Skip to main content
  • 6.4. معايير منع الاحتيال

    المبدأ
     
     
    يجب أن تكون المؤسسات المالية قد حددت ووافقت ونفذت وحافظت على معايير منع الاحتيال التي يجب أن تتماشى مع مخاطر الاحتيال التي تؤثر على المؤسسة وعملائها.
     
     
    متطلبات الرقابة
     
     
    أ. يجب على المؤسسات المالية تحديد المعايير والموافقة عليها وتنفيذها وحفظها للمساعدة في منع الاحتيال ومعالجة مخاطر الاحتيال الداخلي ومخاطر الاحتيال الخارجي التي تؤثر على المؤسسة.
     
     
    ب. يجب على المؤسسات المالية مراجعة وتحديث معايير منع الاحتيال على أساس دوري واستجابة للتغيرات الجوهرية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
     
     
    ج. يجب مراقبة الامتثال لمعايير منع الاحتيال.
     
     
    د. يجب قياس فعالية معايير منع الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
     
     
    هـ. يجب استخدام نتائج تقييم مخاطر الاحتيال لتحديد أين يتم تركيز نشاط الوقاية، ويجب أن تكون الضوابط متناسبة مع قدرة المؤسسة على تحمل المخاطر.
     
     
    و. قد تكون معايير منع الاحتيال يدوية أو آلية، ويجب أن تتضمن على الأقل ما يلي:
     
     
     1.الضوابط المُطبقة لمنع الاحتيال (على سبيل المثال، الفصل بين الواجبات، والموافقة والتصعيد، وتدريب الموظفين، والقيود على الوصول، والعناية الواجبة والتحقق من النزاهة، والإخطار بتغييرات الحساب، وحدود المعاملات، وشيكات الاكتتاب).
     
     2.الأنظمة والتقنيات المُستخدمة لمنع الاحتيال (مثل إدارة الهوية والوصول، والمصادقة، وإصدار كلمات المرور لمرة واحدة، والقياسات البايومترية).
     
     3.الأدوار والمسؤوليات المتعلقة بمنع الاحتيال (على سبيل المثال، مراجعة طلبات العملاء عند الإلحاق، وتصميم التدريب، والعناية الواجبة، واختبار النظام).
     
     4.الأساس المنطقي الذي يوضح سبب ملاءمة ضوابط الوقاية للمخاطر التي تواجهها المؤسسة.
     
    ز. يجب على المؤسسات المالية أن تحدد النهج المتبع في وضع حدود وعتبات للضوابط الوقائية (حيثما ينطبق ذلك) في معايير منع الاحتيال، مع مراعاة ما يلي:
     
     
     1.نتائج تقييم مخاطر الاحتيال.
     
     2.حوادث الاحتيال والخسائر الناجمة.
     
     3.قابلية مخاطر الاحتيال.
     
    • 1.6.4 الاحتيال الداخلي

      المبدأ
       
       
      يجب أن تتضمن معايير منع الاحتيال في المؤسسات المالية ضوابط مُصممة لمنع الاحتيال الداخلي.
       
       
      متطلبات الرقابة
       
       
      أ. يجب على المؤسسة المالية أن تدرج في معايير منع الاحتيال الخاصة بها ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الداخلي، بما في ذلك على سبيل المثال لا الحصر:
       
       
       1.مطالبة الموظفين بالالتزام بمدونة قواعد السلوك.
       
       2.إلزام جميع الموظفين بأخذ إجازة يُحظر خلالها التواصل معهم لا تقل عن 10 أيام عمل متواصلة كل عام.
       
       3.الفصل بين الواجبات في عمليات الدفع والإنجاز بدعم من مصفوفات الترخيص الموثقة.
       
       4.الضوابط المزدوجة أو الفحص الثانوي لعملية المراقبة، مع مراجعة إضافية أو عملية الموافقة على المعاملات التي تتجاوز الحدود التي تضعها المؤسسة المالية (على سبيل المثال، قيمة المعاملة أو المدفوعات لمورد جديد) أو المعاملات ذات المخاطر العالية (على سبيل المثال، الوصول إلى الحسابات الراكدة).
       
