القسم بأكمله | SAMA Rulebook

4. المنع
يشتمل البرنامج الفعال لمكافحة الاحتيال المالي على عمليات وضوابط لمنع الاحتيال لتسهيل تحديد التهديدات والتخفيف من حدة مخاطر حدوث الاحتيال. تعتبر هذه العمليات والضوابط استباقية، وتهدف إلى منع المحتال من التصرف قبل أن يتسبب في ضرر للمؤسسة أو عملائها.

الشكل 5 - مجال المنع

1.4 إدارة المخاطر

المبدأ
يجب تحديد إطار إدارة مخاطر الاحتيال والموافقة عليه وتنفيذه، ويجب أن يتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
متطلبات الرقابة
أ.	يجب تحديد إطار إدارة مخاطر الاحتيال والموافقة عليه وتنفيذه.
ب.	يجب قياس فعالية إطار إدارة مخاطر الاحتيال وتقييمها بشكل دوري باستخدام مؤشرات الأداء الرئيسية، بما في ذلك على الأقل حجم وقيمة حالات الاحتيال.
ج.	يجب مواءمة إطار إدارة مخاطر الاحتيال مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
د.	يجب أن يتناول إطار إدارة مخاطر الاحتيال على الأقل ما يلي:
	1.	المراقبة الاستخباراتية.
	2.	تقييم مخاطر الاحتيال.
	3.	قابلية مخاطر الاحتيال.
	4.	مؤشرات المخاطر الرئيسية.
هـ.	يجب أن تشمل أنشطة إدارة مخاطر الاحتيال، على سبيل المثال لا الحصر، أصحاب المصلحة التاليين:
	1.	أصحاب الأعمال والمستخدمين.
	2.	المخاطر التشغيلية.
	3.	إدارة مكافحة الاحتيال المالي.
	4.	إدارة الأمن السيبراني وإدارة تقنية المعلومات.
	5.	الموارد البشرية.
	6.	إدارة التحول الرقمي.

1.1.4 المراقبة الاستخباراتية

المبدأ
يجب على المؤسسات المالية الاعتماد على مجموعة متنوعة من مصادر البيانات الداخلية والخارجية لتحديد ومراقبة تهديدات الاحتيال الناشئة.
متطلبات الرقابة
أ.	يجب تحديد عملية مراقبة استخبارات الاحتيال والموافقة عليها وتنفيذها.
ب.	عند تحديد عملية المراقبة الاستخباراتية، يجب على المؤسسات المالية أن تراعي مبادئ تحليل التهديدات السيبرانية الصادرة عن البنك المركزي.
ج.	يجب أن تخضع فعالية المراقبة الاستخباراتية للاحتيال لتقييم دوري لتقدير ما إذا كانت المصادر المُستخدمة شاملة وما إذا كانت المعلومات الاستخبارية المُجمعة تسهم في منع الاحتيال.
د.	يجب أن تتضمن عملية المراقبة الاستخباراتية ما يلي:
	1.	مسح وجمع وتحليل وتقييم ونشر المعلومات حول التهديدات الحالية والناشئة.
	2.	تسجيل التفاصيل ذات الصلة بالتهديدات المحددة، مثل طريقة العمل والجهات الفاعلة والدوافع وأصل الهجمات (على سبيل المثال، مجموعة الجريمة المنظمة والولاية القضائية) ونوع التهديدات.
	3.	اتخاذ الإجراءات اللازمة لمواجهة التهديدات الحالية والناشئة.
	4.	تبادل المعلومات الاستخبارية ذات الصلة مع أصحاب المصلحة الداخليين والخارجيين (على سبيل المثال، إدارة الأمن السيبراني، إدارة العمليات التجارية أو البنك المركزي).
هـ.	يجب أن تعتمد أنشطة المراقبة الاستخباراتية على مجموعة من مصادر المعلومات لإعداد فهم شامل لمشهد الاحتيال في المؤسسة المالية. كحد أدنى، يجب أن تشمل ما يلي:
	1.	تقارير المراجعة الداخلية ومخرجات التحقيق في الاحتيال وتحليل سيناريو الاحتيال الذي يغطي محاولات الاحتيال الفعلية لتحديد أساليب وتقنيات وإجراءات الاحتيال الشائعة.
	2.	أنواع الاحتيال الجديدة والناشئة التي تم تحديدها بواسطة أنظمة كشف الاحتيال أو محققي الاحتيال أو إدارة مكافحة الاحتيال المالي.
	3.	الرؤى من إدارات الدعم (مثل المراجعة الداخلية والامتثال وأحداث الأمن السيبراني وإدارة الحوادث).
	4.	مصادر خارجية موثوقة وذات صلة بشأن توجهات الاحتيال محليًا وعالميًا (على سبيل المثال، الوكالات الحكومية، ومنتديات وأحداث الاحتيال، وموردي أنظمة مكافحة الاحتيال المالي، والمعلومات مفتوحة المصدر، ومصادر الاشتراك).
و.	يجب على المؤسسات المالية، إلى الحد الذي لا يحظره القانون أو الشروط التعاقدية، أن تتعاون في تبادل معلومات مكافحة الاحتيال المالي بما في ذلك أنواع الاحتيال الناشئة، ومعلومات تهديدات الاحتيال حول المجموعات التي قد ترتكب عمليات الاحتيال، وأساليب وتقنيات وإجراءات الاحتيال الشائعة وتوجهات السوق مع البنك المركزي والمؤسسات الأخرى في القطاع.
ز.	يجب على المؤسسات المالية مشاركة معلومات تسجيل الدخول لحالات الاحتيال المؤكدة (على سبيل المثال، معرف الهاتف المحمول أو معرف الجهاز، عنوان بروتوكول الإنترنت) من خلال اللجنة القطاعية لمكافحة الاحتيال.
ح.	يجب على المؤسسات المالية إجراء تحليل لمعلومات تسجيل الدخول التي تشاركها المؤسسات المالية الأخرى لتقييم مستوى التعرض لعملائها وتسجيل الإجراءات المكتملة في ورقة سجل التحليل التي قد تخضع لمراجعة مستقلة.

