3. الحوكمة
يتحمل مجلس الإدارة والقيادة التنفيذية للمؤسسة المالية المسؤولية النهائية عن وضع برنامج لمكافحة الاحتيال المالي؛ وإتاحة القيادة والتوجيه؛ وإبراز ثقافة مكافحة الاحتيال المالي داخل المؤسسة وخارجها. يجب أن يتضمن البرنامج استراتيجية مكافحة الاحتيال المالي لتحديد الأهداف التنظيمية، وسياسة مكافحة الاحتيال المالي التي تحدد المسؤوليات والمتطلبات الإلزامية، وهيكل الحوكمة مع التقارير الداخلية والخارجية المرتبطة بها التي تتماشى مع حجم المؤسسة ومستوى التعقيد بها لرصد إدارة مخاطر الاحتيال والإشراف عليها.
الشكل 4 - مجال الحوكمة1.3. هيكل الحوكمة
المبدأ
يجب على المؤسسات المالية إعداد واستدامة هيكل حوكمة مكافحة الاحتيال المالي الخاص بالإدارة العليا مع تولي مسؤولية الإشراف والرقابة على جميع جوانب برنامج مكافحة الاحتيال المالي التنظيمي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية إنشاء وضمان عمل لجنة حوكمة مخصصة لمكافحة الاحتيال (CFGC).
ب. يجب أن يرأس أحد أعضاء اللجنة التنفيذية لجنة الحوكمة المخصصة لمكافحة الاحتيال (CFGC) (على سبيل المثال، الرئيس التنفيذي (CEO) أو رئيس إدارة المخاطر (CRO) أو ما يعادله).
ج. يجب تمثيل المناصب التالية كحد أدنى في لجنة الحوكمة المخصصة لمكافحة الاحتيال (CFGC):
1. رئيس مكافحة الاحتيال/المدير الأول المسؤول عن برنامج مكافحة الاحتيال المالي.
2. رئيس إدارة المخاطر.
3. الرئيس التنفيذي للعمليات.
4. رئيس الأعمال الرقمية.
5. رؤساء إدارات الأعمال ذات الصلة أو أصحاب المنتجات (على سبيل المثال، مدير عام البيع لشؤون الأفراد / الشركات).
6. كبار المديرين من جميع الإدارات المشاركة في إدارة مخاطر الاحتيال (على سبيل المثال، إدارة المخاطر التشغيلية، والأمن السيبراني، وإدارة مكافحة الاحتيال المالي، والتحليلات، والامتثال).
7. يجب أن يحضر التدقيق الداخلي بصفة "مراقب".
د. يجب إعداد ميثاق لجنة الحوكمة المختصة بمكافحة الاحتيال والموافقة عليه، وأن يعكس الميثاق ما يلي:
1. أهداف اللجنة.
2. سلطة اللجنة ومساءلتها.
3. الأدوار والمسؤوليات.
4. الحد الأدنى لعدد ودور المشاركين في الاجتماع المطلوب لاستيفاء النصاب القانوني.
5. وتيرة عقد الاجتماعات (الحد الأدنى على أساس ربع سنوي).
6. إجراء التصعيد لقضايا أو حوادث الاحتيال إلى مستوى مجلس الإدارة.
7. توثيق وحفظ محاضر الاجتماعات وقراراتها.
هـ. يجب أن تكون لجنة الحوكمة المختصة بمكافحة الاحتيال مسؤولة على الأقل عن:
1. الموافقة والدعم والتواصل والمراقبة:
أ. استراتيجية مكافحة الاحتيال المالي.
ب. سياسة مكافحة الاحتيال المالي.
ج. إطار عمل إدارة مخاطر الاحتيال الذي يجب أن يتضمن كحد أدنى ما يلي:
i. عملية المراقبة الاستخباراتية.
ii. تقييم مخاطر الاحتيال.
iii. قابلية مخاطر الاحتيال
iv. مؤشرات المخاطر الرئيسية للاحتيال.
د. معلومات الإدارة
2. توفير القيادة والتوجيه والإشراف على برنامج مكافحة الاحتيال المالي في المؤسسة المالية.
و. يجب على المؤسسات المالية تعيين رئيس مؤهل وذي خبرة مناسبة لمكافحة الاحتيال المالي ليكون مسؤولاً عن برنامج مكافحة الاحتيال المالي على مستوى الإدارة العليا (راجع متطلبات الرقابة 5.3.هـ).
ز. يجب على المؤسسات المالية إعداد عملية موثقة ومعتمدة لميزانية مكافحة الاحتيال المالي وتحديد أولويات الإنفاق التي يجب أن تتماشى مع الأهداف الإستراتيجية لمكافحة الاحتيال.
