المبدأ
| |
يجب على المؤسسات المالية تنفيذ وصيانة أنظمة كشف الاحتيال لتحديد الحالات الشاذة في بيانات المعاملات وغير المعاملات، وسلوك العملاء أو الموظفين الذي قد يكون من مؤشرات الاحتيال.
| |
متطلبات الرقابة
| |
| أ. | يجب على المؤسسات المالية تنفيذ وصيانة أنظمة كشف الاحتيال لمراقبة منتجات وخدمات العملاء، والأنظمة الداخلية للمعاملات أو السلوكيات التي قد تشير إلى الاحتيال.
| |
| ب. | يجب أن تعمل أنظمة كشف الاحتيال على مدار الساعة طوال أيام الأسبوع مع توفر الموارد المناسبة لإدارة المخرجات في الوقت المناسب.
| |
| ج. | يجب على المؤسسات المالية تطوير مصادر شاملة وحديثة للبيانات لاستخدامها في كشف الأنشطة المشبوهة والاحتيال، بما في ذلك على الأقل:
| |
| | 1. | منتجات وخدمات العملاء المُقدمة في جميع مجالات الأعمال.
|
| | 2. | جميع قنوات الاتصال (على سبيل المثال، الإنترنت، الهاتف المحمول، الهاتف).
|
| | 3. | المعلومات الخارجية (مثل البيانات المرجعية الائتمانية، والقوائم السوداء، ومجموعات البيانات المقدمة من المورد).
|
| | 4. | الرؤى التي تم جمعها من المراقبة الاستخباراتية (انظر القسم الفرعي 1.1.4).
|
| | 5. | بيانات المعاملات أو التسوية (على سبيل المثال، قيم الدفع داخل أو خارج الحسابات، ومستلمو الدفع المضافون، وسلطة تعليمات الدفع، والتحويل من الوصي على الأموال).
|
| | 6. | البيانات غير المتعلقة بالمعاملات (على سبيل المثال، سلوك الموظف، والوصول إلى الإنترنت، واستخدام الجهاز، والموقع الجغرافي، والتغييرات في البيانات الثابتة).
|
| د. | يجب على المؤسسات المالية تنفيذ الضوابط (مثل حوكمة البيانات، وإلغاء التكرار، وتنبيهات جودة البيانات، والتدقيق المنتظم، واختبار التكامل، واختبار التراجع لإدارة التغيير) للتأكد من أن البيانات الأساسية هي:
| |
| | 1. | قد قُدِمت في الوقت المناسب لنظام الكشف بوتيرة مناسبة بناءً على معدل التغيير ومدى الأهمية الملحة للمعلومات (على سبيل المثال، يجب أن تكون بيانات الدفع في الوقت الفعلي للسماح بالتدخل قبل تحويل الأموال، في حين قد يتم تحديث المنتجات الجديدة المباعة يوميًا، ويتم تحديث المعلومات الخارجية عند تغيير القوائم).
|
| | 2. | كاملة - تشمل جميع البيانات المطلوبة من جميع الأنظمة ذات الصلة المحددة في معايير الكشف عن مكافحة الاحتيال المالي (على سبيل المثال، يجب التحقق من صحة تعيين البيانات من النظام المصدر إلى نظام الكشف).
|
| | 3. | دقيقة - ذات جودة كافية لتمكين المراقبة الفعالة (على سبيل المثال، محدثة وتم اختبارها لضمان جودة البيانات).
|
| هـ. | يجب على المؤسسات المالية التأكد من أن قدرة نظام كشف الاحتيال تشمل كحد أدنى ما يلي:
| |
| | 1. | تحليل البيانات المُنظمة (البيانات بتنسيق موحد ومُنظم).
|
| | 2. | مراقبة حسابات العملاء والحسابات الداخلية.
|
| | 3. | تحديد أنماط سلوك المستخدم في ملفات التعريف التي تسمح بتحديد الانحرافات عن النشاط العادي (على سبيل المثال، الوتيرة المتوقعة أو قيمة المعاملات).
|
| | 4. | تعريف مكتبة القواعد المستندة إلى أنواع الاحتيال المعروفة لتحديد النشاط الذي يمكن أن يشير إلى الاحتيال (على سبيل المثال، أنماط وصول الموظفين، موقع العميل غير المعروف أو البعيد، زيادة وتيرة المعاملات، نوع المعاملة الجديد، المبلغ ذو القيمة العالية، المعاملات المتكررة سواء كانت مستفيدًا واحدًا أو عدة مستفيدين، مصدر تحويل واحد لعدة حسابات).
|
| | 5. | تقسيم مجموعات العملاء لتمكين تصميم القواعد (على سبيل المثال، تعديل القواعد والحدود بناءً على السلوكيات المتوقعة المختلفة لعميل الخدمات المصرفية الخاصة من ذوي الثروات الكبيرة مقابل العميل الفرد القياسي أو حساب جديد مفتوح عبر الإنترنت مقابل عميل مُدار بعلاقة راسخة).
|
| | 6. | تطبيق ترجيح للقواعد بناءً على المستوى المُقدر لمخاطر الاحتيال وتعيين درجات المخاطر لتحديد النشاط الذي قد يشير إلى الاحتيال.
|
| | 7. | تجميع درجات المخاطر لتقييم أنماط نشاط المعاملات وغير المعاملات عبر قنوات متعددة والتي عند دمجها قد تكون مؤشرات على الاحتيال.
|
| | 8. | ربط المخرجات (مثل التنبيهات والحالات لمزيد من التحقيق) بنظام إدارة الحالات.