2.1.4 تقييم مخاطر الاحتيال

المبدأ
يجب على المؤسسات المالية إجراء تقييم لمخاطر الاحتيال لتحديد مخاطر الاحتيال التي يتعرضون لها أو يتعرض لها عملاؤها وتقييم فعالية الضوابط المعمول بها للتخفيف من حدة المخاطر.
متطلبات الرقابة
أ.	يجب على المؤسسة المالية إجراء تقييم لمخاطر الاحتيال على مستوى المؤسسة كجزء من برنامجها لمكافحة الاحتيال المالي.
ب.	يجب أن يستند تقييم مخاطر الاحتيال إلى منهجية موثقة لتقييم مخاطر الاحتيال.
ج.	كحد أدنى، يجب أن تتضمن منهجية تقييم مخاطر الاحتيال ما يلي:
	1.	تحديد مخاطر الاحتيال الكامنة التي تتعرض لها المؤسسة المالية وعملائها.
	2.	تقييم احتمالية حدوث المخاطر الكامنة وأثرها على المؤسسة المالية وعملائها في حالة وقوع المخاطر الكامنة.
	3.	اختبار فعالية الضوابط المعمول بها لمنع المخاطر الكامنة التي تم تحديدها وكشفها والاستجابة لها.
	4.	تحديد مخاطر الاحتيال المتبقية التي تظل المؤسسة المالية معرضة لها بعد اختبار الضوابط المطبقة.
	5.	وضع خطط عمل لمعالجة المخاطر المتبقية التي تقع خارج نطاق القدرة على تحمل المخاطر أو التي قد تؤدي إلى خرق اللوائح.
	6.	المراقبة المستمرة لخطط العمل للتحقق من أن المخاطر في حدود يمكن تحملها.
د.	يجب تسجيل المخاطر التي تم تحديدها في تقييم مخاطر الاحتيال في سجل مركزي رسمي.
هـ.	يجب توثيق الإجراءات الرامية إلى معالجة الفجوات التي تم تحديدها في تقييم مخاطر الاحتيال في خطة العلاج ومراجعتها للتأكد من ملاءمتها وفعاليتها للحد من المخاطر.
و.	يجب أن تتم الموافقة رسميًا على نتائج تقييم مخاطر الاحتيال من جانب مسؤول العمل المعنيّ.
ز.	عند تقييم مخاطر الاحتيال، يجب على المؤسسات المالية مراعاة ما يلي:
	1.	كل من عمليات الاحتيال التي يرتكبها أشخاص من خارج المؤسسة (احتيال خارجي) وعمليات الاحتيال التي يرتكبها أشخاص يعملون في المؤسسة أو بمساعدة منهم (احتيال داخلي).
	2.	مخرجات المراقبة الاستخباراتية وتقييمات التهديد.
	3.	حوادث الاحتيال وأحداث الخسارة.
	4.	نمذجة التهديدات المحتملة للمؤسسة من خلال تحليل سيناريو الاحتيال.
	5.	المخاطر المتعلقة بالمنتجات - المنتجات والخدمات المُقدمة وكيف يمكن استخدامها لارتكاب عمليات الاحتيال.
	6.	مخاطر العملاء - قاعدة عملاء المؤسسة، بما في ذلك، على سبيل المثال لا الحصر، نوع العميل (على سبيل المثال، عميل فرد أو شركة أو جهة خاضعة للتنظيم)؛ عدد العملاء مستوى الوعي بالاحتيال؛ والتعرض للاحتيال.
	7.	مخاطر قناة التنفيذ - القنوات التي يمكن للعميل استخدامها للتواصل مع المؤسسة المالية أو الوصول إلى منتجاتها وخدماتها، مع مراعاة خاصة لمخاطر التفاعل عن بُعد مع زيادة التحول الرقمي للمنتجات.
	8.	مخاطر المعاملات - طرق إجراء المعاملات أو استلام الأموال أو تحويل القيمة.
	9.	مخاطر الولاية القضائية - المخاطر الإضافية التي يمكن فيها استخدام المنتجات والخدمات في بلد أجنبي.
	10.	مخاطر الأطراف الخارجية - الاستعانة بأطراف خارجية لتقديم الخدمات إلى المؤسسة أو عملائها.
	11.	المخاطر الأمنية لنقطة النهاية للدفع بالجملة - مخاطر مدفوعات الجملة الشاملة، بما في ذلك التواصل (المؤسسة المالية مع مؤسسة مالية أخرى، والمؤسسة المالية مع النظام)؛ الأنظمة (محطة العمل)؛ الموظفين والعمليات.
ح.	يجب على المؤسسات المالية ضمان مراعاة تقييم مخاطر الاحتيال للاحتيال عبر الإنترنت، بما في ذلك التفاعل مع نموذج إدارة مخاطر الأمن السيبراني الخاص بالمؤسسة المالية.
ط.	يجب إجراء تقييم مخاطر الاحتيال على الأقل على أساس سنوي.
ي.	علاوة على ذلك، يجب على المؤسسات المالية تحديث تقييم مخاطر الاحتيال الخاص بها ليشمل التغييرات في بيئة مخاطر الاحتيال الداخلية أو الخارجية. تشمل هذه التغييرات، على سبيل المثال لا الحصر، ما يلي:
	1.	تحديد فجوة أو نقطة ضعف جديدة في بيئة الرقابة.
	2.	المتطلبات التنظيمية الجديدة.
	3.	المنتجات والخدمات الجديدة.
	4.	القنوات الجديدة للتسويق والمنصات الرقمية الجديدة.
	5.	عمليات الاستحواذ التجارية الجديدة.
	6.	بيع أو التصرف في أجزاء من أعمال المؤسسة المالية.
	7.	التغييرات في البيئة الداخلية (مثل الهيكل التنظيمي).
	8.	الحصول على معلومات جديدة في المراقبة الاستخباراتية للاحتيال.

3.1.4 القدرة على تحمل المخاطر

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتطبيق قابلية مخاطر الاحتيال عند تصميم وتنفيذ أنظمة وضوابط مكافحة الاحتيال المالي.
متطلبات الرقابة
أ.	يجب تحديد مدى استعداد المؤسسة المالية لقابلية مخاطر الاحتيال لتحديد مستوى مخاطر الاحتيال التي ترغب المؤسسة المالية في تحملها.
ب.	يجب أن تستند قدرة المؤسسة المالية في قابلية مخاطر الاحتيال إلى نتائج تقييم مخاطر الاحتيال، وأن تتماشى مع القدرة العامة على تحمل المخاطر في المؤسسة.
ج.	عند تحديد قابلية مخاطر الاحتيال، يجب على المؤسسات المالية وضع تدابير ذات عتبات وحدود مرتبطة بها تعالج التأثير على كل من:
	1.	المؤسسة المالية (على سبيل المثال، خسائر الاحتيال، والإضرار بالسمعة)؛
	2.	وعملائها (على سبيل المثال، خسائر العملاء، عدد ضحايا الاحتيال، الإزعاج).
د.	في حالة انتهاك حد قابلية مخاطر الاحتيال مما يؤثر على العملاء، يجب على المؤسسة المالية التصعيد إلى الإدارة العليا والبدء في عملية إدارة الأزمات التي ينبغي أن:
	1.	إشراك الرئيس التنفيذي وكبار المسؤولين الآخرين في المؤسسة المالية.
	2.	اشتراط عقد اجتماعات أسبوعية على الأقل حتى يتم حل المشكلة ويعود الإجراء إلى مستوى مقبول.
هـ.	يجب مراجعة قابلية مخاطر الاحتيال على أساس سنوي على الأقل واعتمادها رسميًا من قبل مجلس الإدارة.
و.	يجب مراقبة قابلية مخاطر الاحتيال وتحديثها لإجراء تغييرات جوهرية على نموذج أعمال المؤسسة المالية.

4.1.4 مؤشرات المخاطر الرئيسية

المبدأ
يجب على المؤسسات المالية تحديد مؤشرات المخاطر الرئيسية والموافقة عليها ومراقبتها لقياس وتقييم الموقف وفق قابلية مخاطر الاحتيال المتفق عليها وتقديم إشارة مبكرة إلى زيادة التعرض لمخاطر الاحتيال.
متطلبات الرقابة
أ.	يجب أن تستند مؤشرات المخاطر الرئيسية التي تحددها المؤسسة المالية إلى منهجية موثقة تتطلب ما يلي:
	1.	ترصد مؤشرات المخاطر الرئيسية التعرض للمخاطر المحددة في تقييم مخاطر الاحتيال.
	2.	تنظر مؤشرات المخاطر الرئيسية في المخاطر التي تتعرض لها المؤسسة (على سبيل المثال، خسائر الاحتيال، والتأثير على السمعة، والإدارة التشغيلية لتنبيهات الاحتيال) وعملائها (على سبيل المثال، خسائر العملاء).
	3.	تعتمد لجنة الحوكمة المختصة بمكافحة الاحتيال مؤشرات المخاطر الرئيسية، أو لجنة المخاطر الأوسع التي تدير برنامج مكافحة الاحتيال المالي بما يتماشى مع المتطلبات المدرجة في المجال الفرعي 1.3.
	4.	لكل مؤشر مخاطر رئيسي مالك معتمد يتحمل المسؤولية عن مراقبة المؤشر واتخاذ الإجراءات المبكرة إذا تجاوز التعرض للمخاطر قابلية مخاطر الاحتيال.
	5.	سيتم الإبلاغ بشكل دوري عن مؤشرات المخاطر الرئيسية إلى الإدارة العليا وأصحاب المصلحة المعنيين (على الأقل، كل ربع سنوي).
	6.	يجب مراجعة مؤشرات المخاطر الرئيسية وتحديثها على الأقل على أساس سنوي وبوتيرة أعلى استجابة للتغيرات المادية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ب.	يجب أن تكون مؤشرات المخاطر الرئيسية تطلعية، وتقدم إشارة مبكرة لزيادة التعرض لمخاطر الاحتيال بدلاً من مجرد قياس حجم الاحتيال أو الخسائر (على سبيل المثال، الضوابط المصنفة على أنها غير فعالة في اختبار الرقابة؛ أو فشل الموظفين في إكمال التدريب الإلزامي على الاحتيال؛ أو تنبيهات الاحتيال التي لم تتم مراجعتها ضمن اتفاقيات مستوى الخدمة المحددة).
ج.	عند إعداد مؤشرات المخاطر الرئيسية، يجب على المؤسسات المالية وضع الحدود التي تسمح لها بتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من أو عند أو أعلى من موضع القدرة على تحمل المخاطر المستهدف.
د.	يجب على المؤسسات المالية التأكد من أن المقاييس المرتبطة بمؤشرات المخاطر الرئيسية كاملة ودقيقة، ويتم إعدادها في الوقت المناسب.

