2.4 العناية الواجبة
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ معايير لتقييم مخاطر الاحتيال المرتبطة بالموظفين والعملاء والأطراف الخارجية لمنع إنشاء علاقات خارج نطاق القدرة على تحمل مخاطر الاحتيال وإدارة مخاطر الاحتيال طوال مدة العلاقة.
متطلبات الرقابة
أ. يجب تحديد معايير العناية الواجبة وتعميمها وتنفيذها.
ب. يجب أن تتم الموافقة على معايير العناية الواجبة من جانب الأفراد ذوي المسؤولية المناسبة (على سبيل المثال، العناية الواجبة للموظفين في الموارد البشرية).
ج. يجب أن تراعي معايير العناية الواجبة الموظفين والعملاء والأطراف الخارجية.
د. يجب أن تتماشى معايير العناية الواجبة مع المخاطر المحددة في تقييم مخاطر الاحتيال.
هـ. يجب على المؤسسات المالية مراجعة وتحديث معايير العناية الواجبة على أساس دوري واستجابة للتغيرات المادية في مشهد الاحتيال، أو تقييم مخاطر الاحتيال في المؤسسة المالية، أو مجموعات العملاء التي تخدمها المؤسسة المالية، أو التغييرات في المنتجات أو الخدمات التي تقدمها.
و. يجب قياس مدى فعالية معايير العناية الواجبة الخاصة بالاحتيال وتقييمها بشكل دوري.
ز. يجب أن تشمل معايير العناية الواجبة ما يلي:
1. فحوصات ومتطلبات العناية الواجبة التي يجب إجراؤها لتقديم فهم مستنير لمخاطر الاحتيال.
2. عندما يجب إجراء العناية الواجبة.
3. الدور (الأدوار) الوظيفي المسؤول عن إجراء العناية الواجبة والموافقة عليها.
4. العلامات الحمراء أو العلامات التحذيرية التي قد تشير إلى زيادة خطر الاحتيال وتؤدي إلى ضرورة التصعيد أو استكمال عمليات التحقق الإضافية.
5. العلامات الحمراء أو العلامات التحذيرية التي تشير إلى أن الموظف أو العميل أو الطرف الخارجي خارج نطاق القدرة على تحمل المخاطر، ويجب رفض العلاقة أو إنهاؤها.
6. الخطوات الواجب اتخاذها لإنهاء العلاقات خارج نطاق القدرة على تحمل المخاطر.
1.2.4 العناية الواجبة للموظفين
المبدأ
يجب على المؤسسات المالية التأكد من إجراء فحوصات خلفية للموظفين، بما في ذلك المتعاقدين، لتقليل التعرض لمخاطر الاحتيال الداخلي والإضرار بالسمعة الناتج عن تصرفات موظفي المؤسسة المالية.
متطلبات الرقابة
أ. يجب أن تعكس إجراءات العناية الواجبة للموظفين مخاطر الاحتيال الداخلي الذي يؤثر على المؤسسة المالية.
ب. يجب أن تهدف العناية الواجبة للموظفين إلى تحديد هوية الموظف ونزاهته والتحقق من أوراق اعتماده، مما يمكّن المؤسسة المالية من تحديد ما إذا كان مناسبًا للمنصب.
ج. يجب أن تتكون العناية الواجبة للموظفين من التحقق والفحوصات الخلفية للموظف، بما في ذلك على سبيل المثال لا الحصر:
1. تأكيد الهوية.
2. فحص الخلفية الجنائية.
3. فحص تضارب المصالح.
4. التحقق من صحة المؤهلات المزعومة.
5. فحوصات التوظيف السابقة.
د. يجب أن تكون العناية الواجبة للموظفين:
1. يجب إجراؤها كجزء من عملية التوظيف.
2. يجب إعادة التقييم عندما ينتقل موظف حالي إلى دور جديد.
3. يتم إعادة تنفيذها بشكل دوري وفقًا لنهج قائم على المخاطر (على سبيل المثال، إعادة إجراء فحص السلوك الإجرامي أو الاحتيالي للتحقق من أن الموظفين ما زالوا مناسبين للمنصب).
هـ. يجب على المؤسسات المالية تقييم الأدوار التي تمثل خطرًا كبيرًا للاحتيال وتوثيق أي فحوصات معززة مطلوبة.
و. يجب الاحتفاظ بنتائج فحوصات العناية الواجبة للموظفين بما يتماشى مع سياسات إدارة سجلات المؤسسة المالية فيما يتعلق بالمعلومات الشخصية.
2.2.4 العناية الواجبة تجاه العملاء
المبدأ
يجب على المؤسسات المالية وضع ضوابط لتسجيل هويات العملاء والتحقق من صحتها لتقليل التعرض لخسائر الاحتيال الخارجي.
متطلبات الرقابة
أ. عند إنشاء علاقة جديدة مع العميل، يجب على المؤسسات المالية التأكد من هوية العميل والتحقق منها للتأكد بشكل معقول من عدم تعرضه لمخاطر الاحتيال.
ب. يجب أن تتماشى العناية الواجبة تجاه العملاء مع سياسات المؤسسة المالية بشأن مكافحة غسل الأموال ومكافحة تمويل الإرهاب.
ج. يجب إجراء العناية الواجبة تجاه العملاء كجزء من عملية الإلحاق وفي الأوقات المناسبة في العلاقة المستمرة مع العميل (على سبيل المثال، إضافة منتج ائتماني جديد).
