6. الاستجابة
تُعد الاستجابة الفعالة في الوقت المناسب لحوادث الاحتيال الفعلية أو المشتبه فيها أمرًا أساسيًا لتقليل الخسائر وزيادة فرص التعافي. في حالة الاشتباه في الاحتيال أو كشفه، يلزم وجود خطة قوية للاستجابة للاحتيال تتضمن إجراءات واضحة لإدارة الاستجابة، مما يتيح إجراء تحقيق فعال؛ وتنفيذ حل سريع وعادل؛ واتخاذ الإجراءات التصحيحية عند الاقتضاء. بعد الحل، من المهم تقييم السبب الجذري للحادث وتقييم فعالية أطر التحكم لتجنب تكراره.
الشكل 7 - مجال الاستجابة
1.6. خطة الاستجابة للاحتيال
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على خطة الاستجابة للاحتيال لمعرفة الاستجابة التنظيمية لحادث احتيال فعلي أو مشتبه به.
متطلبات الرقابة
أ. يجب وضع خطة الاستجابة للاحتيال والموافقة عليها وتنفيذها وحفظها ومواءمتها مع عملية إدارة حوادث المؤسسة حيثما كان ذلك مناسبًا.
ب. يجب مراقبة الامتثال لخطة الاستجابة للاحتيال.
ج. يجب قياس فعالية خطة الاستجابة للاحتيال والضوابط ذات الصلة وتقييمها بشكل دوري.
د. يجب أن تتطلب خطة الاستجابة للاحتيال تقييمًا سريعًا ومختصًا، والتحقيق، وحل جميع حالات الاحتيال المشتبه فيها أو التي تم تحديدها.
هـ. يجب أن تتضمن خطة الاستجابة للاحتيال كحد أدنى ما يلي:
1. الطرق التي يتم من خلالها تنبيه المؤسسة المالية إلى حالات الاحتيال المشتبه فيها أو المحددة، بما في ذلك قنوات الإبلاغ المتاحة للعملاء والموظفين والأطراف الخارجية.
2. الأدوار والمسؤوليات للأفراد والفرق المطلوبة للرد على الاحتيال المحتمل.
3. سلطة اتخاذ القرار وإجراءات الإحالة للتصعيد داخل وخارج المؤسسة المالية (على سبيل المثال، الإحالة إلى المتخصصين في الحالات المعقدة، والإدارة العليا في حالات الاحتيال المادي المحتملة، والاستشارة الخارجية إذا كانت هناك مخاوف قانونية).
4. اتفاقيات مستوى الخدمة للرد على تقارير الاحتيال الأولية.
5. إجراءات الاستجابة السريعة لحالات الاحتيال المحتملة التي تحددها المؤسسة المالية، والتي أبلغها العميل أو أبلغتها المؤسسات الأخرى. ويجب أن يشمل ذلك تدابير احترازية لتجميد الأموال الواردة حتى يتم التحقق من سلامة المصدر إذا كان هناك شك في أن المعاملات الواردة هي نتيجة للاحتيال.
6. الإجراءات التي ستتخذها المؤسسة المالية عند الاشتباه في الاحتيال أو تحديده، بما في ذلك على سبيل المثال لا الحصر:
أ. تنسيق الموارد المناسبة لإدارة حجم التنبيهات والحالات.
ب. تسجيل وإجراء تقييم أولي لجميع التنبيهات أو التقارير المُقدمة رسميًا عن الاحتيال.
ج. عند تقييم التنبيه أو الإحالة على أنها لا تتطلب مزيدًا من التحقيق، يجب تسجيل الأساس المنطقي الذي يشرح القرار.
د. التحقيق في جميع الحالات التي يشتبه في ارتكاب عمليات احتيال فيها أو تم تحديدها.
هـ. الاحتفاظ بسجل شامل لجميع الأدلة والتحقيقات المتعلقة بالاحتيال المحتمل والفعلي لفترة محددة في جدول الاحتفاظ بالسجلات الخاص بالمؤسسة المالية وبما يتوافق مع المادة 12 من نظام مكافحة غسل الأموال.
7. العملية الواجب اتباعها في حالة اكتشاف حادث احتيال محتمل خارج ساعات العمل العادية للمؤسسة المالية.
8. شرط الشروع في استجابة فورية عند تحديد عملية احتيال محتملة لأمن نقاط النهاية للدفع بالجملة.
9. عندما يتعلق الاحتيال الفعلي أو المحتمل بالخدمات المُقدمة للعميل أو الدفع إلى/من مؤسسة مالية أو عميل، يجب أن تتطلب خطة الاستجابة للاحتيال من المؤسسات المالية ما يلي:
أ. تحديد ما إذا كانت المعاملة الاحتيالية المحتملة قد اكتملت أو أنها في طور الاكتمال.