2.4 العناية الواجبة

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ معايير لتقييم مخاطر الاحتيال المرتبطة بالموظفين والعملاء والأطراف الخارجية لمنع إنشاء علاقات خارج نطاق القدرة على تحمل مخاطر الاحتيال وإدارة مخاطر الاحتيال طوال مدة العلاقة.
متطلبات الرقابة
أ.	يجب تحديد معايير العناية الواجبة وتعميمها وتنفيذها.
ب.	يجب أن تتم الموافقة على معايير العناية الواجبة من جانب الأفراد ذوي المسؤولية المناسبة (على سبيل المثال، العناية الواجبة للموظفين في الموارد البشرية).
ج.	يجب أن تراعي معايير العناية الواجبة الموظفين والعملاء والأطراف الخارجية.
د.	يجب أن تتماشى معايير العناية الواجبة مع المخاطر المحددة في تقييم مخاطر الاحتيال.
هـ.	يجب على المؤسسات المالية مراجعة وتحديث معايير العناية الواجبة على أساس دوري واستجابة للتغيرات المادية في مشهد الاحتيال، أو تقييم مخاطر الاحتيال في المؤسسة المالية، أو مجموعات العملاء التي تخدمها المؤسسة المالية، أو التغييرات في المنتجات أو الخدمات التي تقدمها.
و.	يجب قياس مدى فعالية معايير العناية الواجبة الخاصة بالاحتيال وتقييمها بشكل دوري.
ز.	يجب أن تشمل معايير العناية الواجبة ما يلي:
	1.	فحوصات ومتطلبات العناية الواجبة التي يجب إجراؤها لتقديم فهم مستنير لمخاطر الاحتيال.
	2.	عندما يجب إجراء العناية الواجبة.
	3.	الدور (الأدوار) الوظيفي المسؤول عن إجراء العناية الواجبة والموافقة عليها.
	4.	العلامات الحمراء أو العلامات التحذيرية التي قد تشير إلى زيادة خطر الاحتيال وتؤدي إلى ضرورة التصعيد أو استكمال عمليات التحقق الإضافية.
	5.	العلامات الحمراء أو العلامات التحذيرية التي تشير إلى أن الموظف أو العميل أو الطرف الخارجي خارج نطاق القدرة على تحمل المخاطر، ويجب رفض العلاقة أو إنهاؤها.
	6.	الخطوات الواجب اتخاذها لإنهاء العلاقات خارج نطاق القدرة على تحمل المخاطر.

1.2.4 العناية الواجبة للموظفين

المبدأ
يجب على المؤسسات المالية التأكد من إجراء فحوصات خلفية للموظفين، بما في ذلك المتعاقدين، لتقليل التعرض لمخاطر الاحتيال الداخلي والإضرار بالسمعة الناتج عن تصرفات موظفي المؤسسة المالية.
متطلبات الرقابة
أ.	يجب أن تعكس إجراءات العناية الواجبة للموظفين مخاطر الاحتيال الداخلي الذي يؤثر على المؤسسة المالية.
ب.	يجب أن تهدف العناية الواجبة للموظفين إلى تحديد هوية الموظف ونزاهته والتحقق من أوراق اعتماده، مما يمكّن المؤسسة المالية من تحديد ما إذا كان مناسبًا للمنصب.
ج.	يجب أن تتكون العناية الواجبة للموظفين من التحقق والفحوصات الخلفية للموظف، بما في ذلك على سبيل المثال لا الحصر:
	1.	تأكيد الهوية.
	2.	فحص الخلفية الجنائية.
	3.	فحص تضارب المصالح.
	4.	التحقق من صحة المؤهلات المزعومة.
	5.	فحوصات التوظيف السابقة.
د.	يجب أن تكون العناية الواجبة للموظفين:
	1.	يجب إجراؤها كجزء من عملية التوظيف.
	2.	يجب إعادة التقييم عندما ينتقل موظف حالي إلى دور جديد.
	3.	يتم إعادة تنفيذها بشكل دوري وفقًا لنهج قائم على المخاطر (على سبيل المثال، إعادة إجراء فحص السلوك الإجرامي أو الاحتيالي للتحقق من أن الموظفين ما زالوا مناسبين للمنصب).
هـ.	يجب على المؤسسات المالية تقييم الأدوار التي تمثل خطرًا كبيرًا للاحتيال وتوثيق أي فحوصات معززة مطلوبة.
و.	يجب الاحتفاظ بنتائج فحوصات العناية الواجبة للموظفين بما يتماشى مع سياسات إدارة سجلات المؤسسة المالية فيما يتعلق بالمعلومات الشخصية.

2.2.4 العناية الواجبة تجاه العملاء

المبدأ
يجب على المؤسسات المالية وضع ضوابط لتسجيل هويات العملاء والتحقق من صحتها لتقليل التعرض لخسائر الاحتيال الخارجي.
متطلبات الرقابة
أ.	عند إنشاء علاقة جديدة مع العميل، يجب على المؤسسات المالية التأكد من هوية العميل والتحقق منها للتأكد بشكل معقول من عدم تعرضه لمخاطر الاحتيال.
ب.	يجب أن تتماشى العناية الواجبة تجاه العملاء مع سياسات المؤسسة المالية بشأن مكافحة غسل الأموال ومكافحة تمويل الإرهاب.
ج.	يجب إجراء العناية الواجبة تجاه العملاء كجزء من عملية الإلحاق وفي الأوقات المناسبة في العلاقة المستمرة مع العميل (على سبيل المثال، إضافة منتج ائتماني جديد).
د.	يجب تعزيز العناية الواجبة تجاه العملاء من خلال فحوصات إضافية للعملاء ذوي المخاطر العالية أو استجابة لتهديد الاحتيال المتزايد (على سبيل المثال، في حالة الاشتباه في انتحال الشخصية أو كان هناك قلق بشأن صحة أو شرعية المستندات المقدمة لإثبات الهوية أو إثبات التاريخ المالي) .
هـ.	عندما تبدأ علاقة مع العملاء عن بُعد (على سبيل المثال، عبر الإنترنت)، يجب على المؤسسات المالية تقييم مخاطر انتحال الشخصية وإنشاء حسابات وهمية، وتنفيذ الضوابط المناسبة للتخفيف من المخاطر، بما في ذلك على سبيل المثال لا الحصر:
	1.	التأكد من ربط رقم الهاتف أو الهوية الوطنية/الإقامة بتطبيق عميل واحد فقط. في حالة تحديد استثناء (على سبيل المثال، أحد أفراد الأسرة المُعالين)، يجب إجراء فحوصات العناية الواجبة الإضافية للتحقق من صحة التطبيق ويجب إعداد حالات استخدام المراقبة.
	2.	المصادقة على طلب فتح الحساب عبر البوابة الوطنية لتسجيل الدخول الموحد باستخدام المصادقة البيومترية (على سبيل المثال، التعرف على الوجه من جهة وطنية موثوقة).
	3.	التحقق من أن ملكية رقم الهاتف مسجلة لنفس المستخدم من خلال جهة موثوقة (أي مطابقة اسم صاحب الحساب وبطاقة الهوية الوطنية).
	4.	بما في ذلك آلية كلمة المرور لمرة واحدة التي توضح أنه يتم فتح حساب جديد كشكل من أشكال التحقق. يجب إرسال كلمة المرور لمرة واحدة إلى رقم الهاتف الذي تم التحقق منه.
	5.	يجب إرسال إشعار استكمال فتح الحساب إلى رقم الهاتف الذي تم التحقق منه والمسجل للحساب وكذلك إلى رقم الهاتف المسجل في البوابة الوطنية لتسجيل الدخول الموحد.
	6.	يتطلب استخدام العنوان الوطني المسجل.
	7.	عندما يتم توفير البطاقة المادية، يجب أن تكون:
		أ.	يتم إرسالها إلى العنوان الوطني المسجل للعميل فقط؛
		ب.	أو يتم استلامها من جهاز الصّراف الآلي مع التحقق من العميل باستخدام المصادقة البيومترية.
	8.	بعد الإعداد الأولي، يجب وضع قيود على الحساب (على سبيل المثال، الحد المخفض لقيمة المعاملة) حتى الوقت الذي تتحقق فيه المؤسسة المالية من أن العميل حقيقي (على سبيل المثال، استخدام آلية المصادقة البيومترية من خلال التعرف على الوجه من طرف وطني موثوق به بشكل دوري، التواجد الفعلي في فرع أو كشك مدعوم بالقياسات البيومترية، ونمط منتظم لنشاط الحساب على مدى فترة من الزمن).
	9.	إعداد حالات استخدام شاملة لتحديد الحسابات الوهمية المحتملة بشكل استباقي وتنفيذ مراقبة حالات الاستخدام من خلال برامج الكشف (على سبيل المثال، قيمة الأموال الواردة، وارتفاع وتيرة المعاملات، وأنماط المعاملات التي لا تتناسب مع السلوكيات المتوقعة، والزيادة المفاجئة في النشاط بعد السكون).
	10.	القياس والتقييم الدوري لفعالية الضوابط للتخفيف من حدة مخاطر انتحال الشخصية وإنشاء حسابات وهمية.