ح. يجب مراقبة الميزانية العامة لمكافحة الاحتيال المالي ومراجعتها دوريًا وتعديلها وفقًا لذلك من لجنة الحوكمة المختصة بمكافحة الاحتيال لتلبية احتياجات مكافحة الاحتيال المالي واحتياجات العمل.
ط. يجب على المؤسسات المالية تحديد أدوار ومسؤوليات الإدارة العليا وموظفي إدارة مكافحة الاحتيال المالي باستخدام مصفوفة تعيين المسؤولية، المعروفة أيضًا باسم "RACI". يجب أن تحدد مصفوفة "RACI" من المسؤول والخاضع للمساءلة عن عمليات وضوابط مكافحة الاحتيال المالي، وكذلك من يجب استشارته أو إعلامه.
2.3. استراتيجية مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على استراتيجية مكافحة الاحتيال المالي التي تتماشى مع الأهداف الاستراتيجية العامة للمؤسسة، حيث تحدد مبادرات مكافحة الاحتيال المالي القصيرة والطويلة الأجل وتعميم خطة عمل لتحقيقها.
متطلبات الرقابة
أ. يجب تحديد استراتيجية مكافحة الاحتيال والموافقة عليها وتنفيذها وحفظها.
ب. يجب ترجمة المبادرات الإستراتيجية لمكافحة الاحتيال المالي إلى خارطة طريق محددة، بما في ذلك على سبيل المثال لا الحصر، النظر في ما يلي:
1. الجداول الزمنية لتنفيذ المبادرات.
2. المالك المسؤول عن تنفيذ المبادرة.
3. كيف ستعمل المبادرات على سد الفجوات بين البيئات الحالية والمستهدفة.
4. دمج المبادرات في استراتيجية متماسكة لمكافحة الاحتيال المالي تتوافق مع استراتيجية العمل.
5. أوجه الاعتماد والتداخلات والتآزر والتأثيرات بين المشاريع وتحديد الأولويات.
ج. يجب أن تتماشى استراتيجية مكافحة الاحتيال المالي مع:
1. الأهداف الإستراتيجية العامة للأعمال للمؤسسة المالية.
2. الاستراتيجيات الأوسع نطاقًا التي قد تؤثر على مخاطر الاحتيال وضوابطه، على سبيل المثال، الأمن السيبراني وتكنولوجيا المعلومات والجرائم المالية (مكافحة غسيل الأموال (AML) والعناية الواجبة تجاه العملاء(CDD)).
3. متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية وأي أنظمة أخرى معمول بها في المملكة العربية السعودية.
د. يجب أن تعالج استراتيجية مكافحة الاحتيال المالي على الأقل ما يلي:
1. النضج الحالي للمؤسسة المالية، بما في ذلك أهم التحديات المتعلقة بالاحتيال التي تواجهها.
2. متطلبات الأشخاص والعمليات والتكنولوجيا لتنفيذ الاستراتيجية وإدارة الاحتيال بشكل استباقي في حدود القدرة على تحمل المخاطر.
3. الاتجاه المستقبلي لبرنامج مكافحة الاحتيال المالي في المؤسسة المالية، والمبادرات المطلوبة للانتقال بنجاح إلى الحالة المستقبلية المرغوبة.
4. التغييرات المعروفة في مشهد الاحتيال (على سبيل المثال، زيادة التحول الرقمي في منتجات الخدمات المالية، أو التهديدات الخارجية الجديدة، أو اللوائح التنظيمية الجديدة، أو التوجيهات).
هـ. يجب على المؤسسة المالية مراجعة استراتيجية مكافحة الاحتيال المالي الخاصة بها وتحديثها عند الحاجة على أساس دوري أو كلما كان هناك تغيير جوهري:
1. داخليًا (على سبيل المثال، نموذج عمل المؤسسة المالية، أو البيئة التشغيلية، أو استراتيجية العمل).
2. خارجيًا (على سبيل المثال، مشهد الاحتيال أو الأنظمة واللوائح المعمول بها).
3.3. سياسة وإجراءات مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تحديد سياسة مكافحة الاحتيال المالي والموافقة عليها وإبلاغها وتنفيذها لتحديد الالتزام والأهداف الخاصة بمكافحة الاحتيال المالي وتوفير المتطلبات لأصحاب المصلحة المعنيين؛ والإجراءات المرتبطة بها لتحديد المهام والأنشطة بالتفصيل التي يجب أن يقوم بها الموظفون.
متطلبات الرقابة
أ. ينبغي تحديد سياسة وإجراءات مكافحة الاحتيال المالي والموافقة عليها ونشرها وتنفيذها.
