Skip to main content
رجوع طباعة مخصصة Text Only Rich Text PDFطباعة / حفظ بصيغة
تحميل الوثيقة الأصلية

  • الفصل الأول – قواعد الإسناد والمراجعة وإدارة المخاطر

    • المادة السابعة والعشرون

      (1)يجب على المرخص له الالتزام بقواعد إسناد المهام وبما يضمن قدرة المرخص له على الوفاء بالتزاماته وفقًا للباب الرابع من اللائحة.
       
      (2)يجب على المرخص له الحصول على عدم ممانعة البنك المركزي عند رغبته في إبرام عقد مع شخص آخر؛ للقيام بمهام جوهرية ترتبط بتقديم خدمات المدفوعات ذات الصلة أو تشغيل نظام المدفوعات.
       
      (3)يجب على المرخص له عند رغبته في إسناد مهام جوهرية، مراعاة الآتي:
       
       (أ)ألا يتم إسناد المهام بطريقة تضر أو تؤثر سلبًا على ما يلي:
       
        (1)جودة الضوابط الداخلية للمرخص له ويشمل ذلك الخدمات المسندة.
       
        (2)صلاحيات البنك المركزي في مراقبة التزام المرخص له بالنظام واللائحة وشروط الترخيص.
       
        (3)علاقة المرخص له والتزاماته تجاه مستخدمي خدمات المدفوعات أو الأعضاء.
       
        (4)الالتزام بالشروط التي يجب على المرخص له استيفاؤها للحصول على الترخيص.
       
        (5)التقيد بشروط الترخيص.
       
       (ب)ألا يترتب على إسناد المهام قيام شاغلي المناصب القيادية بتفويض الالتزام بمسؤوليات المرخص له بأحكام اللائحة.
       
      (4)لأغراض الفقرة الثالثة من هذه المادة، تكون المهام جوهرية إذا كان وجود عيب أو عطل في أدائها يؤثر بشكل جوهري على أي مما يلي:
       
       (أ)التزام المرخص له بالنظام واللائحة أو بأيٍ من شروط الترخيص.
       
       (ب)الأداء المالي للمرخص له.
       
       (ج)سلامة أو استمرارية أعمال خدمات المدفوعات ذات الصلة أو نظام المدفوعات.
       
      (5)يجب على المرخص له إشعار البنك المركزي بأي تغير في وظائف إسناد المهام أو الأشخاص الذين أُسندت إليهم تلك الوظائف.
       
      (6)يكون المرخص له الذي قام بإسناد المهام مسؤولاً أمام عملائه وأمام البنك المركزي.
       

    • المادة الثامنة والعشرون

       (1)يجب على المرخص له وضع سياسات وإجراءات وضوابط ونظم لإدارة المخاطر والالتزام واستمرارية الأعمال، بحيث تكون شاملة ومتناسبة مع طبيعة وحجم ومدى تعقيد الأنشطة والخدمات التي يقدمها، كما يجب أن تراعي السياسات والإجراءات والأنظمة والضوابط أنواع أنشطة المرخص له وطبيعة وحجم وتعقيد أعماله والمصاعب ودرجة المخاطر المرتبطة بالعمليات التشغيلية.
       
       (2)يجب على المرخص له التأكد من تحديث سياسات وإجراءات ونظم وضوابط إدارة المخاطر والالتزام واستمرارية الأعمال ومراجعتها مرة واحدة -على الأقل- سنويًا، وتقديم نسخة للبنك المركزي عند إجراء أي تعديلات جوهرية، وللبنك المركزي طلب تزويده بمعلومات إضافية أو إجراء ما يلزم من تغييرات.
       
       (3)

      يجب أن تتضمن أنظمة وضوابط إدارة المخاطر والالتزام للمرخص له ما يلي:

      (أ)الإجراءات اللازمة لتحديد وإدارة ومراقبة والإبلاغ عن أي مخاطر قد يتعرض لها المرخص له.
       
      (ب)آليات الرقابة الداخلية اللازمة التي تتضمن الإجراءات الإدارية وإدارة المخاطر وإجراءات المحاسبة المناسبة.
       
