1.4 إدارة المخاطر
المبدأ
يجب تحديد إطار إدارة مخاطر الاحتيال والموافقة عليه وتنفيذه، ويجب أن يتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
متطلبات الرقابة
أ. يجب تحديد إطار إدارة مخاطر الاحتيال والموافقة عليه وتنفيذه.
ب. يجب قياس فعالية إطار إدارة مخاطر الاحتيال وتقييمها بشكل دوري باستخدام مؤشرات الأداء الرئيسية، بما في ذلك على الأقل حجم وقيمة حالات الاحتيال.
ج. يجب مواءمة إطار إدارة مخاطر الاحتيال مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
د. يجب أن يتناول إطار إدارة مخاطر الاحتيال على الأقل ما يلي:
1. المراقبة الاستخباراتية.
2. تقييم مخاطر الاحتيال.
3. قابلية مخاطر الاحتيال.
4. مؤشرات المخاطر الرئيسية.
هـ. يجب أن تشمل أنشطة إدارة مخاطر الاحتيال، على سبيل المثال لا الحصر، أصحاب المصلحة التاليين:
1. أصحاب الأعمال والمستخدمين.
2. المخاطر التشغيلية.
3. إدارة مكافحة الاحتيال المالي.
4. إدارة الأمن السيبراني وإدارة تقنية المعلومات.
5. الموارد البشرية.
6. إدارة التحول الرقمي.
1.1.4 المراقبة الاستخباراتية
المبدأ
يجب على المؤسسات المالية الاعتماد على مجموعة متنوعة من مصادر البيانات الداخلية والخارجية لتحديد ومراقبة تهديدات الاحتيال الناشئة.
متطلبات الرقابة
أ. يجب تحديد عملية مراقبة استخبارات الاحتيال والموافقة عليها وتنفيذها.
ب. عند تحديد عملية المراقبة الاستخباراتية، يجب على المؤسسات المالية أن تراعي مبادئ تحليل التهديدات السيبرانية الصادرة عن البنك المركزي.
ج. يجب أن تخضع فعالية المراقبة الاستخباراتية للاحتيال لتقييم دوري لتقدير ما إذا كانت المصادر المُستخدمة شاملة وما إذا كانت المعلومات الاستخبارية المُجمعة تسهم في منع الاحتيال.
د. يجب أن تتضمن عملية المراقبة الاستخباراتية ما يلي:
1. مسح وجمع وتحليل وتقييم ونشر المعلومات حول التهديدات الحالية والناشئة.
2. تسجيل التفاصيل ذات الصلة بالتهديدات المحددة، مثل طريقة العمل والجهات الفاعلة والدوافع وأصل الهجمات (على سبيل المثال، مجموعة الجريمة المنظمة والولاية القضائية) ونوع التهديدات.
3. اتخاذ الإجراءات اللازمة لمواجهة التهديدات الحالية والناشئة.
4. تبادل المعلومات الاستخبارية ذات الصلة مع أصحاب المصلحة الداخليين والخارجيين (على سبيل المثال، إدارة الأمن السيبراني، إدارة العمليات التجارية أو البنك المركزي).
هـ. يجب أن تعتمد أنشطة المراقبة الاستخباراتية على مجموعة من مصادر المعلومات لإعداد فهم شامل لمشهد الاحتيال في المؤسسة المالية. كحد أدنى، يجب أن تشمل ما يلي:
1. تقارير المراجعة الداخلية ومخرجات التحقيق في الاحتيال وتحليل سيناريو الاحتيال الذي يغطي محاولات الاحتيال الفعلية لتحديد أساليب وتقنيات وإجراءات الاحتيال الشائعة.
2. أنواع الاحتيال الجديدة والناشئة التي تم تحديدها بواسطة أنظمة كشف الاحتيال أو محققي الاحتيال أو إدارة مكافحة الاحتيال المالي.
3. الرؤى من إدارات الدعم (مثل المراجعة الداخلية والامتثال وأحداث الأمن السيبراني وإدارة الحوادث).