|
| و. | يجب على المؤسسات المالية استخدام مخرجات المراقبة الاستخباراتية والمعلومات من جميع أنحاء المؤسسة في تحليلات البيانات لإجراء تحليل عميق للوضع الراهن والتنبؤ بتهديدات الاحتيال المستقبلية واتخاذ إجراءات استباقية لمنع الاحتيال. يجب أن تستخدم التحليلات مصادر بيانات متعددة، بما في ذلك على سبيل المثال لا الحصر، التوجهات السابقة والحالية وبيانات العملاء والمعاملات والأنشطة غير المتعلقة بالمعاملات.
| |
| ز. | عند تحديد خطر أعلى للاحتيال في تقييم مخاطر الاحتيال أو عندما تحدث حالات احتيال أعلى، يجب على المؤسسات المالية، بالإضافة إلى ذلك، تنفيذ قدرة النظام على:
| |
| | 1. | استخراج البيانات الضخمة لتسهيل التحليلات المتقدمة على كميات كبيرة من البيانات المُنظمة وغير المُنظمة، مع التنسيق المرتبط بها لإنشاء مستودع بيانات مركزي (على سبيل المثال، استخدام خوارزميات تحسين البيانات ومقارنتها لإجراء استعلامات على كميات كبيرة جدًا من البيانات، والتخزين في مستودع البيانات).
|
| | 2. | الأدوات والقدرات التحليلية لتعزيز المراقبة القائمة على القواعد (على سبيل المثال، تحليل التوجهات، وتحليل الكلمات الرئيسية، والتحليلات التنبؤية، وكشف الحالات الشاذة).
|
| | 3. | تراكب الذكاء الاصطناعي وخوارزميات التعلم الآلي (مثل مخطط انسيابي قراري (decision trees) أو مجموعة مخططات انسيابية قرارية(random forests) أو الشبكات العصبية(neural networks)) من أجل:
|
| | | أ. | تعزيز القدرة على اتخاذ القرار في النظام.
| |
| | | ب. | التنبؤ باحتمالية الاحتيال.
| |
| | | ج. | التعلم من الأنماط السابقة ومعرفة السلوك الاحتيالي والسلوك المشروع.
| |
| | 4. | تصور الشبكة/تحليلات الارتباط أو تحليل الكيان للكشف عن الاتصالات المخفية أو غير المعروفة سابقًا وتحديد الشبكات عبر مصادر بيانات مختلفة (على سبيل المثال، تحديد الاتصالات من الأجهزة أو عناوين بروتوكول الإنترنت المعروفة بأنها تم استخدامها لأغراض احتيالية والربط مع نقاط بيانات أخرى لإعداد درجة تهديد مرتبطة بالشبكة، من خلال النظر في الموقع، وبطاقات الدفع المُستخدمة، والمستفيدين وما إلى ذلك).
|
| | 5. | تحليل البيانات الخارجية الإضافية غير المُنظمة (مثل وثائق العملاء الممسوحة ضوئيًا) لتوسيع مصادر البيانات.
|
| ح. | عند تحديد انحراف عن أنماط سلوك المستخدم الأساسية، يجب على المؤسسات المالية إما:
| |
| | 1. | تتطلب المزيد من المصادقة للمستخدم أو تعليماتهم.
|
| | 2. | إنشاء تنبيه لإجراء مزيد من التحقيقات لتحديد ما إذا كان قد حدث احتيال.
|
| ط. | لضمان فعالية وتحسين أنظمة كشف الاحتيال، يجب على المؤسسات المالية:
| |
| | 1. | معايرة واختبار سيناريوهات الكشف للتحقق من العمل وفق التصميم وتمكين المراقبة وفقًا لقدرة المؤسسات على تحمل المخاطر (على سبيل المثال، مراجعة منطق القواعد، واختبار الحد، واختبار الدقة والاستدعاء).
|
| | 2. | تنفيذ حلقات الملاحظات والتعقيبات لرصد وتعزيز أداء الأنظمة وفعالية السيناريوهات والمعايير من خلال مراجعة الإيجابيات والسلبيات الزائفة والتنبيهات التي حددت الاحتيال.
|
| | 3. | مراجعة السيناريوهات والمعايير دوريًا للتأكد من أنها تظل مناسبة في ضوء الرؤى التي تم جمعها في مراقبة الاستخبارات و/أو نتائج تقييم مخاطر الاحتيال.
|
| | 4. | اختبار فعالية الأنظمة دوريًا، من خلال تدابير الضبط والمعايرة المستمرة مثل تخطيط البيانات والتحقق من صحة المدخلات، والتحقق من صحة النموذج، واختبار فعالية السيناريو وإعداد التقارير.
|
| | 5. | تحديث أنماط وقواعد سلوك المستخدم لمراعاة أحدث التهديدات وأنواع الاحتيال.
|
| | 6. | الاحتفاظ بسجل موثق للتغييرات التي تم إجراؤها على التكوين أو القواعد والأساس المنطقي للقرار.
|
| | 7. | مراقبة التغييرات غير المصرح بها على النظام (على سبيل المثال، التلاعب بالقواعد أو تعطيل المراقبة).
|
| ي. | يجب أن تتضمن أنظمة كشف الاحتيال القدرة على مراقبة المقاييس والمعلومات الإدارية والإبلاغ عنها فيما يتعلق بما يلي:
| |
| | 1. | سلامة البيانات.
|
| | 2. | فعالية القاعدة والسيناريو (على سبيل المثال، المعدل الإيجابي الزائف).
|
| | 3. | الأداء التشغيلي.
|