      (ج)آليات مناسبة للتحقق من الالتزام بجميع المتطلبات ذات الصلة بموجب النظام واللائحة، وكافة الأنظمة واللوائح والقرارات والتعليمات والتعاميم ذات الصلة.
       
      (د)سياسات وإجراءات الكشف عن الاحتيال وإجراءات التعامل مع حالات الاحتيال.
       
      (هـ)سياسات وإجراءات إشعار البنك المركزي والجهات ذات العلاقة بحوادث الاحتيال.
       
       (4)

      مع مراعاة الفقرة الثالثة أعلاه، يجب أن تتضمن سياسات وضوابط إدارة المخاطر والالتزام الخاصة بالمرخص له ما يلي:

      (أ)إنشاء وظيفة لإدارة المخاطر، ووظيفة للمراجعة الداخلية والتدقيق، ووظيفة للالتزام، مع تزويد مسؤولي هذه الوظائف بالاستقلالية والموارد الكافية لأداء مهامهم.
       
      (ب)إنشاء إطار رقابي متكامل بين وظائف المراجعة الداخلية وإدارة المخاطر والالتزام والمراجع الخارجي.
       

    • المادة التاسعة والعشرون

      يجب أن يكون لدى المرخص له عدد كافٍ ومؤهل من الموظفين الذين لديهم المعرفة والخبرة المناسبة لتلبية احتياجاته التشغيلية، وأن تكون مكافآت وحوافز الموظفين مناسبة ومتوافقة مع استراتيجية إدارة المخاطر الخاصة به، مع مراعاة مبادئ الحوكمة السليمة وعدم تضارب المصالح ومبادئ حماية العملاء. كما يجب على المرخص له الالتزام بالأنظمة واللوائح والقرارات المعمول بها في المملكة والمتعلقة بنسبة الموظفين من غير السعوديين.

    • المادة الثلاثون

      يجب أن يكون لدى المرخص له قواعد ونظم وضوابط حوكمة تتناسب مع طبيعة وحجم ومدى تعقيد أعماله وهيكله التنظيمي، على أن تتضمن تنظيم – على سبيل المثال لا الحصر – الهيكل التنظيمي، واستقلالية وفصل المهام، وأدوار مديري الشركة وأعضاء مجلس الإدارة ولجانه، بما في ذلك تعيين المديرين والأعضاء ومسؤولياتهم، وسياسات المكافآت والتعويضات، وضوابط تعارض المصالح، وضوابط النزاهة والشفافية، والالتزام بالأنظمة واللوائح والقرارات المعمول بها، والتزامات الحفاظ على سرية المعلومات، والحماية المناسبة للأصول. ويجب على المرخص له تطبيق المعايير والمبادئ الصادرة عن البنك المركزي والجهات ذات العلاقة بهذا الشأن.

    • المادة الحادية والثلاثون

      يجب على المرخص له إنشاء وحدة إدارية معنية بالمراجعة الداخلية ترتبط بلجنة المراجعة (أو من يقوم مقامها) التابعة لمجلس الإدارة أو مديري الشركة، ويجب أن تكون إدارة المراجعة الداخلية مستقلة في أداء مهامها، وألا يتم تكليف موظفيها بأي مسؤوليات أخرى، وتحدد اختصاصاتها ومسؤولياتها وفق الآتي:

       (1)تتولى وحدة المراجعة الداخلية تقييم السياسات والضوابط الداخلية وضمان التزام المرخص له وموظفيه بالأنظمة واللوائح والقرارات المعمول بها، والسياسات والإجراءات المعتمدة من قبل المرخص له، ويشمل ذلك عمليات إسناد المهام، كما يجب أن يكون لوحدة المراجعة الداخلية حق الاطلاع على أي معلومات أو وثائق حسب حاجة عملها.
       
       (2)تعمل وحدة المراجعة الداخلية وفق خطة مراجعة شاملة ومعتمدة من لجنة المراجعة التابعة لمجلس الإدارة تتضمن مراجعة الأنشطة والعمليات الرئيسية، بما في ذلك تلك المتعلقة بإدارة المخاطر والامتثال، على أن يتم تحديثها سنويًا.
       