3.2.4 العناية الواجبة تجاه الأطراف الخارجية

المبدأ
يجب على المؤسسات المالية التأكد من إجراء العناية الواجبة المتناسبة مع الأطراف الخارجية لفهم مخاطر الاحتيال المرتبطة بالعلاقات التجارية والتأكد من إدارة الأطراف الخارجية بشكل مناسب للتخفيف من المخاطر.
متطلبات الرقابة
أ.	يجب أن تتكون العناية الواجبة تجاه الأطراف الخارجية من عمليات فحص وإجراءات فحص بناءً على نهج قائم على المخاطر للسماح بتقييم مخاطر الاحتيال التي تمثلها العلاقة.
ب.	يجب إجراء العناية الواجبة تجاه الأطراف الخارجية قبل الدخول في الالتزام بعلاقة جديدة
ج.	يجب مراجعة العناية الواجبة تجاه الأطراف الخارجية دوريًا أو بعد وجود سبب يشير إلى زيادة خطر الاحتيال (على سبيل المثال، المخاوف بشأن سلوك طرف خارجي أو موظفيه؛ أو المقالات الإعلامية السلبية).
د.	يجب تعزيز العناية الواجبة تجاه الطرف الخارجي من أجل:
	1.	الأطراف الخارجية ذات المخاطر العالية أو ممثليهم
	2.	الأطراف الخارجية التي تقدم خدمات حيوية للمؤسسة المالية.
هـ.	يجب أن تتضمن عمليات التحقق من العناية الواجبة المعززة تجاه الطرف الخارجي خطوات إضافية لتقييم مخاطر الاحتيال التي تمثلها العلاقة (على سبيل المثال، الفحص الإضافي أو تقييم نهج الطرف الخارجي لإدارة مخاطر الاحتيال).
و.	عندما تقوم إحدى المؤسسات المالية بالاستعانة بمصادر خارجية لتنفيذ الخدمات لصالح مؤسسة خارجية، يجب على هذا الطرف الخارجي الالتزام بسياسة مكافحة الاحتيال المالي الخاصة بالمؤسسة المالية أو تطبيق نهج مماثل.

3.4 التدريب والتوعية

المبدأ
يجب تحديد برنامج للتوعية بالاحتيال والموافقة عليه وتنفيذه للموظفين والعملاء والأطراف الخارجية في المؤسسة المالية.
متطلبات الرقابة
أ.	يجب تحديد برنامج التوعية بالاحتيال والموافقة عليه وتنفيذه لتعزيز الوعي بمخاطر الاحتيال والتوعية بشأن منع الاحتيال المحتمل وكشفه والاستجابة له وإرساء ثقافة إيجابية لمكافحة الاحتيال المالي.
ب.	يجب أن يتضمن برنامج التوعية بالاحتيال تغطية ما يلي:
	1.	الموظفين في المؤسسة المالية.
	2.	عملاء المؤسسة المالية.
	3.	الأطراف الخارجية التي لها علاقات مع المؤسسة المالية.
ج.	يجب أن يتكون برنامج التوعية بالاحتيال من مواد تدريبية وتعليمية وتوعوية ترتبط ارتباطًا مباشرًا بالمخاطر والتهديدات المحددة في تقييم مخاطر الاحتيال.
د.	يجب أن يتضمن برنامج التوعية بالاحتيال ما يلي:
	1.	تحديد طبيعة وحجم ونطاق التدريب والتعليم الذي سيتم تقديمه.
	2.	أن يكون مصممًا ليناسب الفئات المستهدفة المختلفة.
	3.	تنفيذه عبر قنوات متعددة.
هـ.	يجب أن تتم أنشطة برنامج التوعية بالاحتيال بشكل دوري وعلى مدار العام.
و.	يجب على المؤسسات المالية التأكد من تحديث البرنامج سنويًا على الأقل لمراعاة التغييرات في مشهد تهديدات الاحتيال أو استجابة لتهديدات الاحتيال الجديدة المُحددة في المراقبة الاستخباراتية.
ز.	عندما يؤثر نوع الاحتيال الجديد أو الناشئ على المؤسسة المالية وعملائها، يجب على المؤسسات المالية اتخاذ إجراءات فورية لتوعية الموظفين والعملاء والأطراف الخارجية ذات الصلة بالتهديد والتدابير الوقائية التي يتعين اتخاذها (حيثما ينطبق ذلك).
ح.	يجب على المؤسسات المالية مراقبة وتقييم فعالية برنامج التوعية بالاحتيال وتنفيذ التحسينات عند الاقتضاء.

