرسال الرقم السري لفتح الملف في بريد الكتروني لاحق، وسيقوم المنسق بتزويد الجهة الطالبة بالأرقام الموحدة المتوافر معلوماتها بنفس الية الطلب الوارد.

8- إحلال الرقم الموحد
بعد الحصول على الرقم الموحد المقابل لكل سجل تجاري بالنسبة للمنشآت غير الحكومية التي لديها سجلات تجارية (أو تلك التي يتطلب نشاطها سجلاً تجارياً وبغض النظر عن حالة السجل، نشط /غير نشط/ موقوف/ ملغى) يجب احلاله في الخانة التي تم استحداثها في النظام الالي المعرف بالعملاء وشركاء العمل، في بيئة العمل الاختبارية.

9- البيئة الفعلية والاختبارية
لا يتم إدراج الرقم الموحد في النظم الالية في البيئة الفعلية (العمل المباشر) الا بعد اجراء الاختبارات اللازمة في بيئة عمل اختبارية وبعد مراجعة كافة المخاطر و وسائل الأمان والتأكد من اغلاق تلك المخاطر وبعد الحصول من وحدة العمل المختصة على الموافقة للانتقال للبيئة الفعلية وفق السياسات المعتمدة في هذا الشأن ويجب المراقبة الدقيقة بعد تطبيقه في البيئة الفعلية واخذ الإجراءات اللازمة في حال تأثر الجهة المالية، ويستثنى من ذلك بعض المؤسسات المالية (خلاف البنوك والتمويل والتأمين) التي لا تتطلب أعمالها وجوب التطبيق في بيئة عمل اختبارية (حسب طبيعة أنشطتها ونظمها الالية وعدد العملاء وطرق التعامل).

10- أنظمة‏ المدفوعات الوطنية
نظراً لما يترتب على إحلال الرقم الموحد من تأثيرات مباشرة على بعض العمليات التشغيلية والخدمات المقدمة من الجهات والمؤسسات المالية التي يشرف عليها البنك المركزي من خلال أنظمة المدفوعات الوطنية مدى وسداد خصوصاً، لذا يجب التأكيد على ما سبق أن قامت شركة المدفوعات السعودية بمشاركته مع البنوك في هذا الشأن بخصوص الآتي:

مدى

(1)

التحديث الفوري لرقم السجل التجاري المسجل في نظام إدارة نقاط البيع ‎(TMS)للتجار الحاصلين على تمويلات مالية بضمان التدفقات النقدية لأجهزة نقاط البيع بناءً على تعميم البنك المركزي رقم ‎391000064531 وتاريخ 1439/6/5هـ‏ الخاص بتمويل المنشآت الصغيرة والمتوسطة ومتناهية الصغر بضمان التدفقات النقدية من خلال أجهزة نقاط البيع.

(2)

أن يتم إدراج خطوة تحديث رقم السجل التجاري المسجل في نظام إدارة نقاط البيع (TMS) لبقية العملاء بشكل متدرج ضمن الخطوات أعلاه، ويكون تسجيل العملاء الجدد باستخدام الرقم الموحد الجديد المبتدئ بالرقم‎ (7).

سداد

(1)	عند تحديث رقم السجل التجاري إلى الرقم الموحد الجديد لأي من منشآت القطاع الخاص، يقوم البنك بإنشاء ملف عميل جديد لدى نظام سداد ومن ثم إعادة الربط الآلي لحسابات الفواتير المرتبطة ‏بحساب المنشأة على رقم السجل السابق وان يتم ذلك قبل تاريخ 2020/11/15م.‏

11- نظامي تنفيذ وساما نت الآليين
يجب أن يشمل التعديل في الأنظمة الآلية المرتبطة من خلالها المؤسسات المالية (البنوك) مع البنك المركزي كل من نظام تنفيذ ونظام ساما نت.