ب. يجب أن تراعي سياسات وإجراءات مكافحة الاحتيال المالي المخاطر المحددة في تقييم مخاطر الاحتيال، ومشهد الاحتيال المتطور ونموذج عمل المؤسسة المالية وعملياتها، ويجب مراجعتها دوريًا لضمان إدارة المخاطر المحددة بشكل فعال.
ج. يجب أن تكون سياسة مكافحة الاحتيال المالي متاحة بسهولة لجميع الموظفين والمتعاقدين والأطراف الخارجية ذات الصلة، بما في ذلك جميع الفروع والشركات التابعة المملوكة للأغلبية.
د. يجب أن تتطلب سياسة مكافحة الاحتيال المالي من المؤسسات المالية اتباع جميع أنظمة ولوائح مكافحة الاحتيال المالي المعمول بها، ومتطلبات مشغلي الدفع.
هـ. يجب أن تتضمن سياسة مكافحة الاحتيال المالي كحد أدنى ما يلي:
1. مالك محدد يتمتع بالأقدمية والدور المناسبين (على سبيل المثال، رئيس قسم مكافحة الاحتيال المالي).
2. الأهداف العامة لمكافحة الاحتيال في المؤسسة المالية ونطاقها.
3. بيان نية مجلس الإدارة الداعم لأهداف مكافحة الاحتيال.
4. المتطلبات الأساسية لتوفير نهج متسق ومتناسب وفعال لإدارة مخاطر الاحتيال.
5. مسؤوليات أصحاب المصلحة الرئيسيين والأطراف الخارجية ذات الصلة الذين يؤدون دورًا في إدارة الاحتيال أو منعه أو كشفه أو الاستجابة له عبر خطوط الدفاع الثلاثة (على سبيل المثال، الإدارة العليا، والامتثال، والتدقيق الداخلي).
6. متطلبات التصعيد والإبلاغ في حالة انتهاك السياسة.
و. يجب أن تحدد إجراءات مكافحة الاحتيال المالي المهام والأنشطة بالتفصيل التي يجب أن يؤديها الموظفون في بيئة التشغيل لعملية مكافحة الاحتيال المالي وعمليات المراقبة (على سبيل المثال، تقييم مخاطر المنتج، ومعالجة التنبيهات، والتحقيقات).
ز. بالنسبة للمؤسسات المالية التي يقع مقرها الرئيسي في المملكة العربية السعودية، يجب أن تنطبق سياسة مكافحة الاحتيال المالي على جميع الفروع الدولية والشركات التابعة. إذا كان قانون ولاية قضائية أخرى يحظر الامتثال، فيجب توثيق الإعفاء والموافقة عليه.
4.3. الأدوار والمسؤوليات
المبدأ
يجب على المؤسسات المالية تحديد أدوار ومسؤوليات مكافحة الاحتيال المالي والموافقة عليها وتنفيذها عبر خطوط الدفاع الثلاثة، ويجب أن يكون لدى جميع أصحاب المصلحة المعنيين مستوى مناسب من المعرفة لاستيعاب التوقعات المتعلقة بدورهم.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ أدوار ومسؤوليات مكافحة الاحتيال المالي لجميع أصحاب المصلحة المعنيين والتأكد من تعميمها واستيعابها.
ب. يجب أن يكون مجلس الإدارة مسؤولاً عن:
1. إعداد برنامج مكافحة الاحتيال المالي.
2. تحديد الأسلوب من الإدارة العليا لإرساء ثقافة مكافحة الاحتيال المالي من خلال مدونة قواعد السلوك (أو ما يعادلها).
3. ضمان وضع إطار عمل قوي لإدارة مخاطر الاحتيال والحفاظ عليه لإدارة مخاطر الاحتيال.
4. التأكد من تخصيص ميزانية كافية لمكافحة الاحتيال المالي واستخدامها ومراقبتها.
5. الموافقة على ميثاق لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC).
6. المصادقة (بعد الاعتماد من لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC)):
أ. أدوار ومسؤوليات الإدارة العليا المسؤولة عن برنامج مكافحة الاحتيال المالي.
ب. استراتيجية مكافحة الاحتيال المالي.
ج. سياسة مكافحة الاحتيال المالي.
د. مخرجات تقييم مخاطر الاحتيال.
هـ. قابلية مخاطر الاحتيال.
ج. يجب أن يكون رئيس مكافحة الاحتيال المالي مسؤولاً عن ما يلي:
1. وضع وتنفيذ وحفظ:
أ. استراتيجية مكافحة الاحتيال المالي.