       (3)يجب على وحدة المراجعة الداخلية إعداد تقرير مكتوب يوضح أعمالها، وتقديمه إلى لجنة المراجعة كل ثلاثة أشهر على الأقل، ويجب أن يتضمن التقرير نطاق المراجعة وجميع النتائج والتوصيات، والإجراءات التي اتخذها كل قسم فيما يتعلق بنتائج وتوصيات المراجعة السابقة، خصوصًا إذا لم تتم معالجتها في الوقت المحدد وأسباب ذلك، بالإضافة إلى أي ملاحظات أخرى ذات صلة.
       
       (4)يجب على وحدة المراجعة الداخلية أن تعد وتقدم إلى لجنة المراجعة تقريرًا يوضح جميع عمليات المراجعة التي أجرتها في كل سنة مالية، مقارنةً بخطة المراجعة المعتمدة، ويُبين فيه أي ثغرات أو عدم توافق مع خطة المراجعة، ويجب أن يقدم هذا التقرير خلال الربع الأول الذي يلي نهاية كل سنة مالية.
       
       (5)يحتفظ المرخص له بوثائق العمل وتقارير المراجعة المعتمدة التي تبين شفافية الأعمال المنجزة، وكذلك النتائج والتوصيات المعتمدة وما تم إنجازه بشأن هذه التوصيات.

    • المادة الثانية والثلاثون

       (1)يجب على المرخص له تعيين مراجع حسابات خارجي للقيام بالمراجعة الخارجية، مع مراعاة وجوب الحصول على خطاب عدم ممانعة من البنك المركزي قبل تعيين المراجع الخارجي، كما يلزم تغيير المراجع الخارجي كل خمس سنوات.
       
       (2)يجب أن يكون المراجع الخارجي معتمدًا لدى الجهات المختصة في المملكة، وألا يكون لديه تعارض في المصالح عند العمل لدى المرخص له.
       
       (3)

      يجب على المرخص له التحقق من تضمين شروط وأحكام الاتفاقية مع مراجع الحسابات الخارجي؛ التزام المراجع الخارجي بتقديم ما يلي -كحد أدنى-:

      (أ)مراجعة القوائم المالية (أو القوائم المالية الموحدة) للمرخص له والتي تم إعدادها وفقًا للمعايير والممارسات المالية والمحاسبية المعتمدة في المملكة، وذلك للسنة التي تم تعيينه فيها.
       
      (ب)إجراء مراجعة للعمليات المالية المتعلقة بالخدمات المرخصة من قبل البنك المركزي بشكل منفصل عن أي مراجعة يتم إجراؤها على الأنشطة الأخرى.
       
      (ج)تقديم تقرير المراجعة إلى البنك المركزي بالشكل والمدة التي يحددها، ويجب أن يتضمن التقرير المعلومات المحاسبية المتعلقة بالخدمات التي يقدمها المرخص وفقًا لأحكام هذه اللائحة بشكلٍ مستقل.
       
       (4)

      للبنك المركزي أن يطلب من مراجع الحسابات الخارجي القيام بأي مما يلي –على سبيل المثال لا الحصر –:

      (أ)تقديم أي معلومات إضافية متعلقة بالمراجعة.
       
      (ب)زيادة أو توسيع نطاق مراجعة أعمال المرخص له.
       
      (ج)القيام بأي فحص أو تدقيق إضافي لعملية المراجعة.
       
       (5)للبنك المركزي توجيه المرخص له بعزل مراجع الحسابات الخارجي وتعيين بديل له على نفقة المرخص له في حال عدم قبوله لأداء مراجع الحسابات الخارجي.
       
       (6)يجب على المرخص له إرفاق تقارير مراجع الحسابات الخارجي المعدة وفقًا لهذه المادة بالميزانية العمومية وحساب الأرباح والخسائر والقوائم المالية للمرخص له أو القوائم المالية الموحدة، وتقديم نسخ من هذه التقارير للبنك المركزي بالشكل والمدة التي يحددها.
       