12- التعليمات‏ المبلغة من البنك المركزي بخصوص تنفيذ إجراءات قضائية وأمنية ومدنية

يجب عند تنفيذ التعليمات المبلغة من البنك المركزي في شأن اجراء حجز أو طلب بيانات أو أصول مستندات أو تنفيذ تحويل، الالتزام باتباع الآتي:

(1)	في حال تلقي طلب حجز أو منع تعامل أو حظر تعامل أو منع تحويل ضد أيا من المنشآت غير الحكومية سواء أكان ذلك عبر الأنظمة التقنية (تنفيذ / ساما نت) أو غيرهما وكان الطلب يحتوي على الرقم الموحد ورقم السجل التجاري/ الترخيص أو أحدها فيجب أن يكون تنفيذ مضمون الطلب في أنظمة المؤسسة المالية والمعلومات الائتمانية ‏بموجب الرقمين جميعاً.
(2)	في حال تلقي طلب رفع حجز أو رفع منع تعامل أو رفع حظر تعامل أو رفع منع التحويل أو طلب تحويل يحتوي على الرقم الموحد وكان يتعلق بطلب سابق لكيان تم التنفيذ عليه برقم السجل التجاري/ الترخيص فيجب أن يتم مطابقة الرقم الموحد للمنشأة مع رقم السجل التجاري/ الترخيص والتحقق أن الرقمين ينتميان لذات المنشأة لضمان صحة وسلامة وصحة التنفيذ.
(3)	في حال تلقي المؤسسة المالية لمعاملة تتعلق بطلب معلومات أو أصول مستندات وكانت المعاملة تحتوي على الرقم الموحد أو السجل التجاري/ الترخيص أو كليهما فيجب البحث في الأنظمة الآلية بالرقم الوارد في المعاملة والبحث أيضاً بالرقم الذي يقابله وذلك لضمان شمولية البحث عن العلاقة المالية ولتوفير المعلومات المطلوبة بشكل دقيق وصحيح.
(4)	يلزم التأكيد على ضمان عدم تأثر إجراءات الحجز ورفعه على العلاقات المالية أو منع التعامل أو حظر التعامل ورفعهما.

13- فتح‏ الحسابات والعلاقات والتعاقدات الجديدة

عند تقدم العميل لفتح حساب / عضوية تعامل / إنشاء علاقة تعاقدية فيتم تطبيق المتطلبات المحددة في الحالات الآتية:

(1)	في حال كانت خانة الرقم الموحد معدة وجاهزة في النظم الالية ومربوطة برقم السجل التجاري فيتم فتح الحساب / العضوية / العلاقة التعاقدية بموجب رقم السجل التجاري والرقم الموحد في الخانتين المترابطتين.
(2)	وفي حال عدم جاهزية خانة الرقم الموحد في النظم الالية وتقدم العميل بوثيقة تشتمل على رقم السجل التجاري والرقم الموحد فيتم فتح الحسابات/ العضوية/ العلاقة التعاقدية بموجب رقم السجل التجاري فقط على أن يتم ادخال الرقم الموحد فور الانتهاء من إعداد متطلبات الإحلال في النظم الآلية.
(3)	وفي حال جاهزية النظم الآلية بالرقم الموحد وتقدم العميل لفتح حساب / عضوية / علاقة تعاقد وقدم اثبات هوية المنشأة متضمنة لرقم السجل التجاري فقط / الترخيص فقط ولا تشتمل على الرقم الموحد، فلا يتم فتح الحساب / العضوية / العلاقة التعاقدية الا بعد تقديم ما يثبت الرقم الموحد من مصدر موثوق سواء أكان المتوافر لديه سجلا تجاريا أو ترخيص كيان.
(4)	يجب مراجعة الحسابات / العضويات / علاقات التعاقد التي تمت من قبل المؤسسات المالية خلال الفترة من تاريخ 1442/02/17هـ‏ الموافق 2020/10/4م‏ وحتى تاريخه، والتحقق أنها متفقة مع ما ورد في الفقرات الثلاث (3.2.1) أعلاه.