       5.تقييد الوصول إلى تفاصيل العميل السرية لجميع الموظفين (على سبيل المثال، بيانات الاعتماد عبر الإنترنت، ورسائل كلمات المرور لمرة واحدة).
       
       6.تقييد الوصول إلى بيانات حساب العميل السرية (مثل رصيد الحساب ومبلغ القرض) حيث لا يكون الاطلاع مطلوبًا في الدور الوظيفي (مثل موظفي تقنية المعلومات). عندما يكون الوصول مطلوبًا، يجب تسجيل النشاط وتخزينه بشكل آمن (انظر متطلبات الرقابة 3.5.ب).
       
       7.متطلبات التعامل المناسب مع البيانات السرية.
       
       8.ضوابط الوصول إلى الشيكات والنقد.
       
       9.ضوابط لحماية الأمن المادي للأصول (على سبيل المثال، اشتراط تحديد هوية الموظفين في جميع الأوقات، وتأمين المعدات وتتبعها، وتقييد الوصول إلى الأصول الحساسة).
       
      ب. يجب على المؤسسات المالية مراعاة متطلبات التحكم في إدارة الهوية والوصول المتعلقة بإدارة وصول المستخدم وإدارة الوصول المميز الموضحة في الدليل التنظيمي لأمن المعلومات.
       
       
      ج. يجب على المؤسسات المالية التأكد أن الأفراد المسؤولين عن تشغيل ضوابط الاحتيال الداخلي مستقلون بشكل كافٍ عن الأفراد الذين يراقبونهم.
       
       
      د. يجب على المؤسسات المالية وضع العمليات والضوابط المناسبة لردع وتجنب حالات تضارب المصالح ومعاملات الأطراف ذات الصلة لمديريها ومسؤوليها وموظفيها والشركات الخارجية والمتعاقدين، بما في ذلك على سبيل المثال لا الحصر:
       
       
       1.وضع سياسة تحدد بوضوح السلوك المحظور.
       
       2.الحد من تدفق المعلومات بين الإدارات الداخلية والموظفين من خلال حواجز المعلومات.
       
       3.تقديم الإرشادات والتعليمات والأمثلة حول تجنب تضارب المصالح.
       
       4.المطالبة بالكشف الفوري عن أي حالات تضارب أو حالات تضارب محتملة.
       
    • 2.6.4 الاحتيال الخارجي

      المبدأ
       
        
      يجب أن تتضمن معايير منع الاحتيال في المؤسسات المالية ضوابط مُصممة لمنع الاحتيال الخارجي.
       
        
      متطلبات الرقابة
       
        
      أ. يجب على المؤسسة المالية أن تدرج في معايير منع الاحتيال الخاصة بها، ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الخارجي، بما في ذلك على سبيل المثال لا الحصر:
       
        
       1.الخط الساخن متاح على مدار 24 ساعة للإبلاغ عن حالات الاحتيال المشتبه بها واتخاذ إجراءات فورية للرد على عمليات الاحتيال (على سبيل المثال، حظر الوصول إلى الحساب أو البطاقات).
       
       
       2.توفير إمكانية الخدمة الذاتية للتوقف في حالات الطوارئ للعملاء لتجميد حساباتهم على الفور وحظر المزيد من المعاملات إذا اشتبهوا في تعرض حساباتهم للخطر.
       
       
       3.ضوابط هوية العميل وإدارة الوصول للحسابات عبر الإنترنت / الهاتف المحمول والمنتجات الرقمية.
       
       
       4.استخدام القوائم السوداء لفحص وحظر المعاملات أو توفير البطاقات أو الوصول إلى الأشخاص ذوي المخاطر العالية المحددة:
       
       
        أ. الحسابات
       
        ب. عناوين بروتوكولات الإنترنت
       
        ج. عناوين البريد الإلكتروني
       
        د. الأجهزة المُخترقة أو تلك التي تم استخدامها سابقًا للاحتيال (على سبيل المثال، تطبيق الهاتف المحمول المُسجل في حساب تم استخدامه لإجراء الاحتيال).
       
       5.القدرة على حظر المعاملات بسرعة من حسابات/بطاقات العملاء، مع وجود ضمانات محددة لإلغاء الحظر.
       