د. يجب تعزيز العناية الواجبة تجاه العملاء من خلال فحوصات إضافية للعملاء ذوي المخاطر العالية أو استجابة لتهديد الاحتيال المتزايد (على سبيل المثال، في حالة الاشتباه في انتحال الشخصية أو كان هناك قلق بشأن صحة أو شرعية المستندات المقدمة لإثبات الهوية أو إثبات التاريخ المالي) .
هـ. عندما تبدأ علاقة مع العملاء عن بُعد (على سبيل المثال، عبر الإنترنت)، يجب على المؤسسات المالية تقييم مخاطر انتحال الشخصية وإنشاء حسابات وهمية، وتنفيذ الضوابط المناسبة للتخفيف من المخاطر، بما في ذلك على سبيل المثال لا الحصر:
1. التأكد من ربط رقم الهاتف أو الهوية الوطنية/الإقامة بتطبيق عميل واحد فقط. في حالة تحديد استثناء (على سبيل المثال، أحد أفراد الأسرة المُعالين)، يجب إجراء فحوصات العناية الواجبة الإضافية للتحقق من صحة التطبيق ويجب إعداد حالات استخدام المراقبة.
2. المصادقة على طلب فتح الحساب عبر البوابة الوطنية لتسجيل الدخول الموحد باستخدام المصادقة البيومترية (على سبيل المثال، التعرف على الوجه من جهة وطنية موثوقة).
3. التحقق من أن ملكية رقم الهاتف مسجلة لنفس المستخدم من خلال جهة موثوقة (أي مطابقة اسم صاحب الحساب وبطاقة الهوية الوطنية).
4. بما في ذلك آلية كلمة المرور لمرة واحدة التي توضح أنه يتم فتح حساب جديد كشكل من أشكال التحقق. يجب إرسال كلمة المرور لمرة واحدة إلى رقم الهاتف الذي تم التحقق منه.
5. يجب إرسال إشعار استكمال فتح الحساب إلى رقم الهاتف الذي تم التحقق منه والمسجل للحساب وكذلك إلى رقم الهاتف المسجل في البوابة الوطنية لتسجيل الدخول الموحد.
6. يتطلب استخدام العنوان الوطني المسجل.
7. عندما يتم توفير البطاقة المادية، يجب أن تكون:
أ. يتم إرسالها إلى العنوان الوطني المسجل للعميل فقط؛
ب. أو يتم استلامها من جهاز الصّراف الآلي مع التحقق من العميل باستخدام المصادقة البيومترية.
8. بعد الإعداد الأولي، يجب وضع قيود على الحساب (على سبيل المثال، الحد المخفض لقيمة المعاملة) حتى الوقت الذي تتحقق فيه المؤسسة المالية من أن العميل حقيقي (على سبيل المثال، استخدام آلية المصادقة البيومترية من خلال التعرف على الوجه من طرف وطني موثوق به بشكل دوري، التواجد الفعلي في فرع أو كشك مدعوم بالقياسات البيومترية، ونمط منتظم لنشاط الحساب على مدى فترة من الزمن).
9. إعداد حالات استخدام شاملة لتحديد الحسابات الوهمية المحتملة بشكل استباقي وتنفيذ مراقبة حالات الاستخدام من خلال برامج الكشف (على سبيل المثال، قيمة الأموال الواردة، وارتفاع وتيرة المعاملات، وأنماط المعاملات التي لا تتناسب مع السلوكيات المتوقعة، والزيادة المفاجئة في النشاط بعد السكون).
10. القياس والتقييم الدوري لفعالية الضوابط للتخفيف من حدة مخاطر انتحال الشخصية وإنشاء حسابات وهمية.
3.2.4 العناية الواجبة تجاه الأطراف الخارجية
المبدأ
يجب على المؤسسات المالية التأكد من إجراء العناية الواجبة المتناسبة مع الأطراف الخارجية لفهم مخاطر الاحتيال المرتبطة بالعلاقات التجارية والتأكد من إدارة الأطراف الخارجية بشكل مناسب للتخفيف من المخاطر.
متطلبات الرقابة
أ. يجب أن تتكون العناية الواجبة تجاه الأطراف الخارجية من عمليات فحص وإجراءات فحص بناءً على نهج قائم على المخاطر للسماح بتقييم مخاطر الاحتيال التي تمثلها العلاقة.
ب. يجب إجراء العناية الواجبة تجاه الأطراف الخارجية قبل الدخول في الالتزام بعلاقة جديدة
ج. يجب مراجعة العناية الواجبة تجاه الأطراف الخارجية دوريًا أو بعد وجود سبب يشير إلى زيادة خطر الاحتيال (على سبيل المثال، المخاوف بشأن سلوك طرف خارجي أو موظفيه؛ أو المقالات الإعلامية السلبية).
د. يجب تعزيز العناية الواجبة تجاه الطرف الخارجي من أجل:
1. الأطراف الخارجية ذات المخاطر العالية أو ممثليهم
2. الأطراف الخارجية التي تقدم خدمات حيوية للمؤسسة المالية.
هـ. يجب أن تتضمن عمليات التحقق من العناية الواجبة المعززة تجاه الطرف الخارجي خطوات إضافية لتقييم مخاطر الاحتيال التي تمثلها العلاقة (على سبيل المثال، الفحص الإضافي أو تقييم نهج الطرف الخارجي لإدارة مخاطر الاحتيال).
و. عندما تقوم إحدى المؤسسات المالية بالاستعانة بمصادر خارجية لتنفيذ الخدمات لصالح مؤسسة خارجية، يجب على هذا الطرف الخارجي الالتزام بسياسة مكافحة الاحتيال المالي الخاصة بالمؤسسة المالية أو تطبيق نهج مماثل.