14- التدريب
يعد التدريب والقيام بورش العمل اللازمة لذوي العلاقة بالتطبيق والتنفيذ من المتطلبات المهمة والعاجلة.

15- إدارة‏ المشروع وتنفيذ المتطلبات
يجب أن يشكل فريق عمل ومديرا للإحلال لاتخاذ ما يلزم لإدارة ومتابعة الخطط العملية والزمنية لذلك.

16- تقديم‏ تقرير دوري إلى المؤسسة بالإنجازات
يجب تزويد البنك المركزي (إلى المنسقين المبلغ لكم بياناتهم حسب كل قطاع) بتقرير أسبوعي عن الإنجازات الأسبوعية حسب الجدول في الملف المرافق وما قد يتم عليه من تعديل لاحقا.

مسائل أخرى

17- مصدر‏ الحصول على الأرقام الموحدة للمنشآت التي ليس لديها / لا يتطلب عملها الحصول سجل تجاري
حسب المعلومات لدى البنك المركزي حاليا انه يتم ذلك من خلال موقع وزارة الموارد البشرية والتنمية الاجتماعية. إلا أنه لغرض الحصول عليه في قوائم مجمعة (BULK PACH) من قناة إلكترونية رسمية، يقوم البنك المركزي حالياً ببحث كيفية الحصول عليها سواء لما يخص عملاء المؤسسات المالية أو لما يخص شركات المعلومات الائتمانية. وسوف يتم التعميم بما يتم التوصل اليه على الجميع حال التمكن من ذلك، الا أنه ينبغي بذل الجهود للحصول عليها تلافيا لعدم التمكن من إيجاد القناة، وتداركاً للوقت.

18- السجلات‏ التجارية السارية والمشطوبة والموقوفة وغير النشطة دون رقم موحد
يقوم البنك المركزي حالياً بالتنسيق مع الجهات ذات العلاقة بشأن السجلات التجارية التي لم يصدر لها رقم موحد لأي سبب كان سواء ‏أكانت مشطوبة، أو توفر لها رقم موحد ولكنها موقوفة لأي سبب وبياناتها نشطة، والسجلات التجارية السارية وليس لها رقم موحد، وسوف يتم التعميم على الجميع عند الانتهاء من ترتيباتها.

19- تعديل‏ محتوى العقود والاتفاقيات
يجب النظر لما يتعلق بالنماذج والعقود حسبما ترونه ملائما الى حين الانتهاء من المتطلبات وإلغاء خانة السجل التجاري مستقبلا حسب ما ورد في الفقرة رقم (2).

20- اختلاف‏ بعض المتطلبات من قطاع لآخر
يجب الأخذ بعين الاعتبار أن بعض المتطلبات قد تختلف تطبيقاتها من قطاع لآخر.

21- تعليمات‏ أخرى
يمكن اتخاذ إجراءات أخرى حسب ما تراه المؤسسة المالية والائتمانية على ألا يخل ذلك أو يتعارض مع التعليمات أعلاه.