ب. سياسة مكافحة الاحتيال المالي.
ج. تقييم مخاطر الاحتيال.
د. قابلية مخاطر الاحتيال.
هـ. مؤشرات المخاطر الرئيسية للاحتيال.
2. تعزيز واستدامة الأسلوب المتبع من الإدارة العليا لتقديم ثقافة الامتثال لمدونة قواعد السلوك.
3. وضع برنامج مكافحة الاحتيال القائم على المخاطر الذي يتناول الأشخاص والعمليات والتكنولوجيا، بما في ذلك الأنظمة المناسبة لمنع الاحتيال وكشفه والاستجابة له.
4. ضمان وضع معايير وإجراءات مفصلة لمكافحة الاحتيال المالي والموافقة عليها وتنفيذها.
5. ضمان استمرارية فعالية نظم وضوابط مكافحة الاحتيال المالي في ضوء التهديدات المتطورة التي تم تحديدها من خلال المراقبة الاستخبارية.
6. إبلاغ لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) دوريًا بآخر التطورات بشأن المبادرات الإستراتيجية لمكافحة الاحتيال وحالة التنفيذ.
7. إنشاء إدارة لمكافحة الاحتيال المالي تتمتع بالموارد الكافية وتتحمل المسؤولية عن المتطلبات الموضحة في المجال الفرعي 5.3.
8. الجمع والإشراف على تقارير المعلومات الإدارية على مستوى المؤسسة التي يتم إعدادها فيما يتعلق بمخاطر وأداء مكافحة الاحتيال المالي.
9. إخطار البنك المركزي فورًا بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة بما يتماشى مع متطلبات الإخطار الإشرافي المدرجة في المجال الفرعي 7.3.
10. اتخاذ الإجراء اللازم عند تلقي إخطار بأي حوادث احتيال كبيرة أو تحقيقات أو انتهاكات لسياسة أو معايير مكافحة الاحتيال، وتقديم التقارير إلى مجلس الإدارة أو لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) حسب الاقتضاء.
11. تحديد برنامج التوعية المستمرة بالاحتيال في المؤسسة بالتنسيق مع الإدارات المعنية (مثل العمليات والاتصالات والموارد البشرية).
د. كحد أدنى، يجب أن تكون الإدارة العليا مسؤولة عن:
1. ضمان امتثال الموظفين لمدونة قواعد السلوك وسياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
2. ضمان حصول الموظفين على تدريب يتماشى مع متطلبات برنامج التدريب والتوعية لمكافحة الاحتيال.
3. إعداد ومراجعة تقارير المعلومات الإدارية المنتظمة لمراقبة مخاطر وأداء مكافحة الاحتيال المالي.
4. إخطار لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) عندما يكون التصعيد مطلوبًا (على سبيل المثال، النتائج الداخلية السلبية المتعلقة بضوابط مكافحة الاحتيال المالي أو تجاوز قابلية مخاطر الاحتيال).
5. إدارة خسائر الاحتيال من خلال العمليات والضوابط في نطاق المساءلة الخاص ضمن قابلية مخاطر الاحتيال المتفق عليها في المؤسسة.
6. الحفاظ على النظم والضوابط المناسبة لمنع الاحتيال وكشفه والاستجابة له.
هـ. يجب أن يكون المدير (المديرون) المسؤولون عن عمليات الاحتيال (على سبيل المثال، إدارة تنبيهات الاحتيال والاستجابة لحالات الاحتيال المُبلغ عنها والتعامل مع حالات الاحتيال) مسؤولين عن:
1. التأكد أن جميع عمليات الاحتيال المشتبه بها، بما في ذلك تنبيهات النظام والإحالات اليدوية للموظفين والعملاء يتم تحديد أولوياتها بشكل مناسب والتحقيق فيها وتسجيل النتيجة بشكل مناسب.
2. اتخاذ خطوات فورية لمنع المزيد من المخاطر واتخاذ الإجراء /الإجراءات التصحيحية عند تحديد عملية احتيال.
3. إخطار الأطراف الخارجية المعنية (مثل سلطات إنفاذ القانون).
و. يجب أن تكون إدارة المراجعة الداخلية مسؤولة عن:
1. تحديد مجموعة شاملة من المجالات القابلة للمراجعة فيما يتعلق بمخاطر الاحتيال.
2. تقييم مخاطر الاحتيال وتحديد أولوياتها أثناء التخطيط للمراجعة.
3. إجراء عمليات مراجعة الاحتيال وإعداد تقارير موضوعية مستقلة.