4. مصادر خارجية موثوقة وذات صلة بشأن توجهات الاحتيال محليًا وعالميًا (على سبيل المثال، الوكالات الحكومية، ومنتديات وأحداث الاحتيال، وموردي أنظمة مكافحة الاحتيال المالي، والمعلومات مفتوحة المصدر، ومصادر الاشتراك).
و. يجب على المؤسسات المالية، إلى الحد الذي لا يحظره القانون أو الشروط التعاقدية، أن تتعاون في تبادل معلومات مكافحة الاحتيال المالي بما في ذلك أنواع الاحتيال الناشئة، ومعلومات تهديدات الاحتيال حول المجموعات التي قد ترتكب عمليات الاحتيال، وأساليب وتقنيات وإجراءات الاحتيال الشائعة وتوجهات السوق مع البنك المركزي والمؤسسات الأخرى في القطاع.
ز. يجب على المؤسسات المالية مشاركة معلومات تسجيل الدخول لحالات الاحتيال المؤكدة (على سبيل المثال، معرف الهاتف المحمول أو معرف الجهاز، عنوان بروتوكول الإنترنت) من خلال اللجنة القطاعية لمكافحة الاحتيال.
ح. يجب على المؤسسات المالية إجراء تحليل لمعلومات تسجيل الدخول التي تشاركها المؤسسات المالية الأخرى لتقييم مستوى التعرض لعملائها وتسجيل الإجراءات المكتملة في ورقة سجل التحليل التي قد تخضع لمراجعة مستقلة.
2.1.4 تقييم مخاطر الاحتيال
المبدأ
يجب على المؤسسات المالية إجراء تقييم لمخاطر الاحتيال لتحديد مخاطر الاحتيال التي يتعرضون لها أو يتعرض لها عملاؤها وتقييم فعالية الضوابط المعمول بها للتخفيف من حدة المخاطر.
متطلبات الرقابة
أ. يجب على المؤسسة المالية إجراء تقييم لمخاطر الاحتيال على مستوى المؤسسة كجزء من برنامجها لمكافحة الاحتيال المالي.
ب. يجب أن يستند تقييم مخاطر الاحتيال إلى منهجية موثقة لتقييم مخاطر الاحتيال.
ج. كحد أدنى، يجب أن تتضمن منهجية تقييم مخاطر الاحتيال ما يلي:
1. تحديد مخاطر الاحتيال الكامنة التي تتعرض لها المؤسسة المالية وعملائها.
2. تقييم احتمالية حدوث المخاطر الكامنة وأثرها على المؤسسة المالية وعملائها في حالة وقوع المخاطر الكامنة.
3. اختبار فعالية الضوابط المعمول بها لمنع المخاطر الكامنة التي تم تحديدها وكشفها والاستجابة لها.
4. تحديد مخاطر الاحتيال المتبقية التي تظل المؤسسة المالية معرضة لها بعد اختبار الضوابط المطبقة.
5. وضع خطط عمل لمعالجة المخاطر المتبقية التي تقع خارج نطاق القدرة على تحمل المخاطر أو التي قد تؤدي إلى خرق اللوائح.
6. المراقبة المستمرة لخطط العمل للتحقق من أن المخاطر في حدود يمكن تحملها.
د. يجب تسجيل المخاطر التي تم تحديدها في تقييم مخاطر الاحتيال في سجل مركزي رسمي.
هـ. يجب توثيق الإجراءات الرامية إلى معالجة الفجوات التي تم تحديدها في تقييم مخاطر الاحتيال في خطة العلاج ومراجعتها للتأكد من ملاءمتها وفعاليتها للحد من المخاطر.
و. يجب أن تتم الموافقة رسميًا على نتائج تقييم مخاطر الاحتيال من جانب مسؤول العمل المعنيّ.
ز. عند تقييم مخاطر الاحتيال، يجب على المؤسسات المالية مراعاة ما يلي:
1. كل من عمليات الاحتيال التي يرتكبها أشخاص من خارج المؤسسة (احتيال خارجي) وعمليات الاحتيال التي يرتكبها أشخاص يعملون في المؤسسة أو بمساعدة منهم (احتيال داخلي).