الفصل الأول: أحكام عامة

المادة الأولى: التعريفات
يقصد بالألفاظ والعبارات الآتية - أينما وردت في هذه القواعد- المعاني المبينة أمام كل منها؛ ما لم يقتضِ السياق خلاف ذلك:
البنك المركزي: البنك المركزي السعودي.
القواعد: قواعد احتساب معدل النسبة السنوي.
جهات التمويل: البنوك والمصارف وشركات التمويل المرخص لها بممارسة نشاط التمويل الممنوح للأفراد.
المستفيد: الشخص الطبيعي الحاصل على التمويل.
عقد التمويل: عقد تمنح بمقتضاه جهات التمويل الائتمان للمستفيد.
مبلغ التمويل: الحد الأقصى أو إجمالي المبالغ المتاحة للمستفيد بموجب عقد التمويل.
معدل النسبة السنوي: معدل الخصم الذي تكون فيه القيمة الحالية لجميع الأقساط والدفعات الأخرى المستحقة على المستفيد التي تمثل إجمالي المبلغ المستحق سداده من المستفيد مساويةً للقيمة الحالية لدفعات مبلغ التمويل المتاحة للمستفيد، وذلك في التاريخ الذي يكون فيه مبلغ التمويل أو أول دفعة منه متاحًا للمستفيد، وذلك وفقاً لأحكام القواعد.
إجمالي المبلغ المستحق سداده من المستفيد: مبلغ التمويل مضافاً إليه إجمالي كلفة التمويل
إجمالي كلفة التمويل: ما يلتزم المستفيد بأدائه من تكاليف خلاف مبلغ التمويل وفق أحكام عقد التمويل، وتشمل كلفة الأجل، والرسوم والعمولات وتكاليف الخدمات الإدارية، والتأمين، وأي نفقات لازمة للحصول على التمويل، مع استبعاد أي نفقات يمكن للمستفيد تجنبها مثل التكاليف أو الرسوم التي تستحق على المستفيد نتيجة إخلاله بأي من التزاماته الواردة في عقد التمويل.

المادة الثانية: نطاق التطبيق

1.	تسري أحكام القواعد على جميع جهات التمويل عند مزاولتها أنشطة تمويل موجهة للأفراد.
2.	يجب أن تقترن قراءة القواعد بقراءة الأنظمة واللوائح والتعليمات المعتبرة ومنها - على سبيل المثال لا الحصر- ما يأتي:
	-	نظام مراقبة شركات التمويل، ولائحته التنفيذية.
	-	قواعد تنظيم شركات التمويل الاستهلاكي المصغر.
	-	قواعد الإفصاح عن أسعار المنتجات التمويلية والادخارية
	-	ضوابط التمويل الاستهلاكي.
	-	تعميم البنك المركزي رقم (381000095091) وتاريخ 1438/9/10 هـ. بشأن توضيح المادة رقم (10) و المادة رقم (21) و طريقة حساب معدل النسبة السنوي (APR) الواردة في ضوابط التمويل الاستهلاكي المحدثة.

المادة الثالثة: أحكام عامة

1.	تهدف القواعد إلى توحيد طريقة احتساب معدل النسبة السنوي لمنتجات التمويل الممنوح للأفراد، بما يسهم في رفع مستوى شفافية عروض التمويل المقدمة، وتمكين المستهلكين الأفراد من المقارنة لاتخاذ قراراتهم الائتمانية بصورة دقيقة.
2.	يتم احتساب معدل النسبة السنوي وفقًا للقواعد، والحاسبة المرافقة وذلك في أي من الأنشطة والمستندات الآتية:
	أ-	الحملات الإعلانية والعروض التسويقية.
	ب-	عرض التمويل.
	ت-	عقد التمويل.
	ث-	الكشوفات الدورية المقدمة للمستفيدين.
	ج-	أي إفصاح يتضمن الإشارة إلى معدل النسبة السنوي.

الفصل الثاني: حاسبة معدل النسبة السنوي

المادة الرابعة: حاسبة معدل النسبة السنوي
على جهات التمويل الالتزام باستخدام حاسبة معدل النسبة السنوي المعدة على برنامج جداول البيانات (Excel) المرافقة للقواعد وذلك لغرض تطبيق أحكامها.

المادة الخامسة: تطبيق حاسبة معدل النسبة السنوي وتحديثها
1. على جهات التمويل تحديث سياساتها وإجراءاتها ذات العلاقة بما يضمن الالتزام مع المتطلبات الواردة في القواعد.
2. تٌعد جهات التمويل مسؤولة عن تطبيق الضوابط الداخلية المناسبة وآليات المراجعة لضمان سلامة حاسبة معدل النسبة السنوي المستخدمة، وفي حال أتمتة حاسبة معدل النسبة السنوي: يجب على جهة التمويل التحقق من النتائج التي تم الحصول عليها باستخدام الحاسبة المؤتمتة من خلال مقارنة هذه النتائج بالأرقام التي تم التوصل إليها باستخدام حاسبة معدل النسبة السنوي في برنامج جداول البيانات (Excel) المرافقة للقواعد.
3. على جهة التمويل التحقق من تحديث حاسبة معدل النسبة السنوي المتاحة للعملاء من خلال منصاتها الإلكترونية لتتماشى مع متطلبات القواعد والحاسبة المرافقة.