ب. إذا لم تكتمل المعاملة: اتخاذ إجراء فوري لمنع المعاملة أو تعليقها والتنسيق بشكل استباقي مع أي من المؤسسات المالية المعنية لاتخاذ الإجراءات المطلوبة مع الأخذ في الاعتبار دور غرفة المشاركة - مركز العمليات.
ج. الاستجابة الاستباقية للطلبات المتعلقة بالمعاملات الاحتيالية المشتبه بها عند تلقي إخطار من مؤسسة مالية أخرى بناءً على البروتوكولات المتفق عليها لغرفة المشاركة - مركز العمليات.
د. حظر المنتج أو تجميده (أو أي خدمات مرتبطة به مثل بطاقات الائتمان أو بطاقات الخصم المُخترقة) لمنع المزيد من المعاملات حتى اكتمال التحقيق، وعند الضرورة تتم إعادة تعيين بيانات اعتماد الأمان أو إصدار بطاقة جديدة.
هـ. منع أي معاملات أخرى من أو إلى أي أرقام حسابات مصرفية دولية خارج المؤسسة المالية والتي تم استخدامها لارتكاب عملية الاحتيال ومشاركة رقم الحساب المصرفي الدولي مع المؤسسة الخارجية لتجميد الحساب.
و. التعاون مع المؤسسات الأخرى في حال تلقي طلب تجميد منتج، وكانت هناك مبررات للاشتباه.
ز. إذا اكتملت المعاملة وأثبت التحقيق أن المعاملة احتيالية: إلغاء المعاملة أو طلب استرداد الأموال حيثما أمكن ذلك.
ح. الاتصال بالعميل أو الطرف الخارجي لإبلاغه بالإجراءات المُتخذة والخطوات التالية.
ط. التحقق من هوية العميل قبل إعادة تفعيل الخدمات بعد تجميد الحساب بسبب تعرضه لعملية احتيال.
2.6. التنبيه وإدارة الحالات
المبدأ
يجب على المؤسسات المالية تنفيذ وصيانة نظام إدارة الحالات لإدارة الاستجابة للاحتيال. من شأن ذلك أن يسهّل تسجيل ورصد وتخزين البيانات المتعلقة بالتقييم والتحقيق وتسوية حالات الاحتيال المشتبه فيها والمحددة.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تنفيذ وحفظ نظام إدارة الحالات لإدارة الاستجابة للاحتيال والعمل كقاعدة بيانات لبيانات حالات الاحتيال.
ب. يجب استخدام نظام إدارة الحالات لتسجيل ومراقبة تنبيهات الاحتيال المشتبه بها والتقارير الداخلية والخارجية والتحقيقات في الحالات بدءًا من التقييم الأوليّ وحتى الحل.
ج. يجب أن يتمتع نظام إدارة الحالات بالقدرة على:
1. تقييد وصول المستخدم إلى الأفراد والأدوار المصرح لهم.
2. إعداد مسار عمل يتماشى مع النموذج التشغيلي الخاص بالمؤسسة المالية.
3. قابلية التهيئة للتكيف مع التغييرات في النموذج التشغيلي للمؤسسة المالية أو خطة الاستجابة للاحتيال.
4. إسناد الحالات إلى المسؤولين عنها.
5. تصنيف حالات الاشتباه بالاحتيال للاسترشاد بذلك في إعداد التقارير وتحليل التوجهات.
6. تتبع الحالة من التنبيه الأوليّ أو الإبلاغ إلى الحل.
7. تسجيل خطوات التحقيق المتبعة.
8. العمل كمستودع لجميع المعلومات المطلوبة للتحقيق في قضية الاحتيال وحلها (على سبيل المثال، معلومات الأطراف ذات الصلة، ومذكرات الحالات، والأدلة الوثائقية، واتصالات العملاء، والأساس المنطقي لاتخاذ القرار).
9. تسجيل النتيجة عند حل القضية، بما في ذلك أي خسائر وإجراءات تصحيحية.
10. حفظ السجلات بما يتماشى مع جدول الاحتفاظ بالسجلات الخاص بالمؤسسة المالية.
د. يجب أن يتطلب نظام إدارة الحالات تسجيل المعلومات الإدارية والسماح باستخراجها للإبلاغ عن حالات الاحتيال، بما في ذلك على سبيل المثال لا الحصر:
1. تنبيه المعرَّف الفريد (حيثما ينطبق ذلك).
2. المعرَّف الفريد لمعاملة الاحتيال.
3. تاريخ التنبيه أو الإخطار الأوليّ.
4. تاريخ ووقت المعاملات الاحتيالية.
5. اسم العميل ورقم الحساب.
6. وضع الحالة.
7. مصدر الحادث (على سبيل المثال، الموقع الإلكتروني أو حساب على وسائل التواصل الاجتماعي أو رقم الهاتف الذي يستخدمه المحتال).