       (7)

      يجب على المرخص له التأكد من تضمين شروط وأحكام الاتفاقية مع مراجع الحسابات الخارجي؛ إلزام المراجع الخارجي بإشعار البنك المركزي –بشكل فوري– إذا تبين له احتمالية حدوث أي مما يلي:

       

      (أ)ارتكاب مخالفة لأي حكم من أحكام النظام أو اللائحة أو غيرها من الأنظمة واللوائح والقرارات والتعليمات ذات الصلة.
       
      (ب)ارتكاب جريمة جنائية متعلقة بالاحتيال المالي أو خيانة الأمانة.
       
      (ج)تحقق خسائر أدت إلى عدم استيفاء متطلبات رأس المال المنصوص عليها في اللائحة.
       
      (د)حدوث أي خطأ قد يكون له تأثير جوهري على حسابات المرخص له، ويشمل ذلك أي خطأ تسبب في تعطيل مؤثر لتقديم أي نوع من الخدمات لعملاء المرخص له.
       
      (هـ)إذا كان المراجع لا يستطيع التأكد ما إذا كانت أصول المرخص له تتجاوز خصوم المرخص له أو تستوفي أي اختبار ملاءة آخر مطبق في المملكة.
       
       (8)

      لا يعد التقرير المقدم بموجب الفقرة السابعة من هذه المادة إخلالًا بأي قيود مفروضة على الإفصاح بموجب أي أنظمة أو لوائح معمول بها أو شروط تعاقدية سارية، ولا يتحمل مراجع الحسابات الخارجي وموظفوه مسؤولية أي تصرف أو خطأ أو خسارة تنشأ عن الإفصاح، شريطة أن يفصح – بحسن نية – للبنك المركزي عمّا يلي:

      (أ)مدى علمه يقينًا أو احتمالًا بوجود أي من المسائل المذكورة في الفقرة الثامنة من هذه المادة.
       
      (ب)أي معلومة أو مسألة أخرى نشأ بناءً عليها علمه يقينًا أو احتمالًا.
       
       (9)يجب على المرخص له توجيه مراجع الحسابات الخارجي المعني وفقًا لهذه المادة بعدم إفشاء أي معلومات حصل عليها أثناء قيامه بعمله لأي شخص آخر غير المرخص له أو البنك المركزي، ما لم يكن ذلك لازمًا بموجب أحكام اللائحة أو بموجب أي أنظمة أو لوائح أو قرارات ذات علاقة.
       
       (10)

      يعد قيام المرخص له أو أي من موظفيه بأي من التصرفات التالية –أو التآمر مع الغير للقيام بها– مخالفةً لأحكام اللائحة:

      (أ)منع أو تأخير أو عرقلة إجراء المراجعة.
       
      (ب)إتلاف أي ممتلكات أو سجلات أو مستندات تتعلق بأعمال المرخص له، أو إخفاؤها أو استبدالها.
       
      (ج)إرسال أي سجل أو مستند أو أصل –أيًا كان وصفه – مما يمتلكه المرخص له أو يكون في حيازته أو تحت تصرفه إلى خارج المملكة.
       

    • المادة الثالثة والثلاثون

      يجب على المرخص له الالتزام باللائحة وكافة ما يصدر عن البنك المركزي من قرارات فيما يخص إدارة استمرارية الأعمال، مع الأخذ في الاعتبار أنواع الأنشطة التي يتم إجراؤها وطبيعة وحجم وتعقيد نموذج العمل.

    • المادة الرابعة والثلاثون

      يجب على المرخص له الالتزام باللائحة وكافة ما يصدر عن البنك المركزي من قرارات تتعلق بمتطلبات الأمن السيبراني، وغيرها من الأنظمة واللوائح والقرارات والتعليمات الصادرة عن الجهات المختصة في المملكة.

    • المادة الخامسة والثلاثون

      يجب على المرخص له الالتزام باللائحة وكافة ما يصدر عن البنك المركزي من قواعد وقرارات وتعاميم تتعلق بمتطلبات حوكمة البيانات والتقنية، بالإضافة إلى أي أنظمة أو لوائح أو قرارات صادرة عن جهات الاختصاص في المملكة. ويجب على المرخص له الالتزام بالمعايير الفنية المعتمدة لنظام المدفوعات الذي يكون عضوًا فيه أو التي تنطبق عليه، وأي معايير فنية أخرى ذات صلة بتنفيذ عمليات المدفوعات، بما في ذلك مجال بطاقات المدفوعات ومعايير أمن البيانات وما يجري عليها من تعديلات.