2. مخرجات المراقبة الاستخباراتية وتقييمات التهديد.
3. حوادث الاحتيال وأحداث الخسارة.
4. نمذجة التهديدات المحتملة للمؤسسة من خلال تحليل سيناريو الاحتيال.
5. المخاطر المتعلقة بالمنتجات - المنتجات والخدمات المُقدمة وكيف يمكن استخدامها لارتكاب عمليات الاحتيال.
6. مخاطر العملاء - قاعدة عملاء المؤسسة، بما في ذلك، على سبيل المثال لا الحصر، نوع العميل (على سبيل المثال، عميل فرد أو شركة أو جهة خاضعة للتنظيم)؛ عدد العملاء مستوى الوعي بالاحتيال؛ والتعرض للاحتيال.
7. مخاطر قناة التنفيذ - القنوات التي يمكن للعميل استخدامها للتواصل مع المؤسسة المالية أو الوصول إلى منتجاتها وخدماتها، مع مراعاة خاصة لمخاطر التفاعل عن بُعد مع زيادة التحول الرقمي للمنتجات.
8. مخاطر المعاملات - طرق إجراء المعاملات أو استلام الأموال أو تحويل القيمة.
9. مخاطر الولاية القضائية - المخاطر الإضافية التي يمكن فيها استخدام المنتجات والخدمات في بلد أجنبي.
10. مخاطر الأطراف الخارجية - الاستعانة بأطراف خارجية لتقديم الخدمات إلى المؤسسة أو عملائها.
11. المخاطر الأمنية لنقطة النهاية للدفع بالجملة - مخاطر مدفوعات الجملة الشاملة، بما في ذلك التواصل (المؤسسة المالية مع مؤسسة مالية أخرى، والمؤسسة المالية مع النظام)؛ الأنظمة (محطة العمل)؛ الموظفين والعمليات.
ح. يجب على المؤسسات المالية ضمان مراعاة تقييم مخاطر الاحتيال للاحتيال عبر الإنترنت، بما في ذلك التفاعل مع نموذج إدارة مخاطر الأمن السيبراني الخاص بالمؤسسة المالية.
ط. يجب إجراء تقييم مخاطر الاحتيال على الأقل على أساس سنوي.
ي. علاوة على ذلك، يجب على المؤسسات المالية تحديث تقييم مخاطر الاحتيال الخاص بها ليشمل التغييرات في بيئة مخاطر الاحتيال الداخلية أو الخارجية. تشمل هذه التغييرات، على سبيل المثال لا الحصر، ما يلي:
1. تحديد فجوة أو نقطة ضعف جديدة في بيئة الرقابة.
2. المتطلبات التنظيمية الجديدة.
3. المنتجات والخدمات الجديدة.
4. القنوات الجديدة للتسويق والمنصات الرقمية الجديدة.
5. عمليات الاستحواذ التجارية الجديدة.
6. بيع أو التصرف في أجزاء من أعمال المؤسسة المالية.
7. التغييرات في البيئة الداخلية (مثل الهيكل التنظيمي).
8. الحصول على معلومات جديدة في المراقبة الاستخباراتية للاحتيال.
3.1.4 القدرة على تحمل المخاطر
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتطبيق قابلية مخاطر الاحتيال عند تصميم وتنفيذ أنظمة وضوابط مكافحة الاحتيال المالي.
متطلبات الرقابة
أ. يجب تحديد مدى استعداد المؤسسة المالية لقابلية مخاطر الاحتيال لتحديد مستوى مخاطر الاحتيال التي ترغب المؤسسة المالية في تحملها.
ب. يجب أن تستند قدرة المؤسسة المالية في قابلية مخاطر الاحتيال إلى نتائج تقييم مخاطر الاحتيال، وأن تتماشى مع القدرة العامة على تحمل المخاطر في المؤسسة.
ج. عند تحديد قابلية مخاطر الاحتيال، يجب على المؤسسات المالية وضع تدابير ذات عتبات وحدود مرتبطة بها تعالج التأثير على كل من:
1. المؤسسة المالية (على سبيل المثال، خسائر الاحتيال، والإضرار بالسمعة)؛
2. وعملائها (على سبيل المثال، خسائر العملاء، عدد ضحايا الاحتيال، الإزعاج).