الفصل الثالث: متطلبات احتساب معدل النسبة السنوي

المادة السادسة: طريقة احتساب معدل النسبة السنوي

يجب احتساب معدل النسبة السنوي بناءً على طريقة صافي القيمة الحالية باستخدام المعادلة التالية:

حيث تمثل الرموز الآتي:

-	m ترتيب آخر دفعة تتاح للمستفيد من مبلغ التمويل.
-	d ترتيب الدفعة التي تتاح للمستفيد من مبلغ التمويل.
-	Cd قيمة الدفعة (d) التي تتاح للمستفيد من مبلغ التمويل.
-	Sd الفترة بين التاريخ الذي يكون فيه مبلغ التمويل أو أول دفعة منه متاحاً للمستفيد وتاريخ الدفعة (d)، محسوبة بالسنوات وأجزاء السنة، وبحيث تكون هذه الفترة لأول دفعة يتسلمها المستفيد من مبلغ التمويل صفر ( S1=0).
-	n ترتيب آخر دفعة تُستحق على المستفيد.
-	Pترتيب الدفعة التي تستحق على المستفيد.
-	Bpقيمة الدفعة (p) التي تستحق على المستفيد.
-	tp الفترة بين التاريخ الذي يكون فيه مبلغ التمويل أو أول دفعة منه متاحاً للمستفيد والتاريخ الذي تُستحق فيه الدفعة (p) على المستفيد، محسوبة بالسنوات وأجزاء السنة.
-	X معدل النسبة السنوي.

المادة السابعة: تكلفة التمويل

1.	على جهة التمويل تحديد إجمالي المبلغ المستحق على المستفيد عند احتساب معدل النسبة السنوي.
2.	على جهة التمويل تضمين الآتي في إجمالي كلفة التمويل:
أ.	جميع الرسوم والتكاليف المستحقة على المستفيد للحصول على التمويل.
ب.	جميع التكاليف سواءً كانت مستحقة لجهة التمويل أو لطرف ثالث، أو كانت مستحقة على المستفيد بشكل مباشر أو غير مباشر، أو كانت تتيح الوصول إلى خدمات مالية أو غير مالية.
ج.	كلفة الأجل، وعمولات عقد التمويل، ورسوم وساطة التمويل المستحقة على المستفيد، والرسوم الإدارية / أو رسوم معالجة طلب التمويل، والتكاليف المتعلقة بالتأمين، ورسوم التقييم، وتكلفة الخدمات الإضافية، والضرائب (ومنها ضريبة القيمة المضافة)، وغيرها.
د.	تكلفة الخدمات الإضافية أو التكميلية لعقد التمويل وذلك عندما تكون الخدمات الإضافية إلزامية للحصول على التمويل أو الحصول على التمويل حسب الشروط والأحكام المعلنة من جهة التمويل.

المادة الثامنة: التكاليف المستبعدة من احتساب معدل النسبة السنوي

يُستبعد من احتساب معدل النسبة السنوي ما يلي:

أ.	أي مبلغ مستحق مقابل السداد المبكر أو التسوية والتغييرات في شروط وأحكام عقد التمويل.
ب.	الرسوم والتكاليف التي قد تفرض نتيجة الإخلال بشروط وأحكام عقد التمويل (مثل: غرامات التأخير، رسوم التحصيل وغيرها).
ج.	التكاليف الأخرى غير المدفوعة والمتعلقة بعقد التمويل (مثل: رسوم تسجيل المركبة).