    • المادة السادسة والثلاثون

       (1)يجب على المرخص له الالتزام بالأنظمة واللوائح والقرارات والتعليمات الصادرة والمتعلقة بمكافحة غسل الأموال ومكافحة جرائم الإرهاب وتمويله، والسياسات والإجراءات الداخلية الصادرة في هذا الشأن.
       
       (2)يجب على المرخص له اعتماد أسلوب قائم على تقييم المخاطر والحد منها في وضع السياسات والإجراءات الداخلية لمكافحة غسل الأموال ومكافحة تمويل الإرهاب، وذلك لضمان تناسب التدابير المستخدمة للتخفيف من مخاطر غسل الأموال وتمويل الإرهاب مع المخاطر المحددة.

    • المادة السابعة والثلاثون

       (1)يجب على المرخص له الالتزام بالأنظمة الخاصة بحماية البيانات في المملكة، بالإضافة إلى اللوائح والقرارات والتعليمات والتعاميم الصادرة عن البنك المركزي.
       
       (2)يجب على المرخص له حماية بيانات العميل والمستهلك والحفاظ على سريتها، ويشمل ذلك البيانات المحفوظة عند أي طرف ثالث أو وكيل تابع للمرخص له، وألا يمنح صلاحية الاطلاع على تلك البيانات إلا للموظفين المصرح لهم من قبله ولغرض الالتزام بالمتطلبات التنظيمية في المملكة، كالإبلاغ عن الاشتباه بجرائم غسل الأموال والاحتيال وغيرها من الجرائم المالية.
       
       (3)

      مع عدم الإخلال بالأنظمة ذات العلاقة، لا يجوز للمرخص له الإفصاح عن بيانات العملاء إلا في الحالات التالية:

      (أ)الالتزام بمتطلبات البنك المركزي أو ما تطلبه الجهات المختصة من البنك المركزي داخل أو خارج المملكة.
       
      (ب)الحصول على الموافقة الكتابية المحددة من العميل قبل الإفصاح لأغراض تستدعي ذلك.
       
       (4)يجب على المرخص له وضع سياسات وإجراءات وضوابط الرقابة المناسبة والهادفة إلى حماية بيانات العميل من أي مخاطر متعلقة بأمن البيانات والمعلومات، وتدريب موظفيه لتوعيتهم بها.
       
       (5)يجب على المرخص له وضع ضوابط لحماية البيانات وفقًا لما يصدر عن البنك المركزي والجهات المختصة في المملكة في هذا الشأن.

    • المادة الثامنة والثلاثون

       (1)يجب على المرخص له إعداد وحفظ سجلات تضم كافة العمليات والبيانات والمعلومات المتعلقة بالالتزام بمتطلبات الباب الرابع من اللائحة، بشكل يمكن البنك المركزي من الإشراف على ذلك بشكل فعال.
       
       (2)

      تشمل السجلات التي يجب على المرخص لهم الاحتفاظ بها ما يلي:

      (أ)المعلومات المالية: وتشمل القوائم المالية وسجلات البيانات البنكية وحسابات العملاء، بالإضافة إلى السجلات المحاسبية، ويشمل ذلك–على سبيل المثال لا الحصر– الشيكات وسجلات التحويلات المالية الإلكترونية -بما في ذلك البيانات البنكية- والفواتير والعقود ودفاتر الأستاذ العامة والفرعية وقيود اليومية، والتعديلات على البيانات المالية التي لا تُثبت في قيود اليومية وأوراق العمل وجداول البيانات المساندة لتخصيص التكلفة والحسابات والتسويات والإفصاحات.
       
      (ب)التقارير المتعلقة بالأنشطة التي يمارسها المرخص له وحجم الأعمال والخدمات، بما في ذلك حجم عمليات المدفوعات وقيمها.
       
      (ج)محاضر اجتماعات وقرارات مجلس الإدارة أو مديري الشركة.
       