د. في حالة انتهاك حد قابلية مخاطر الاحتيال مما يؤثر على العملاء، يجب على المؤسسة المالية التصعيد إلى الإدارة العليا والبدء في عملية إدارة الأزمات التي ينبغي أن:
1. إشراك الرئيس التنفيذي وكبار المسؤولين الآخرين في المؤسسة المالية.
2. اشتراط عقد اجتماعات أسبوعية على الأقل حتى يتم حل المشكلة ويعود الإجراء إلى مستوى مقبول.
هـ. يجب مراجعة قابلية مخاطر الاحتيال على أساس سنوي على الأقل واعتمادها رسميًا من قبل مجلس الإدارة.
و. يجب مراقبة قابلية مخاطر الاحتيال وتحديثها لإجراء تغييرات جوهرية على نموذج أعمال المؤسسة المالية.
4.1.4 مؤشرات المخاطر الرئيسية
المبدأ
يجب على المؤسسات المالية تحديد مؤشرات المخاطر الرئيسية والموافقة عليها ومراقبتها لقياس وتقييم الموقف وفق قابلية مخاطر الاحتيال المتفق عليها وتقديم إشارة مبكرة إلى زيادة التعرض لمخاطر الاحتيال.
متطلبات الرقابة
أ. يجب أن تستند مؤشرات المخاطر الرئيسية التي تحددها المؤسسة المالية إلى منهجية موثقة تتطلب ما يلي:
1. ترصد مؤشرات المخاطر الرئيسية التعرض للمخاطر المحددة في تقييم مخاطر الاحتيال.
2. تنظر مؤشرات المخاطر الرئيسية في المخاطر التي تتعرض لها المؤسسة (على سبيل المثال، خسائر الاحتيال، والتأثير على السمعة، والإدارة التشغيلية لتنبيهات الاحتيال) وعملائها (على سبيل المثال، خسائر العملاء).
3. تعتمد لجنة الحوكمة المختصة بمكافحة الاحتيال مؤشرات المخاطر الرئيسية، أو لجنة المخاطر الأوسع التي تدير برنامج مكافحة الاحتيال المالي بما يتماشى مع المتطلبات المدرجة في المجال الفرعي 1.3.
4. لكل مؤشر مخاطر رئيسي مالك معتمد يتحمل المسؤولية عن مراقبة المؤشر واتخاذ الإجراءات المبكرة إذا تجاوز التعرض للمخاطر قابلية مخاطر الاحتيال.
5. سيتم الإبلاغ بشكل دوري عن مؤشرات المخاطر الرئيسية إلى الإدارة العليا وأصحاب المصلحة المعنيين (على الأقل، كل ربع سنوي).
6. يجب مراجعة مؤشرات المخاطر الرئيسية وتحديثها على الأقل على أساس سنوي وبوتيرة أعلى استجابة للتغيرات المادية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ب. يجب أن تكون مؤشرات المخاطر الرئيسية تطلعية، وتقدم إشارة مبكرة لزيادة التعرض لمخاطر الاحتيال بدلاً من مجرد قياس حجم الاحتيال أو الخسائر (على سبيل المثال، الضوابط المصنفة على أنها غير فعالة في اختبار الرقابة؛ أو فشل الموظفين في إكمال التدريب الإلزامي على الاحتيال؛ أو تنبيهات الاحتيال التي لم تتم مراجعتها ضمن اتفاقيات مستوى الخدمة المحددة).
ج. عند إعداد مؤشرات المخاطر الرئيسية، يجب على المؤسسات المالية وضع الحدود التي تسمح لها بتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من أو عند أو أعلى من موضع القدرة على تحمل المخاطر المستهدف.
د. يجب على المؤسسات المالية التأكد من أن المقاييس المرتبطة بمؤشرات المخاطر الرئيسية كاملة ودقيقة، ويتم إعدادها في الوقت المناسب.