1.3.4 تدريب الموظفين وتوعيتهم بشأن الاحتيال

المبدأ
يجب على المؤسسات المالية تحديد وتقديم برنامج تدريب وتوعية للموظفين حول الاحتيال لتمكين الموظفين من التعرف على الاحتيال والإبلاغ عنه على الفور.
متطلبات الرقابة
أ.	يجب أن يمكَّن التدريب على مكافحة الاحتيال المالي الموظفين من اكتساب فهم ومعرفة واضحة عن سياسات وإجراءات مكافحة الاحتيال المالي في المؤسسة المالية ومسؤولياتهم الشخصية فيما يتعلق بمنع الاحتيال واكتشافه.
ب.	يجب تقديم التدريب لجميع الموظفين أثناء عملية الإعداد أو بعدها بفترة قصيرة وتحديثها على فترات منتظمة.
ج.	يجب أن يكون برنامج التدريب والتوعية بشأن الاحتيال في المؤسسة المالية قائمًا على المخاطر، بما في ذلك متطلبات تزويد بعض الموظفين بتدريب متخصص اعتمادًا على مخاطر الاحتيال المرتبطة بدورهم الوظيفي (على سبيل المثال، المديرين الذين يشغلون مناصب السلطة، والموظفين الذين يتعاملون مع العملاء في الفروع، والموظفين الذين ينفذون ضوابط مكافحة الاحتيال المالي والمحققين في حوادث الاحتيال).
د.	يجب أن يتضمن التدريب على مكافحة الاحتيال المالي اختبار معرفة لتقييم ما إذا كان الموظف قد فهم المحتوى. يجب أن يُطلب من الموظفين الذين لم يجتازوا اختبار المعرفة إعادة التدريب ويجب مراقبة معدلات النجاح، مع اتخاذ الإجراء في حالة حدوث إخفاقات متكررة (على سبيل المثال، إعادة التدريب عبر طريقة أخرى أو إلغاء سلطة الرقابة على مكافحة الاحتيال المالي حتى اجتياز التدريب).
هـ.	يجب تدريب أعضاء مجلس الإدارة والإدارة العليا في المؤسسات المالية على مكافحة الاحتيال بما يتناسب مع أهمية أدوارهم الوظيفية (على سبيل المثال، الوعي بالاحتيال، ووضع الثقافة والحوكمة المناسبة).
و.	يجب تعزيز التدريب المُقدم رسميًا من خلال نشاط تثقيف الموظفين المستمر للحفاظ على الوعي العام بالاحتيال لدى الموظفين (على سبيل المثال، إصدار تذكيرات وتعميمات حول المؤشرات المحتملة للاحتيال وأنواع الاحتيال الشائعة).
ز.	يجب على المؤسسات المالية حفظ سجلات التدريب على مكافحة الاحتيال المُقدم للموظفين وأنشطة التوعية التي تم إجراؤها.
ح.	يجب أن يكون لدى المؤسسات المالية عملية موثقة لإدارة الموظفين غير الملتزمين بمتطلبات التدريب الخاصة بأدوارهم الوظيفية.

2.3.4 توعية العملاء بعمليات الاحتيال

المبدأ
يجب على المؤسسات المالية تحديد وتنفيذ برنامج نشاط لتوعية العملاء بالاحتيال لزيادة فهم العملاء لمخاطر الاحتيال؛ ومساعدة العملاء على التعرف على محاولات الاحتيال ومقاومتها؛ وإبلاغهم بكيفية الإبلاغ عن الاحتيال.
متطلبات الرقابة
أ.	يجب أن يقدم نشاط التوعية بالاحتيال للعملاء التعريف المناسب بالوقت المناسب علاوة على تعزيز الوعي بالاحتيال.
ب.	يجب أن يتضمن النشاط الذي يتم تقديمه من خلال برنامج التوعية بالاحتيال للعملاء على ما يلي كحد أدنى:
	1.	معلومات عن تهديدات الاحتيال وعمليات النصب التي قد يتعرض لها العملاء.
	2.	مسؤوليات العملاء حول مكافحة الاحتيال.
	3.	كيف يمكن للعملاء منع أنفسهم من التحول لضحايا احتيال.
	4.	كيفية إبلاغ المؤسسة المالية إذا كان العميل يعتقد أنه وقع ضحية للاحتيال.
ج.	يجب أن يكون نشاط توعية العملاء بالاحتيال مصممًا خصيصًا لتوجهات الاحتيال الحالية التي تؤثر على المؤسسة المالية وقطاعها، بما في ذلك على سبيل المثال لا الحصر، أنواع الاحتيال التي تمت ملاحظتها ونقطة الثغرة التي أدت إلى الاحتيال (على سبيل المثال، الرسائل النصية القصيرة والبريد الإلكتروني ووسائل التواصل الاجتماعي).
د.	يجب أن يغطي نشاط توعية العملاء بالاحتيال مدة دورة العمل مع العميل (على سبيل المثال، الإلحاق والتغييرات في مقتنيات المنتج والمعاملات والتسويات).
هـ.	يجب على المؤسسات المالية تقديم مواد توعية للعملاء من خلال جميع قنوات التواصل المقدمة للعميل (على سبيل المثال، موقع الويب، وتطبيق الهاتف المحمول، والبريد الإلكتروني، والبريد، والرسائل النصية القصيرة).
و.	يجب على المؤسسات المالية تقديم تعليم إضافي حول الحماية من الاحتيال للعملاء الذين قد يكونون عرضة لعملية احتيال أو كانوا ضحايا لها (على سبيل المثال، الدعم عبر الهاتف أو المواد الإضافية عبر البريد الإلكتروني أو البريد).

3.3.4 توعية الأطراف الخارجية بالاحتيال

المبدأ
يجب على المؤسسات المالية تحديد وتقديم برنامج متناسب لتوعية الأطراف الخارجية بالاحتيال مع تحديد التوقعات فيما يتعلق بنشاط مكافحة الاحتيال المالي والإبلاغ الفوري عن الأنشطة المشبوهة.
متطلبات الرقابة
أ.	يجب توثيق متطلبات الوعي بالاحتيال لدى الأطراف الخارجية والاتفاق عليها في الترتيبات التعاقدية حيثما ينطبق ذلك.
ب.	يجب على المؤسسات المالية تقديم مواد توعية بشأن الاحتيال على أساس المخاطر إلى الأطراف الخارجية في بداية العلاقة وتحديثها دوريًا حسب الحاجة.
ج.	يجب أن تتضمن متطلبات توعية الأطراف الخارجية بالاحتيال كحد أدنى ما يلي:
	1.	إرساء ثقافة إيجابية لمكافحة الاحتيال المالي.
	2.	أدوار ومسؤوليات الطرف الخارجي فيما يتعلق بالاحتيال.
	3.	توافق الرسائل المخصصة مع مخاطر الاحتيال في الخدمات التي يقدمها الطرف الخارجي.
	4.	آليات الإبلاغ المتاحة للطرف الخارجي.