ز. يجب أن يكون جميع موظفي المؤسسة المالية مسؤولين عن:
1. الامتثال لسياسات ومعايير وإجراءات مكافحة الاحتيال المالي المعمول بها.
2. الإبلاغ عن أي شبهات احتيال في الوقت المناسب.
ح. يجب على المؤسسات المالية التأكد من أن حالات الاحتيال الداخلي المشتبه فيها أو الفعلية يحقق فيها أفراد ذوو أقدمية مناسبة (على سبيل المثال، إذا كان الاحتيال يتعلق بمدير، فيجب أن يتولى فرد ذو أقدمية أعلى مسؤولية الإشراف على التحقيق والموافقة عليه)؛ والاستقلالية (على سبيل المثال، يجب على إدارة المراجعة الداخلية أو إدارة رقابية مماثلة إجراء التحقيق مع المحققين للحيلولة دون حدوث أي تضارب محتمل في المصالح).
ط يجب على المؤسسات المالية إجراء مراجعة دورية لأدوار ومسؤوليات الموظفين ذوي المسؤوليات المتعلقة بالاحتيال للتأكد من أنها تعكس أفضل الممارسات، وتتناول أنماط الاحتيال الشائعة وتتوافق مع مشهد الاحتيال ونموذج العمل.
ي. يجب على المؤسسات وضع خطة تعاقب رسمية لمكافحة الاحتيال المالي بالتنسيق مع إدارة الموارد البشرية مع مراعاة الاعتماد على الموظفين الرئيسيين في مكافحة الاحتيال المالي الذين يضطلعون بأدوار ومسؤوليات مهمة للغاية.
5.3. إدارة مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تأسيس وتسيير أعمال إدارة مختصة بمكافحة الاحتيال المالي تتولى مسؤولية التشغيل اليومي لبرنامج مكافحة الاحتيال المالي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تأسيس وتسيير أعمال إدارة مختصة بمكافحة الاحتيال المالي تتولى مسؤولية التشغيل اليومي لبرنامج مكافحة الاحتيال، وتشمل مهام الإدارة ما يلي بحد أدنى:
1. المراقبة والإشراف على الامتثال لسياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
2. تصميم وتنفيذ ضوابط مكافحة الاحتيال المالي المطلوبة على مستوى المؤسسة التي تغطي أبعاد الموظفين والعمليات والتكنولوجيا.
3. إجراء تقييم متعمق لمخاطر الاحتيال على مستوى المؤسسة.
4. تحليل بيانات مكافحة الاحتيال والمعلومات الاستخبارية لتحديد توجهات الاحتيال بشكل استباقي.
5. مشاركة المعلومات الاستخبارية ومكافحة الاحتيال المالي مع البنك المركزي والمؤسسات الأخرى في القطاع.
6. ضبط أنظمة مكافحة الاحتيال المالي بشكل استباقي وتفاعلي.
7. مراقبة عمليات مكافحة الاحتيال المالي.
8. إجراء تحقيقات شاملة في الاحتيال وتحديد الأسباب الجذرية لحوادث الاحتيال وتوثيق الإجراءات التصحيحية.
9. مراقبة تدابير قابلية مخاطر الاحتيال والانخراط النشط في فريق عمل إدارة الأزمات إذا تم انتهاك الحد المحدد مع التأثير على العملاء (انظر متطلبات الرقابة 3.1.4.د).
10. ضمان مواءمة قدرات مكافحة الاحتيال المالي مع الأمن السيبراني والجرائم المالية.
11. تقديم تقارير دورية إلى الإدارة العليا تغطي على الأقل ما يلي:
أ. نتائج تقييم مخاطر الاحتيال.
ب. أنواع الاحتيال المُحددة.
ج. قياس قابلية مخاطر الاحتيال والأداء وفق الحدود والقيود.
د. خسائر الاحتيال التشغيلي والاحتيال على للعملاء.
ب. يجب على المؤسسات المالية تقييم التسلسل الإداري الأنسب لإدارة مكافحة الاحتيال المالي استنادًا إلى الهيكل التنظيمي؛ وسلطة اتخاذ القرار؛ واطلاع اللجنة التنفيذية/المجلس؛ ومساءلة الإدارة العليا ومسؤولياتها.
ج. يجب على المؤسسات المالية تقييم متطلبات التوظيف في إدارة مكافحة الاحتيال المالي على أساس دوري واستجابة للتغييرات الجوهرية في الأعمال والمشهد التشغيلي والاحتيالي أو تقييم مخاطر الاحتيال في المؤسسات المالية.
د. يجب أن يراعي تقييم متطلبات التوظيف كلاً من القدرة الاستيعابية (عدد الموارد) والقدرات (المهارات والخبرة) المطلوبة.