      (د)المعلومات المتعلقة بأي حوادث أمنية أو تشغيلية جوهرية (سواءً منفردة أو عند تقييمها مع حوادث أخرى).
       
      (هـ)سجلات الموافقات الصادرة لعمليات المدفوعات.
       
      (و)سجلات الأمان بما في ذلك سجلات المصادقة.
       
      (ز)معلومات التغييرات الواجب تقديمها بموجب المادة (الحادية والعشرون بعد المئة) من اللائحة.
       
      (ح)تقارير إدارة المخاطر وما يتعلق بحوادث الاحتيال الواجب الإفصاح عنها.
       
      (ط)تقارير حماية البيانات وتدابير الخصوصية.
       
      (ي)الشكاوى المقدمة من مستخدمي خدمات المدفوعات وأي إجراء تصحيحي تم اتخاذه.
       
      (ك)التقارير المتعلقة بأي أخطاء أو تأخير أو مبالغ مستردة أو مواضيع أخرى تم التعامل معها ومعالجتها.
       
      (ل)تقارير الالتزام بمتطلبات حماية وحفظ الأموال المحمية.
       
      (م)أي معلومات ذات علاقة بمتطلبات "اعرف عميلك" والعناية الواجبة تجاه العميل، وفحص قائمة العقوبات وفقًا للأنظمة واللوائح والتعليمات ذات العلاقة بمكافحة غسل الأموال ومكافحة جرائم الإرهاب وتمويله.
       
      (ن)التقارير المتعلقة بالالتزام باللائحة أو غيرها من الأنظمة واللوائح والقرارات والتعليمات والتعاميم ذات العلاقة.
       
      (س)المستندات القانونية الجوهرية، كعقود التوظيف وعقود تعيين مراجع الحسابات الخارجي، والاتفاقيات المتعلقة باستمرارية الأعمال، واتفاقيات إسناد المهام، إضافةً إلى المستندات المتعلقة بحوكمة الشركة.
       
       (3)يجب على المرخص له الاحتفاظ بالسجلات لمدة عشر سنوات على الأقل من تاريخ إنشائها، وللبنك المركزي تعديل مدة احتفاظ المرخص له بالسجلات وفقًا لما يراه مناسبًا.
       
       (4)

      يجب على المرخص له وضع السياسات والإجراءات والنظم والضوابط التي تنظم التخزين الإلكتروني للوثائق والسجلات، مع تحقيق المتطلبات التالية كحد أدنى:

      (أ)إنشاء السجلات والوثائق، وتخزينها على وسائط تخزين موثوقة وآمنة.
       
      (ب)فهرسة وتصنيف السجلات وأي وثائق ذات صلة بشكلٍ واضح وبطريقة تسهل استخدامها أو الإحالة إليها.
       
      (ج)توفير نظام موثوق وآمن لمنح وتنظيم صلاحيات الوصول إلى الأنظمة الإلكترونية والمادية، وضمان عدم وجود وصول غير مصرح به إلى البيانات الإلكترونية أو المادية.
       
      (د)إنشاء وتطبيق سياسة النسخ الاحتياطي بشكل يوفر أقصى درجات الحماية والقدرة على إيجاد نسخ احتياطية في حالة فقدان النسخة الأصلية أيًا كان نوعها، والقيام باختبارات دورية للنسخ الاحتياطية.
       
      (هـ)استخدام الشهادات الرقمية والتشفير الإلكتروني.
       
      (و)تخزين السجلات والوثائق ذات الصلة بنفس التنسيق الذي يتم إنشاؤها أو استلامها به، وعدم إجراء أي إضافة أو تعديل أو حذف.
       
      (ز)تسجيل كافة الإجراءات المتخذة على السجلات.
       
      (ح)التحقق من التزام الموظفين المصرح لهم بالوصول إلى السجلات والوثائق والبيانات الإلكترونية والمادية بالحفاظ على سريتها أثناء فترة عملهم لدى مقدم خدمات المدفوعات وبعد انتهائها.
       
       (5)يجب على المرخص له إجراء مراجعة منتظمة بقصد التحقق من ضمان الالتزام بالأحكام المنصوص عليها في هذه المادة بشكل سنوي كحد أدنى.