4.4. المصادقة

المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على معيار للمصادقة على بيانات اعتماد وتعليمات العملاء والموظفين والأطراف الخارجية لضمان حماية المعلومات ومنع الوصول أو الإجراءات غير المصرح بها. يجب أن يكون هذا قائمًا على المخاطر ويستخدم المصادقة متعددة العوامل.
متطلبات الرقابة
أ.	يجب على المؤسسة المالية تحديد معيار المصادقة والموافقة عليه وتنفيذه والحفاظ عليه مع مدخلات من إدارة مكافحة الاحتيال المالي وفريق الأمن السيبراني.
ب.	يجب أن يراعي معيار المصادقة الخاص بالمؤسسة المالية المخاطر المحددة في تقييم مخاطر الاحتيال وتقييم مخاطر الأمن السيبراني.
ج.	يجب أن يراعي معيار المصادقة وصول العملاء إلى المنتجات والخدمات، ووصول الموظفين والأطراف الخارجية إلى أنظمة المؤسسات المالية.
د.	عند تحديد معيار المصادقة، يجب على المؤسسات المالية أن تراعي متطلبات الرقابة التالية الموضحة في الدليل التتنظيمي لأمن المعلومات:
	1.	5.3.3 إدارة الهوية والوصول
	2.	13.3.3 الخدمات المصرفية الإلكترونية
هـ.	يجب أن يغطي معيار المصادقة الخاص بالمؤسسة المالية القنوات الرقمية (مثل الخدمات عبر الإنترنت وتطبيقات الهاتف المحمول) والقنوات غير الرقمية (مثل الهاتف وأجهزة الصّراف الآلي والفروع).
و.	يجب على المؤسسات المالية أن تتبنى نهجًا قائمًا على المخاطر في المصادقة مع تعليمات أو أنشطة ذات مخاطر أعلى تخضع للمصادقة متعددة العوامل قبل اتخاذ إجراء بشأنها.
ز.	يجب ألا تتألف المصادقة متعددة العوامل التي تجريها المؤسسات المالية لتحديد الهوية أو التحقق من المعاملة من كلمات مرور لمرة واحدة يتم إرسالها عبر الرسائل النصية القصيرة فقط. يجب على المؤسسات المالية تنفيذ عوامل إضافية، بما في ذلك على سبيل المثال لا الحصر:
	1.	الموافقة على المعاملات من خلال تطبيق الهاتف المحمول (على سبيل المثال، إرسال إشعار دفع إلى تطبيق الهاتف المحمول على جهاز موثوق به).
	2.	خصائص الجهاز (على سبيل المثال، جهاز محمول موثوق به/معروف).
	3.	تحديد الموقع الجغرافي (على سبيل المثال، التحقق من الموقع أو عنوان بروتوكول الإنترنت أو التحقق من شبكة الهاتف المحمول).
	4.	السمات السلوكية (على سبيل المثال، الاختلافات في حجم المعاملة المعتادة و/أو القيمة و/أو الوتيرة و/أو العملة).
	5.	السمات السلوكية البيومترية (على سبيل المثال، تحديد التغييرات في الطريقة التي يستخدم بها العميل أو الموظف المتصفح أو الجهاز).
ح.	عند إرسال كلمة مرور لمرة واحدة عبر الرسائل النصية القصيرة، يجب تحديد الغرض والمبلغ واسم التاجر بوضوح بما يتماشى مع نماذج الإشعارات المعتمدة من البنك المركزي.
ط.	يجب أن تكون كلمات المرور لمرة واحدة المُرسلة عبر الرسائل النصية القصيرة باللغة التي يحددها العميل في الحساب (على سبيل المثال، العربية أو الإنجليزية).
ي.	يجب على المؤسسات المالية تحديد التعليمات أو الأنشطة عالية المخاطر في معيار المصادقة، التي يجب أن تتضمن، على سبيل المثال لا الحصر، ما يلي:
	1.	عملية التسجيل للوصول إلى المنتج عبر الإنترنت أو تطبيق الهاتف المحمول.
	2.	تفعيل رمز مميز (token) على جهاز جديد أو إضافي.
	3.	إضافة بطاقة ائتمان/خصم إلى المحفظة الرقمية على جهاز محمول.
	4.	إعادة تعيين بيانات اعتماد الأمان بعد المحاولات الفاشلة للوصول إلى الهاتف أو الإنترنت أو المرافق البعيدة.
	5.	تسجيل الدخول إلى المنتجات الرقمية من جهاز أو موقع غير معروف مسبقًا.
	6.	المدفوعات إلى المحفظة الإلكترونية أو المحفظة الرقمية.
	7.	المعاملات أو عمليات السحب أو تحويل الأموال عالية المخاطر (على سبيل المثال، تجاوز الحدود/العتبات المحددة مسبقًا، أو التحويلات الكبيرة نسبيًا مقارنة بالرصيد الإجمالي أو التحويلات/التحويلات الدولية).
	8.	إضافة أو تعديل المستفيدين.
	9.	تغيير بيانات صاحب الحساب (مثل العنوان أو بيانات التواصل).
	10.	تغيير اللغة المُستخدمة في الحساب (على سبيل المثال، من العربية إلى الإنجليزية).
	11.	إعادة تعيين كلمة المرور أو رقم التعريف الشخصي.
	12.	إصدار وتفعيل بطاقة خصم/ائتمان الجديدة.
	13.	إعادة تنشيط الحسابات الخاملة أو الخدمات المحظورة.
	14.	مجموعة من الأنشطة التي قد تشير إلى الاحتيال أو الاستيلاء على الحساب (على سبيل المثال، درجة المخاطر المجمعة بعد محاولات تسجيل الدخول الفاشلة، أو شراء بطاقات الهدايا، أو استخدام جهاز جديد أو تحديد الموقع الجغرافي الجديد).
ك.	يجب أن تطلب المؤسسات المالية عامل مصادقة خارجيًا (على سبيل المثال، مكالمة هاتفية إلى الرقم الموجود في الحساب الذي يتطلب التحقق من المعلومات الآمنة، أو زيارة فعلية إلى أحد الفروع، أو إنشاء رمز مميز (token) بكلمة مرور مؤقتة مرتبطة بجهاز، أو كلمة مرور لمرة واحدة) للتحقق من صحة تعليمات عندما:
	1.	يتم اكتشاف محاولة تسجيل دخول المستخدم إلى خدمات الهاتف المحمول والإنترنت كجلسة شاذة (على سبيل المثال، يختلف معرف الجهاز أو الموقع عن معايير تسجيل الدخول المعروفة مسبقًا أو يتم وضع علامة على عنوان بروتوكول الإنترنت باعتباره خطرًا).
	2.	يتم توجيه المعاملة من جهاز غير موثوق به إلى مستفيد تمت إضافته حديثًا.
	3.	تجاوز معدل تحويل غير طبيعي (على سبيل المثال، خمس عمليات تحويل في الساعة لعميل تجزئة).
ل.	يجب على المؤسسات المالية تقييد النشاط إذا تم تحديد جلسة شاذة على المعاملات ذات المستوى المنخفض حتى تتمكن المؤسسة من مصادقة الطلب الصادر من العميل الحقيقي ويمكنها جعل الجهاز موثوقًا به.
	1.	يجب أن تحدد المؤسسة المالية المعاملات ذات المستوى المنخفض في معايير منع الاحتيال (راجع 6.4).

5.4. الاحتيال والجرائم المالية والمواءمة السيبرانية

المبدأ
يجب على المؤسسات المالية التأكد من توافق القدرات التشغيلية لفريق الأمن السيبراني ومكافحة الاحتيال المالي والجرائم المالية لردع الاحتيال.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد وتنفيذ عملية لمواءمة القدرات التشغيلية لفريق مكافحة الاحتيال المالي والأمن السيبراني والجرائم المالية، التي ينبغي أن تشمل على الأقل ما يلي:
	1.	تحديد أدوار ومسؤوليات واضحة بين فرق إدارة مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني.
	2.	التدريب المتبادل بين فرق إدارة مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني.
	3.	إجراء اتصالات متعددة التخصصات بين إدارات الجرائم الإلكترونية والمالية ومكافحة الاحتيال لتبادل المعرفة بانتظام.
	4.	تطوير فرق عمل مشتركة بين إدارات مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني لمواءمة ممارسات العمل وإشراك المؤسسة بشكل جماعي.
	5.	عقد ورش عمل مشتركة لتقييم التهديدات أو تحليل سيناريوهات الاحتيال مع وحدات الأعمال لتحديد التهديدات بشكل جماعي وتبادل الرؤى من المراقبة الاستخباراتية.
	6.	تخزين معلومات التهديدات ذات الصلة في مستودع مركزي، مع تقييد الوصول إلى أصحاب المصلحة المعنيين.
	7.	تحديد الفرص لتوحيد أنظمة وأدوات منع الاحتيال والكشف السيبراني (على سبيل المثال، توفير البيانات حول مراقبة المستخدم أو موقع العميل من خلال عنوان بروتوكول الإنترنت).
	8.	مواءمة نهج الاستجابة لحوادث الجرائم الإلكترونية والمالية والاحتيال حيث تقع الحوادث عبر القدرات.
	9.	تنسيق الإجراءات التصحيحية لتعطيل المجموعات المنظمة التي تنظم عمليات الاحتيال (على سبيل المثال، إزالة مواقع الويب المزيفة التي تم إعدادها للحصول على بيانات العملاء).
	10.	إجراء تدريبات مشتركة للدروس المستفادة بأثر رجعي في أعقاب حوادث الاحتيال المتعلقة بالبيانات والأنظمة والعمليات والضوابط التي تشمل مكافحة الاحتيال المالي والجرائم المالية والقدرات السيبرانية.