هـ. يجب أن يتمتع رئيس إدارة مكافحة الاحتيال المالي بالمهارات والخبرة، التي تتألف مما يلي على الأقل:
1. فهم ومعرفة معمقة بمخاطر الاحتيال في القطاع المالي.
2. معرفة راسخة بتهديدات الاحتيال الرقمي والأنواع الشائعة، إلى جانب التوجهات الناشئة التي تؤثر على مؤسسات القطاع المالي وعملائها.
3. تصميم وتنفيذ التكنولوجيا والضوابط بناءً على حالات الاستخدام لتخفيف حدة مخاطر الاحتيال والتهديدات.
4. استخدام البيانات والتحليلات لمنع الاحتيال بشكل استباقي وحماية العملاء.
و. يجب أن تضم إدارة مكافحة الاحتيال المالي على الأقل موظفين ذوي مهارات وخبرات في:
1. مخاطر الاحتيال والأنواع المتعلقة بالمنتجات التي تقدمها المؤسسة (على سبيل المثال، الخبرة في الاحتيال في الدفع، وعمليات الاحتيال، والهندسة الاجتماعية).
2. مخاطر الاحتيال والأنواع المتعلقة بقنوات التسليم التي تقدمها المؤسسة، ولا سيما القنوات الرقمية مثل الإنترنت والهاتف المحمول.
3. تحليلات بيانات مكافحة الاحتيال المالي لتمكين تحليل كميات كبيرة من المعاملات والتحديد الاستباقي لتهديدات الاحتيال.
4. تكنولوجيا مكافحة الاحتيال لضمان عمل الأنظمة بفعالية مع السيناريوهات ذات الصلة بالمخاطر التي تواجهها المؤسسة المالية.
5. تحليل المعلومات الاستخبارية والبيانات لتحديد توجهات الاحتيال والسبب الجذري لحوادث الاحتيال.
6. تحقيقات الاحتيال، بدءًا من الإخطار الأوليّ بحادث محتمل وحتى الانتهاء والإجراءات التصحيحية.
7. إعداد التقارير وإصدار المعلومات الإدارية لمراقبة أداء الاحتيال التنظيمي.
ز. يجب على المؤسسات المالية النظر في تصعيد حالات الاحتيال للأدوار في إدارة مكافحة الاحتيال المالي.
ح. يجب على المؤسسات المالية وضع خطة تدريب وتوفير تدريب دوري لتطوير والحفاظ على كفاءة الموظفين في إدارة مكافحة الاحتيال المالي.
ط. عند استخدام خدمات أو موارد تابعة لجهات خارجية (على سبيل المثال، المتعاقدين أو الخدمات المُدارة) للوفاء بمسؤوليات إدارة مكافحة الاحتيال المالي، يجب على المؤسسات المالية التأكد من فحص الموارد ومراقبتها بشكل مناسب.
6.3. معلومات الإدارة
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لإبلاغ المعلومات الإدارية لتمكين الإدارة العليا من مراقبة مخاطر وأداء مكافحة الاحتيال المالي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لإبلاغ المعلومات الإدارية لمراقبة مخاطر وأداء مكافحة الاحتيال المالي.
ب. يجب إبلاغ معلومات إدارة الاحتيال إلى الإدارة العليا ولجنة الحوكمة المختصة بمكافحة الاحتيال على أساس دوري وعلى أساس مخصص حسب الاقتضاء (على سبيل المثال، إذا تم تحديد نوع جديد أو غير عادي).
ج. يجب على المؤسسات المالية تنسيق تجميع معلومات إدارة الاحتيال لضمان إمكانية الإبلاغ عن صورة شاملة لجميع عمليات الاحتيال التي تؤثر على المؤسسة أو عملائها.
د. يجب على المؤسسات المالية تحديد المعلومات الإدارية المناسبة لإبلاغ الإدارة العليا بشكل مناسب بمخاطر وأداء مكافحة الاحتيال المالي. كحد أدنى، يجب أن يشمل ذلك:
1. نتائج تقييم مخاطر الاحتيال.
2. قياس قابلية مخاطر الاحتيال والأداء وفق الحدود والقيود.
3. حجم تنبيهات الاحتيال التي تم الإخطار بها بواسطة:
أ. العملاء
ب. الموظفين
ج. أنظمة الاحتيال
4. حجم وتوجهات حالات الاحتيال التي تم التعامل معها، مُقسمة حسب المنتج والنوع.
5. أنواع جديدة تم تحديدها.
6. قيمة الأخطاء الوشيكة أو عمليات الاحتيال المحتملة التي تم اكتشافها ومنعها.