المادة التاسعة: المتطلبات العامة

يجب على جهة التمويل مراعاة ما يلي عند احتساب معدل النسبة السنوي:

1.	تُحسب الفترات بين التاريخ الذي يكون فيه مبلغ التمويل أو أول دفعة منه متاحاً للمستفيد وتاريخ كل دفعة تتاح للمستفيد أو مستحقة عليه على أساس (365) يوماً للسنة.
2.	افتراض أن مبلغ التمويل سارٍ على الفترة المتفق عليها، وتقيد الأطراف بالتزاماتهم حسب الأحكام الواردة في عقد التمويل.
3.	احتساب معدل النسبة السنوي بالنقاط المئوية بحد أدنى نقطتين أساس، ويُجبر نصف نقطة الأساس فأكثر إلى نقطة كاملة.
4.	في حال تضمن عقد التمويل على ما يجيز إجراء تغيير في كلفة الأجل والرسوم المضمنة في معدل النسبة السنوي (مثل: معدل كلفة الاجل المتغير) بشكل لا يمكن تحديده كمياً عند منح التمويل، فيجب احتساب معدل النسبة السنوي بافتراض أن كلفة الأجل والرسوم الأخرى تظل ثابتة عند كلفة الأجل الابتدائية وسارية إلى نهاية عقد التمويل.

المادة العاشرة: متطلبات محددة لمنتجات البطاقات الائتمانية
على جهة التمويل عند احتساب معدل النسبة السنوي لمنتجات البطاقات الائتمانية، افتراض الآتي:.
1. أن يكون مبلغ التمويل لمدة سنة تبدأ من تاريخ السحب الأولي، أو تخصيص البطاقة، وتاريخ الموافقة، وأن تسدد الدفعة الأخيرة التي يدفعها المستفيد مبلغ أصل التمويل وكلفة الأجل والتكاليف الأخرى، إن وجدت.
2. أن يسدد المستفيد مبلغ التمويل وكلفة الأجل على (12) دفعة شهرية متساوية تبدأ بعد شهر من تاريخ السحب الأولي.
3. إذا لم يتم تحديد سقف لبطاقة الائتمان، يتم افتراض أن هذا السقف 10,000 ريال وذلك لغرض حساب معدل النسبة السنوي المعلن.
4. في مرحلة تقديم العروض، يجب أن يكون مبلغ أصل التمويل مساوياً لحد التمويل كاملاً أو حد البطاقة الائتمانية التي يطلبها العميل أو المقدمة له.
5. في مرحلة توقيع العقد، يجب أن يكون مبلغ أصل التمويل مساوياً لحد التمويل كاملاً أو حد البطاقة الائتمانية بناءً على الاتفاقية المبرمة مع المستفيد.

الفصل الرابع: أحكام ختامية

المادة الحادية عشرة
على إدارة المراجعة الداخلية مراجعة اجراءات احتساب معدل النسبة السنوي بشكل سنوي على الأقل. وعلى جهة التمويل معالجة أوجه القصور التي يشير إليها تقرير المراجعة الداخلية بصورة فورية وفعالة.

المادة الثانية عشرة
يعمل بهذه القواعد بعد مضي (90) يوماً من تاريخ نشرها في موقع البنك المركزي الإلكتروني.