6.4. معايير منع الاحتيال

المبدأ
يجب أن تكون المؤسسات المالية قد حددت ووافقت ونفذت وحافظت على معايير منع الاحتيال التي يجب أن تتماشى مع مخاطر الاحتيال التي تؤثر على المؤسسة وعملائها.
متطلبات الرقابة
أ.	يجب على المؤسسات المالية تحديد المعايير والموافقة عليها وتنفيذها وحفظها للمساعدة في منع الاحتيال ومعالجة مخاطر الاحتيال الداخلي ومخاطر الاحتيال الخارجي التي تؤثر على المؤسسة.
ب.	يجب على المؤسسات المالية مراجعة وتحديث معايير منع الاحتيال على أساس دوري واستجابة للتغيرات الجوهرية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ج.	يجب مراقبة الامتثال لمعايير منع الاحتيال.
د.	يجب قياس فعالية معايير منع الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
هـ.	يجب استخدام نتائج تقييم مخاطر الاحتيال لتحديد أين يتم تركيز نشاط الوقاية، ويجب أن تكون الضوابط متناسبة مع قدرة المؤسسة على تحمل المخاطر.
و.	قد تكون معايير منع الاحتيال يدوية أو آلية، ويجب أن تتضمن على الأقل ما يلي:
	1.	الضوابط المُطبقة لمنع الاحتيال (على سبيل المثال، الفصل بين الواجبات، والموافقة والتصعيد، وتدريب الموظفين، والقيود على الوصول، والعناية الواجبة والتحقق من النزاهة، والإخطار بتغييرات الحساب، وحدود المعاملات، وشيكات الاكتتاب).
	2.	الأنظمة والتقنيات المُستخدمة لمنع الاحتيال (مثل إدارة الهوية والوصول، والمصادقة، وإصدار كلمات المرور لمرة واحدة، والقياسات البايومترية).
	3.	الأدوار والمسؤوليات المتعلقة بمنع الاحتيال (على سبيل المثال، مراجعة طلبات العملاء عند الإلحاق، وتصميم التدريب، والعناية الواجبة، واختبار النظام).
	4.	الأساس المنطقي الذي يوضح سبب ملاءمة ضوابط الوقاية للمخاطر التي تواجهها المؤسسة.
ز.	يجب على المؤسسات المالية أن تحدد النهج المتبع في وضع حدود وعتبات للضوابط الوقائية (حيثما ينطبق ذلك) في معايير منع الاحتيال، مع مراعاة ما يلي:
	1.	نتائج تقييم مخاطر الاحتيال.
	2.	حوادث الاحتيال والخسائر الناجمة.
	3.	قابلية مخاطر الاحتيال.

1.6.4 الاحتيال الداخلي

المبدأ
يجب أن تتضمن معايير منع الاحتيال في المؤسسات المالية ضوابط مُصممة لمنع الاحتيال الداخلي.
متطلبات الرقابة
أ.	يجب على المؤسسة المالية أن تدرج في معايير منع الاحتيال الخاصة بها ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الداخلي، بما في ذلك على سبيل المثال لا الحصر:
	1.	مطالبة الموظفين بالالتزام بمدونة قواعد السلوك.
	2.	إلزام جميع الموظفين بأخذ إجازة يُحظر خلالها التواصل معهم لا تقل عن 10 أيام عمل متواصلة كل عام.
	3.	الفصل بين الواجبات في عمليات الدفع والإنجاز بدعم من مصفوفات الترخيص الموثقة.
	4.	الضوابط المزدوجة أو الفحص الثانوي لعملية المراقبة، مع مراجعة إضافية أو عملية الموافقة على المعاملات التي تتجاوز الحدود التي تضعها المؤسسة المالية (على سبيل المثال، قيمة المعاملة أو المدفوعات لمورد جديد) أو المعاملات ذات المخاطر العالية (على سبيل المثال، الوصول إلى الحسابات الراكدة).
	5.	تقييد الوصول إلى تفاصيل العميل السرية لجميع الموظفين (على سبيل المثال، بيانات الاعتماد عبر الإنترنت، ورسائل كلمات المرور لمرة واحدة).
	6.	تقييد الوصول إلى بيانات حساب العميل السرية (مثل رصيد الحساب ومبلغ القرض) حيث لا يكون الاطلاع مطلوبًا في الدور الوظيفي (مثل موظفي تقنية المعلومات). عندما يكون الوصول مطلوبًا، يجب تسجيل النشاط وتخزينه بشكل آمن (انظر متطلبات الرقابة 3.5.ب).
	7.	متطلبات التعامل المناسب مع البيانات السرية.
	8.	ضوابط الوصول إلى الشيكات والنقد.
	9.	ضوابط لحماية الأمن المادي للأصول (على سبيل المثال، اشتراط تحديد هوية الموظفين في جميع الأوقات، وتأمين المعدات وتتبعها، وتقييد الوصول إلى الأصول الحساسة).
ب.	يجب على المؤسسات المالية مراعاة متطلبات التحكم في إدارة الهوية والوصول المتعلقة بإدارة وصول المستخدم وإدارة الوصول المميز الموضحة في الدليل التنظيمي لأمن المعلومات.
ج.	يجب على المؤسسات المالية التأكد أن الأفراد المسؤولين عن تشغيل ضوابط الاحتيال الداخلي مستقلون بشكل كافٍ عن الأفراد الذين يراقبونهم.
د.	يجب على المؤسسات المالية وضع العمليات والضوابط المناسبة لردع وتجنب حالات تضارب المصالح ومعاملات الأطراف ذات الصلة لمديريها ومسؤوليها وموظفيها والشركات الخارجية والمتعاقدين، بما في ذلك على سبيل المثال لا الحصر:
	1.	وضع سياسة تحدد بوضوح السلوك المحظور.
	2.	الحد من تدفق المعلومات بين الإدارات الداخلية والموظفين من خلال حواجز المعلومات.
	3.	تقديم الإرشادات والتعليمات والأمثلة حول تجنب تضارب المصالح.
	4.	المطالبة بالكشف الفوري عن أي حالات تضارب أو حالات تضارب محتملة.