7. قيمة حالة الاحتيال التي تم التعامل معها (القيمة الإجمالية لحالة الاحتيال، بما في ذلك الخسائر الفعلية والمحتملة).
8. خسائر الاحتيال، مُقسمة حسب المنتج ونوع الدفع (حيثما ينطبق ذلك) والنوع، بما في ذلك:
أ. خسائر العملاء
ب. الخسائر التشغيلية.
9. قيمة المبالغ المستردة للعملاء بعد الاحتيال.
7.3. الإخطارات الإشرافية
المبدأ
يجب على المؤسسات المالية إخطار البنك المركزي على الفور بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة للتخفيف من مخاطر الاحتيال التي تؤثر على عملاء إضافيين أو مؤسسات أخرى أو القطاع المالي في المملكة العربية السعودية.
متطلبات الرقابة
أ. يجب على المؤسسات المالية إخطار الإدارة العامة لمكافحة المخاطر الإلكترونية في البنك المركزي فورًا بما يلي:
1. أي تصنيف احتيالي جديد سواء أدى إلى خسارة مالية أم لا (على سبيل المثال، نوع الاحتيال الذي لم يتم ملاحظته مسبقًا أو اكتشاف محاولة احتيال جديدة).
2. عندما يرتكب شخص خارجي أو يحاول ارتكاب عملية احتيال كبيرة ضده.
3. عندما يرتكب أحد موظفي إحدى المؤسسات المالية عملية احتيال داخلية كبيرة ضد أحد عملائها، أو قد يكون مذنبًا بارتكاب جرم خطير فيما يتعلق بالصدق أو النزاهة فيما يتعلق بالالتزامات التنظيمية للمؤسسة.
4. عند الاشتباه في الاحتيال الأمني لنقطة النهاية للدفع بالجملة أو تحديده.
5. عند تحديد مخالفة كبيرة في السجلات المحاسبية للمؤسسة، والتي قد تكون مؤشرًا على الاحتيال المالي.
ب. عند تقييم ما إذا كان الاحتيال يعتبر كبيرًا بالنسبة للوفاء بمتطلبات الإخطار المذكورة أعلاه، يجب على المؤسسات المالية أن تراعي على الأقل ما يلي:
1. قيمة أي خسارة مالية أو خسارة مالية محتملة للمؤسسة أو عملائها (يجب أن تراعي القيمة حادث احتيال فردي أو إجمالي الخسائر الناجمة عن حوادث متصلة).
2. عدد العملاء المتأثرين.
3. الإضرار بسمعة المؤسسة والقطاع المالي الأوسع.
4. ما إذا كان قد تم انتهاك أي لائحة.
5. ما إذا كان الحادث يعكس نقاط ضعف في ضوابط مكافحة الاحتيال في المؤسسة.
6. إذا كان من المحتمل أن يؤثر الحادث على المؤسسات المالية الأخرى.
ج. يجب على المؤسسات المالية استخدام النموذج القياسي لإعداد التقارير في الملحق (ز) لإخطار البنك المركزي.
د. كحد أدنى، يجب على المؤسسات المالية أن تذكر مصدر الحادث؛ والأساليب المستخدمة؛ والأطراف ذات الصلة (الداخلية والخارجية)؛ والإجراءات التصحيحية؛ والخسائر، إن وجدت، في الإخطار الموجه إلى البنك المركزي. إذا لم تتوافر جميع المعلومات المطلوبة في وقت الإخطار، يجب عرض أي فجوات على البنك المركزي على الفور مع تقدم التحقيق.
8.3. تقنية مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ استراتيجية لتوفير أو تطوير وتنفيذ أنظمة وتقنيات مكافحة الاحتيال المالي لإدارة مخاطر الاحتيال التي تتعرض لها.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ استراتيجية لتوفير أو تطوير أنظمة وتقنيات مكافحة الاحتيال المالي لمنع الاحتيال وكشفه والاستجابة له.
ب. يجب على المؤسسات المالية تنفيذ أنظمة وتقنيات مكافحة الاحتيال المالي والتحقق من أنها تعمل على النحو المنشود.
ج. يجب أن تسترشد مخرجات تقييم مخاطر الاحتيال بالتقنية المطلوبة، ويجب أن تكون الأنظمة متناسبة مع مدى قدرة المؤسسة على تحمل المخاطر.
د. سواء تم الحصول على نظام الاحتيال من أحد الموردين أو تم تطويره داخليًا، يجب على المؤسسات المالية مراعاة المتطلبات التالية كحد أدنى:
1. تشارك إدارة مكافحة الاحتيال المالي في تصميم وتنفيذ النظام تحت إشراف لجنة الحوكمة المختصة بمكافحة الاحتيال.