       
       6.مطالبة مستخدمي خدمات الإنترنت والهاتف المحمول بالموافقة على تفعيل نظام تحديد المواقع العالمي (GPS) أثناء جلسة نشطة للسماح للمؤسسة بمراقبة الموقع.
       
       
       7.قدرة تطبيقات الهاتف المحمول على كشف الاستخدام على الأجهزة التي خضعت لكسر الحماية أو التجذير، ومن ثم، حظر استخدام التطبيق أو تقييد الوصول إلى البيانات أو الميزات الحساسة.
       
       
       8.حظر استخدام خدمات الشبكة الخاصة الافتراضية عند الوصول إلى خدمات الإنترنت أو الهاتف المحمول.
       
       
       9.تسجيل الجهاز الذي يسمح للمستخدمين بتسجيل الأجهزة الموثوقة لإدارة الوصول.
       
       
       10.وضع قيود على عمليات تسجيل الدخول المتزامنة إلى تطبيق الهاتف المحمول، أو قيود على عدد الأجهزة التي يمكن تثبيت تطبيق الهاتف المحمول عليها والوصول إليها.
       
       
       11.تحديد الحسابات غير المشروعة (على سبيل المثال، الحسابات التي تم إنشاؤها لتلقي الأموال التي تم الحصول عليها عن طريق الاحتيال وغسل عائدات الجريمة).
       
       
       12.ملفات تعريف سلوك المستخدم التي تسمح بتنفيذ القواعد لمنع الوصول إلى حسابات العملاء في حالة تحديد سلوك غير عادي.
       
       
       13.مراقبة عدم نشاط المنتج وسكونه، خاصة عندما يتم إعادة تنشيط المنتجات.
       
       
       14.يتم إرسال إشعار للعميل عند إجراء تغييرات على البيانات الثابتة إلى التفاصيل السابقة والجديدة.
       
       
       15.الدفع عبر الإنترنت والهاتف المحمول والهاتف:
       
       
        أ. إرسال كلمة مرور لمرة واحدة للتحقق من جميع المدفوعات الموجهة (المستفيدين الجدد والحاليين)، بما في ذلك المعاملات من خلال حسابات التحويلات.
       
        ب. إشعار العميل بإضافة المستفيدين الجدد (على سبيل المثال، الرسائل النصية القصيرة، معاودة الاتصال).
       
        ج. وضع حد افتراضي للمعاملات الفردية واليومية التي يجب مراجعتها وتحديثها دوريًا عند الحاجة (على سبيل المثال، مراجعة ملفات تعريف العملاء وسلوكياتهم، وحالات الاحتيال الفعلية / خسائر العملاء).
       
        د. إعلام العميل في حالة زيادة حد المعاملة الافتراضية (على سبيل المثال، إذا تمت ترقية نوع حساب العميل).
       
        هـ. الخيار أمام العملاء لتقليل الحد الافتراضي للمعاملة الواحدة.
       
        و. خيار للعملاء لتقليل الحد الافتراضي للمعاملات اليومية.
       
        ز. الحظر الفوري على المزيد من المعاملات إذا تم الوصول إلى حد المعاملة إما من خلال المدفوعات الفردية أو المتكررة سواء لمستفيد واحد أو عدة مستفيدين.
       
        ح. عمليات التحقق الإضافية للمصادقة:
       
         i. المعاملات غير العادية (على سبيل المثال، المعاملات بعد فترة من سكون الحساب، والتغييرات في سلوكيات العملاء).
       
        
         ii. أنماط غير عادية من المعاملات (على سبيل المثال، دفعات متعددة لنفس المستفيد في فترة قصيرة).
       
        
         iii. المعاملات التي تتجاوز حد القيمة المحددة.
       
        
         iv. طلبات زيادة حد المعاملات الفردية أو اليومية.
       
        
         v. المعاملات الأولية بعد التسجيل في الخدمات المصرفية عبر الإنترنت أو خدمات الهاتف المحمول، أو تسجيل جهاز جديد.
       
        
        ط. يجب أن تتضمن عمليات التحقق الإضافية، على سبيل المثال لا الحصر، واحدًا أو أكثر مما يلي:
       
         i. معاودة الاتصال الآلي.
       
        
         ii. معاودة الاتصال اليدوي.
       
        
         iii. الرسائل النصية القصيرة إلى رقم الهاتف المحمول المسجل.
       
        
         iv. المصادقة عبر القياسات البايومترية على الجهاز المحمول المسجل.
       