أرشيف

إطلاق تجريبي

كافة المؤسسات المالية

مكافحة غسل الأموال وتمويل الإرهاب

دليل مكافحة غسل الأموال وتمويل الإرهاب

1. مقدمة

2. الغرض

3. الإطار القانوني

4. التعريفات

5. مفهوم جريمة غسل الأموال

6. مفهوم جريمة تمويل الإرهاب

7. الحوكمة ومسؤوليات المؤسسة المالية

أولاً/ مجلس الإدارة

ثانياً/ الإدارة العُليا

ثالثاً/موظفو المؤسسة المالية

8. الإطار العام

9.دليل مكافحة غسل الأموال وتمويل الإرهاب

أولاً: تقييم مخاطر غسل الأموال وتمويل الإرهاب

ثانياً: السياسات والإجراءات والضوابط الداخلية لتخفيف المخاطر

ثالثاً: تدابير العناية الواجبة

أ. تدابير العناية الواجبة

ب. المستفيد الحقيقي

ت. الاعتماد على طرف ثالث في استشفاء تدابير العناية الواجبة

رابعاً: تدابير العناية المعززة

أ. تدابير العناية الواجبة المعززة

ب. الشخص السياسي المعرض للمخاطر

خامساً: تدابير العناية الواجبة المبسطة

سادساً: حفظ السجلات

سابعاً: مراقبة ومتابعة العمليات والأنشطة

ثامناً: الإبلاغ عن العمليات المشتبه بها

تاسعاً: ترتيبات الالتزام بمكافحة غسل الأموال وتمويل الإرهاب

عاشراً: وظيفة التدقيق المستقل

الحادي عشر: التدريب في مجال مكافحة غسل الأموال وتمويل الإرهاب

الثاني عشر: معايير التوظيف والمتابعة

الثالث عشر: العلاقة المراسلة5

الرابع عشر: التحويل البرقي

دليل تنفيذ آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله

مقدمة

دليل تنفيذ آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله

1. تجميد الأموال المحددة بحسب الآليات الصادرة لتنفيذ قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله

2. الأموال التي يجب تجميدها بموجب القرارات

3. آلية تحقق المؤسسات المالية من جميع العملاء مقابل الأسماء المدرجة

4. الإجراءات الواجب اتباعها من قبل المؤسسات المالية في حال تم رفع أمر التجميد

5. سرية المعلومات

6. آلية تحقق البنك المركزي من التزام تطبيق المؤسسات المالية لقرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله

7. العقوبات التي تطبق في حال عدم الالتزام بالمتطلبات والإجراءات المنصوص عليها في آليات تطبيق قرارات مجلس الأمن ذات الصلة بمكافحة الإرهاب وتمويله

8. الحصول على المعلومات

9. آلية الإخطار والتظلم

10. الإرشادات والتعليمات الأخرى

دليل تنفيذ آلية تطبيق قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله

مقدمة

دليل تنفيذ آلية تطبيق قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله

1. تجميد الأموال المحددة بحسب الآليات الصادرة لتنفيذ قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله

2. الأموال التي يجب تجميدها بموجب القرارات

3. آلية تحقق المؤسسات المالية من جميع العملاء مقابل الأسماء المدرجة في قوائم مجلس الأمن

4. الإجراءات الواجب اتباعها من قبل المؤسسات المالية في حال تم رفع أمر التجميد

5. سرية المعلومات

6. آلية تحقق البنك المركزي من التزام تطبيق المؤسسات المالية لقرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله

7. العقوبات التي تُطبّق في حال عدم الإلتزام بالمتطلبات والإجراءات المنصوص عليها في آلية تطبيق قرارات مجلس الأمن المتعلقة بمنع انتشار أسلحة الدمار الشامل وتمويله

استبيان الالتزام بمتطلبات مكافحة غسل الأموال وتمويل الإرهاب والبيانات الإحصائية

إدارة المخاطر السيبرانية

قائمة المصطلحات

المرونة السيبرانية

المتطلبات الأساسية للمرونة السيبرانية (CRFR)

1. المقدمة

1.1 الهدف

2.1 التطبيق

3.1 المسؤوليات

4.1 الامتثال

5.1 التفسير

6.1 الجمهور المستهدف

7.1 المراجعة والتحديثات والمحافظة

8.1 دليل القراءة

2 هيكل المتطلبات الأساسية والمميزات

2.1 الهيكل

2.2 النهج القائم على المخاطر

3.2 التقييم الذاتي للكيانات والتدقيق من جانب البنك المركزي

3 متطلبات التحكم

1.3 قيادة وحوكمة الأمن السيبراني

2.3 عمليات وتقنية الأمن السيبراني

3.3 المرونة

الثالث عشر: العلاقة المراسلة⁵