2. توثيق الأساس المنطقي للسيناريوهات التي تم وضعها والحدود المُطبقة.
3. تصميم النظام والقواعد، أو يمكن تخصيصها لتتوافق مع المنتجات والخدمات ومخاطر الاحتيال بالمؤسسة.
4. يمكن تنفيذ القواعد الجديدة في الوقت المناسب لاستهداف الوقاية والكشف عن الأنواع الجديدة أو الناشئة التي تم تحديدها من خلال المراقبة الاستخبارية.
5. يقتصر الوعي بقواعد منع وكشف الاحتيال الداخلي المحتمل على مجموعة مقيدة وموثقة من الأدوار التي لا تشمل الموظفين أو الأطراف الخارجية المسؤولة عن تشغيل العمليات والضوابط التي تتم مراقبتها (على سبيل المثال، الفروع / الموظفين الذين يتعاملون مع العملاء أو فرق المدفوعات التشغيلية ).
6. يجب أن تتبع تغييرات التكوين مبادئ إدارة تغيير النظام ومتطلبات الرقابة في الدليل التنظيمي لحوكمة تقنية المعلومات الصادر عن البنك المركزي ("الدليل التنظيمي لحوكمة تقنية المعلومات").
7. يمكن للمؤسسة شرح وتوضيح تهديدات الاحتيال التي تم تصميم السيناريوهات لمراقبتها والتخفيف من حدتها.
8. عند استخدام التعلم الآلي أو الذكاء الاصطناعي، لا يجب أن يكون النظام "صندوقًا أسود"، ويجب أن يكون قابلاً للتدقيق (على سبيل المثال، يجب أن تتمتع المؤسسة بالقدرة على اختبار ما صُمِمت الخوارزميات للقيام به وما إذا تم تنفيذها بشكل صحيح).
9. تم وضع خطط استمرارية الأعمال والتعافي من كوارث تقنية المعلومات بما يتماشى مع متطلبات الدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.
9.3. المراجعة الداخلية لمكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية إجراء عمليات المراجعة وفقًا لمعايير المراجعة المقبولة عمومًا وإطار / إطارات البنك المركزي ذي الصلة للتحقق من تنفيذ تصميم مكافحة الاحتيال بشكل مناسب وتشغيله على النحو المنشود.
متطلبات الرقابة
أ. يجب على المؤسسات المالية ضمان إجراء عمليات مراجعة مكافحة الاحتيال المالي بشكل مستقل ووفقًا لمعايير المراجعة المقبولة عمومًا وأطر البنك المركزي ذات الصلة.
ب. يجب على المؤسسات المالية إعداد دورة مراجعة تحدد وتيرة عمليات مراجعة مكافحة الاحتيال المالي.
ج. يجب على المؤسسات المالية وضع خطة مراجعة رسمية لمكافحة الاحتيال المالي تتناول الموظفين والعمليات والمكونات التقنية.
د. يجب أن تتماشى وتيرة مراجعة مكافحة الاحتيال المالي مع مخرجات تقييم مخاطر الاحتيال، والنظر في مدى أهمية ومخاطر نظام مكافحة الاحتيال المالي أو الرقابة أو العملية.
هـ. يجب على إدارة المراجعة الداخلية في المؤسسات المالية إنجاز التحقق الدوري من صحة تنفيذ الإجراءات التصحيحية ذات الصلة بمكافحة الاحتيال المالي، بما في ذلك تلك الناتجة عن تعليمات البنك المركزي.
و. يجب على المؤسسات المالية التأكد من أن مدققي مكافحة الاحتيال المالي يتمتعون بالمستوى المطلوب من الكفاءات والمهارات اللازمة لتقييم وتقدير مدى كفاية سياسات وإجراءات وعمليات وضوابط مكافحة الاحتيال المالي المطبقة بشكل فعال.
ز. يجب أن تشمل تقارير مراجعة مكافحة الاحتيال المالي، على الأقل، ما يلي:
1. تضمين النتائج والتوصيات واستجابة الإدارة مع خطة عمل محددة والجهة المسؤولة والقيود المفروضة على النطاق فيما يتعلق بعمليات مراجعة مكافحة الاحتيال المالي.
2. يتم توقيعها وتأريخها وتوزيعها بحسب الصيغة المحددة.
3. تقديمها إلى لجنة المراجعة على أساس دوري.
ح. يجب إعداد عملية متابعة لملاحظات المراجعة لتتبع ورصد ملاحظات المراجعة الخاصة بمكافحة الاحتيال المالي.