        
       16.بطاقات الائتمان والخصم:
       
       
        أ. الالتزام بجميع قواعد نظام البطاقة (على سبيل المثال، قواعد أعمال مدى، رمز Visa CVV2، رمز Mastercard CVC2).
       
        ب. استخدام كلمات المرور لمرة واحدة للموافقة على المعاملات عبر الإنترنت.
       
        ج. بالنسبة للمعاملات عالية المخاطر، استخدام تدابير مصادقة إضافية بالإضافة إلى كلمات مرور لمرة واحدة أو الموافقة من تطبيقات الهاتف المحمول (على سبيل المثال، معاودة الاتصال الآلي برقم الهاتف الموجود في الحساب).
       
        د. التحقق من العنوان/الرمز البريدي لمدفوعات البطاقة عبر الإنترنت.
       
        هـ. تم إصدار بطاقات جديدة تتطلب التنشيط قبل الاستخدام.
       
       17.ضوابط التحقق لضمان صحة الشيكات والأدوات المماثلة.
       
       
       18.الفحص الدوري لأجهزة الصراف الآلي بحثًا عن أي نشاط مشبوه أو أجهزة يمكن أن تهدد أمن البطاقة.
       
       
       19.إزالة الروابط في جميع رسائل البريد الإلكتروني والرسائل النصية القصيرة المُرسلة إلى العملاء.
       
       
      ب. يجب على المؤسسات المالية أيضًا تنفيذ الضوابط الوقائية التالية بالنهج القائم على المخاطر:
       
        
       1.تأخير في التنشيط عندما يطلب العميل زيادة في حدود المعاملات عبر الإنترنت/الهاتف المحمول.
       
       
       2.آليات الوقاية الروبوتية قبل تعليمات الدفع لتخفيف حدة مخاطر نشاط الروبوت الآلي.
       
       
       3.إتاحة وظيفة للعملاء لطلب إشعار فوري بجميع معاملات الحساب والبطاقة على أجهزتهم المحمولة المُسجلة.
       
       
       4.السياج الجغرافي عندما تحدث المعاملات في موقع خارج المنطقة الرئيسية للعملاء (على سبيل المثال، استخدام بيانات الموقع الجغرافي للجهاز المحمول للمطالبة بالتحقق إذا حاول المستخدم الوصول إلى المنتجات والخدمات أثناء وجوده في بلد أجنبي، وهو ما لا يتماشى مع ملف تعريف سلوك المستخدم).
       
       
       5.إجراءات احتجاز التحويلات المشبوهة إلى البلدان المصنفة على أنها عالية المخاطر في نموذج المخاطر الخاص بالولاية القضائية للمؤسسة.
       
       
       6.تأخير في المدفوعات المطلوبة للمستفيدين الجدد الذين تمت إضافتهم عبر خدمات الإنترنت/الهاتف المحمول حتى الانتهاء من التحقق الإضافي.
       
       
       7.التأخير قبل تفعيل رمز مميز (token) جديد على جهاز محمول.
       
       
       8.إخطار العميل بتسجيل جهاز جديد وتحديد الخدمات المهمة (على سبيل المثال، توفير البطاقة، إضافة المستفيدين الجدد) التي يجب تعطيلها لفترة بعد تسجيل الجهاز الجديد.
       
       
      ج. يجب على المؤسسات المالية التي تقدم منتجات الإقراض والائتمان أن تدرج في معايير منع الاحتيال، ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الخارجي، بما في ذلك على سبيل المثال لا الحصر:
       
        
       1.مراجعة الطلبات/المقترحات للتحقق من احتمالية الاحتيال في الطلب (على سبيل المثال، التلاعب بالتفاصيل أو تحريف الوضع المالي لمقدم الطلب).
       
       
       2.التحقق من المستندات المزورة أو المزيفة المقدمة لغرض التعريف أو كضمان على الإقراض.
       
       
       3.ضوابط إدارة الهيئة للوكلاء والوسطاء وجهات التقييم والأطراف الخارجية الأخرى.