2.6.4 الاحتيال الخارجي

المبدأ
يجب أن تتضمن معايير منع الاحتيال في المؤسسات المالية ضوابط مُصممة لمنع الاحتيال الخارجي.
متطلبات الرقابة
أ.	يجب على المؤسسة المالية أن تدرج في معايير منع الاحتيال الخاصة بها، ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الخارجي، بما في ذلك على سبيل المثال لا الحصر:
	1.	الخط الساخن متاح على مدار 24 ساعة للإبلاغ عن حالات الاحتيال المشتبه بها واتخاذ إجراءات فورية للرد على عمليات الاحتيال (على سبيل المثال، حظر الوصول إلى الحساب أو البطاقات).
	2.	توفير إمكانية الخدمة الذاتية للتوقف في حالات الطوارئ للعملاء لتجميد حساباتهم على الفور وحظر المزيد من المعاملات إذا اشتبهوا في تعرض حساباتهم للخطر.
	3.	ضوابط هوية العميل وإدارة الوصول للحسابات عبر الإنترنت / الهاتف المحمول والمنتجات الرقمية.
	4.	استخدام القوائم السوداء لفحص وحظر المعاملات أو توفير البطاقات أو الوصول إلى الأشخاص ذوي المخاطر العالية المحددة:
		أ.	الحسابات
		ب.	عناوين بروتوكولات الإنترنت
		ج.	عناوين البريد الإلكتروني
		د.	الأجهزة المُخترقة أو تلك التي تم استخدامها سابقًا للاحتيال (على سبيل المثال، تطبيق الهاتف المحمول المُسجل في حساب تم استخدامه لإجراء الاحتيال).
	5.	القدرة على حظر المعاملات بسرعة من حسابات/بطاقات العملاء، مع وجود ضمانات محددة لإلغاء الحظر.
	6.	مطالبة مستخدمي خدمات الإنترنت والهاتف المحمول بالموافقة على تفعيل نظام تحديد المواقع العالمي (GPS) أثناء جلسة نشطة للسماح للمؤسسة بمراقبة الموقع.
	7.	قدرة تطبيقات الهاتف المحمول على كشف الاستخدام على الأجهزة التي خضعت لكسر الحماية أو التجذير، ومن ثم، حظر استخدام التطبيق أو تقييد الوصول إلى البيانات أو الميزات الحساسة.
	8.	حظر استخدام خدمات الشبكة الخاصة الافتراضية عند الوصول إلى خدمات الإنترنت أو الهاتف المحمول.
	9.	تسجيل الجهاز الذي يسمح للمستخدمين بتسجيل الأجهزة الموثوقة لإدارة الوصول.
	10.	وضع قيود على عمليات تسجيل الدخول المتزامنة إلى تطبيق الهاتف المحمول، أو قيود على عدد الأجهزة التي يمكن تثبيت تطبيق الهاتف المحمول عليها والوصول إليها.
	11.	تحديد الحسابات غير المشروعة (على سبيل المثال، الحسابات التي تم إنشاؤها لتلقي الأموال التي تم الحصول عليها عن طريق الاحتيال وغسل عائدات الجريمة).
	12.	ملفات تعريف سلوك المستخدم التي تسمح بتنفيذ القواعد لمنع الوصول إلى حسابات العملاء في حالة تحديد سلوك غير عادي.
	13.	مراقبة عدم نشاط المنتج وسكونه، خاصة عندما يتم إعادة تنشيط المنتجات.
	14.	يتم إرسال إشعار للعميل عند إجراء تغييرات على البيانات الثابتة إلى التفاصيل السابقة والجديدة.
	15.	الدفع عبر الإنترنت والهاتف المحمول والهاتف:
		أ.	إرسال كلمة مرور لمرة واحدة للتحقق من جميع المدفوعات الموجهة (المستفيدين الجدد والحاليين)، بما في ذلك المعاملات من خلال حسابات التحويلات.
		ب.	إشعار العميل بإضافة المستفيدين الجدد (على سبيل المثال، الرسائل النصية القصيرة، معاودة الاتصال).
		ج.	وضع حد افتراضي للمعاملات الفردية واليومية التي يجب مراجعتها وتحديثها دوريًا عند الحاجة (على سبيل المثال، مراجعة ملفات تعريف العملاء وسلوكياتهم، وحالات الاحتيال الفعلية / خسائر العملاء).
		د.	إعلام العميل في حالة زيادة حد المعاملة الافتراضية (على سبيل المثال، إذا تمت ترقية نوع حساب العميل).
		هـ.	الخيار أمام العملاء لتقليل الحد الافتراضي للمعاملة الواحدة.
		و.	خيار للعملاء لتقليل الحد الافتراضي للمعاملات اليومية.
		ز.	الحظر الفوري على المزيد من المعاملات إذا تم الوصول إلى حد المعاملة إما من خلال المدفوعات الفردية أو المتكررة سواء لمستفيد واحد أو عدة مستفيدين.
		ح.	عمليات التحقق الإضافية للمصادقة:
			i.	المعاملات غير العادية (على سبيل المثال، المعاملات بعد فترة من سكون الحساب، والتغييرات في سلوكيات العملاء).
			ii.	أنماط غير عادية من المعاملات (على سبيل المثال، دفعات متعددة لنفس المستفيد في فترة قصيرة).
			iii.	المعاملات التي تتجاوز حد القيمة المحددة.
			iv.	طلبات زيادة حد المعاملات الفردية أو اليومية.
			v.	المعاملات الأولية بعد التسجيل في الخدمات المصرفية عبر الإنترنت أو خدمات الهاتف المحمول، أو تسجيل جهاز جديد.
		ط.	يجب أن تتضمن عمليات التحقق الإضافية، على سبيل المثال لا الحصر، واحدًا أو أكثر مما يلي:
			i.	معاودة الاتصال الآلي.
			ii.	معاودة الاتصال اليدوي.
			iii.	الرسائل النصية القصيرة إلى رقم الهاتف المحمول المسجل.
			iv.	المصادقة عبر القياسات البايومترية على الجهاز المحمول المسجل.
	16.	بطاقات الائتمان والخصم:
		أ.	الالتزام بجميع قواعد نظام البطاقة (على سبيل المثال، قواعد أعمال مدى، رمز Visa CVV2، رمز Mastercard CVC2).
		ب.	استخدام كلمات المرور لمرة واحدة للموافقة على المعاملات عبر الإنترنت.
		ج.	بالنسبة للمعاملات عالية المخاطر، استخدام تدابير مصادقة إضافية بالإضافة إلى كلمات مرور لمرة واحدة أو الموافقة من تطبيقات الهاتف المحمول (على سبيل المثال، معاودة الاتصال الآلي برقم الهاتف الموجود في الحساب).
		د.	التحقق من العنوان/الرمز البريدي لمدفوعات البطاقة عبر الإنترنت.
		هـ.	تم إصدار بطاقات جديدة تتطلب التنشيط قبل الاستخدام.
	17.	ضوابط التحقق لضمان صحة الشيكات والأدوات المماثلة.
	18.	الفحص الدوري لأجهزة الصراف الآلي بحثًا عن أي نشاط مشبوه أو أجهزة يمكن أن تهدد أمن البطاقة.
	19.	إزالة الروابط في جميع رسائل البريد الإلكتروني والرسائل النصية القصيرة المُرسلة إلى العملاء.
ب.	يجب على المؤسسات المالية أيضًا تنفيذ الضوابط الوقائية التالية بالنهج القائم على المخاطر:
	1.	تأخير في التنشيط عندما يطلب العميل زيادة في حدود المعاملات عبر الإنترنت/الهاتف المحمول.
	2.	آليات الوقاية الروبوتية قبل تعليمات الدفع لتخفيف حدة مخاطر نشاط الروبوت الآلي.
	3.	إتاحة وظيفة للعملاء لطلب إشعار فوري بجميع معاملات الحساب والبطاقة على أجهزتهم المحمولة المُسجلة.
	4.	السياج الجغرافي عندما تحدث المعاملات في موقع خارج المنطقة الرئيسية للعملاء (على سبيل المثال، استخدام بيانات الموقع الجغرافي للجهاز المحمول للمطالبة بالتحقق إذا حاول المستخدم الوصول إلى المنتجات والخدمات أثناء وجوده في بلد أجنبي، وهو ما لا يتماشى مع ملف تعريف سلوك المستخدم).
	5.	إجراءات احتجاز التحويلات المشبوهة إلى البلدان المصنفة على أنها عالية المخاطر في نموذج المخاطر الخاص بالولاية القضائية للمؤسسة.
	6.	تأخير في المدفوعات المطلوبة للمستفيدين الجدد الذين تمت إضافتهم عبر خدمات الإنترنت/الهاتف المحمول حتى الانتهاء من التحقق الإضافي.
	7.	التأخير قبل تفعيل رمز مميز (token) جديد على جهاز محمول.
	8.	إخطار العميل بتسجيل جهاز جديد وتحديد الخدمات المهمة (على سبيل المثال، توفير البطاقة، إضافة المستفيدين الجدد) التي يجب تعطيلها لفترة بعد تسجيل الجهاز الجديد.
ج.	يجب على المؤسسات المالية التي تقدم منتجات الإقراض والائتمان أن تدرج في معايير منع الاحتيال، ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الخارجي، بما في ذلك على سبيل المثال لا الحصر:
	1.	مراجعة الطلبات/المقترحات للتحقق من احتمالية الاحتيال في الطلب (على سبيل المثال، التلاعب بالتفاصيل أو تحريف الوضع المالي لمقدم الطلب).
	2.	التحقق من المستندات المزورة أو المزيفة المقدمة لغرض التعريف أو كضمان على الإقراض.
	3.	ضوابط إدارة الهيئة للوكلاء والوسطاء وجهات التقييم والأطراف الخارجية الأخرى.

إطلاق تجريبي

4. المنع

1.4 إدارة المخاطر

1.1.4 المراقبة الاستخباراتية

2.1.4 تقييم مخاطر الاحتيال

3.1.4 القدرة على تحمل المخاطر

4.1.4 مؤشرات المخاطر الرئيسية

2.4 العناية الواجبة

1.2.4 العناية الواجبة للموظفين

2.2.4 العناية الواجبة تجاه العملاء

3.2.4 العناية الواجبة تجاه الأطراف الخارجية

3.4 التدريب والتوعية

1.3.4 تدريب الموظفين وتوعيتهم بشأن الاحتيال

2.3.4 توعية العملاء بعمليات الاحتيال

3.3.4 توعية الأطراف الخارجية بالاحتيال

4.4. المصادقة

5.4. الاحتيال والجرائم المالية والمواءمة السيبرانية

6.4. معايير منع الاحتيال

1.6.4 الاحتيال الداخلي

2.6.4 الاحتيال الخارجي