8. القناة المُستخدمة في المعاملات الاحتيالية.
9. الأطراف ذات الصلة.
10. معلومات عن المحتال (على سبيل المثال، عنوان بروتوكول الإنترنت، ومعرف الجهاز، وتحديد الموقع الجغرافي).
11. نتيجة التحقيق.
12. الإجراءات التصحيحية.
13. قيمة الاحتيال.
14. الخسائر (التجارية وغير التجارية).
15. الأساليب المُستخدمة لمعرفة الاحتيال/نوع الاحتيال (على سبيل المثال، كيفية ارتكاب الاحتيال، وأين تم تحويل الأموال في حالة فقدانها).
3.6. التحقيق في الاحتيال
المبدأ
يجب على المؤسسات المالية تحديد معيار التحقيق في الاحتيال والموافقة عليه وتنفيذه وحفظه لتوجيه نهج ثابت للتحقيق في الاحتيال.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد معيار التحقيق في الاحتيال والموافقة عليه وتنفيذه وحفظه.
ب. يجب مراقبة الامتثال لمعايير التحقيق في الاحتيال.
ج. يجب قياس فعالية معيار التحقيق في الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
د. يجب أن يوجه معيار التحقيق في الاحتيال نهجًا متسقًا للتحقيق في الاحتيال، بما في ذلك على سبيل المثال لا الحصر:
1. إسناد الحالة لفرد أو فريق يتمتع بالمهارات والخبرة المطلوبة.
2. تقييم حساسية الوقت فيما يتعلق بعملية الاحتيال أو الاحتيال المحتمل (على سبيل المثال، هل ستزداد الخسائر إذا لم يتم حل القضية، أو هل تُرِك العميل دون إمكانية الحصول على أمواله).
3. تقييم الأهمية الجوهرية للاحتيال أو الاحتيال المحتمل (على سبيل المثال، عدد العملاء المتأثرين، والخسائر المحتملة، والتهديد النظامي).
4. جمع وتحليل المعلومات لمراجعة الاشتباه في الاحتيال (على سبيل المثال، معلومات المعاملة، وعناوين بروتوكولات الإنترنت المُستخدمة، وتسجيلات الهاتف، ولقطات الدوائر التلفزيونية المغلقة).
5. التعاون مع الخبراء المتخصصين الداخليين المعنيين وأصحاب المصلحة (مثل الشؤون القانونية والسيبرانية والموارد البشرية والجرائم المالية) وتشكيل فريق تحقيق متعدد التخصصات عند الاقتضاء.
6. تقييم المهارات المطلوبة لإجراء التحقيق في الحالات الأكثر تعقيدًا (مثل المحاسبة الجنائية، وتحليل البيانات).
7. التواصل مع العميل أو الأطراف الخارجية للحصول على مزيد من المعلومات.
8. التنسيق مع المؤسسات المالية الأخرى لتبادل المعلومات.
9. توثيق خطوات التحقيق المُتخذة.
10. إدارة وحفظ المعلومات التي تم جمعها.
11. تقييم ما إذا كان قد حدث احتيال وانتهاء التحقيق أو إغلاقه.
12. تسجيل نتيجة التحقيق.
13. إعداد تقرير حالة والإبلاغ داخليًا عن نتائج التحقيق عند الاقتضاء.
14. اتخاذ الإجراءات التصحيحية عند انتهاء التحقيق.
15. تحديد الإخطارات الخارجية المطلوبة (على سبيل المثال، الاتصال بسلطات إنفاذ القانون، وإخطار وكالات الائتمان المرجعية، وإبلاغ البنك المركزي، وإبلاغ الإدارة العامة للاستخبارات المالية إذا كان لدى المؤسسة المالية أي شك يصل إلى المستوى المنصوص عليه في المادة 15 من نظام مكافحة غسل الأموال والمادة 17 من نظام مكافحة جرائم الإرهاب وتمويله).
16. تحديد السبب الجذري لحوادث الاحتيال والأخطاء الوشيكة.
17. استخلاص الدروس المستفادة وتقديم التعقيبات إلى:
أ. إدارة مكافحة الاحتيال.
ب. الفريق المسؤول عن تطوير وصيانة أنظمة مكافحة الاحتيال.
ج. مسؤولو الأعمال بشأن المعايير والعمليات والضوابط التي يتم فيها تحديد الثغرة الأمنية.
د. المراقبة الاستخباراتية.
هـ. يجب أن يتطلب معيار التحقيق في الاحتيال اتخاذ الإجراءات التصحيحية عند الاقتضاء عند إنجاز التحقيق في الاحتيال.
4.6. معالجة الاحتيال
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتحديد السبب الجذري لحادث الاحتيال، وتحديد أي دروس مستفادة واتخاذ الإجراءات التصحيحية لمنع تكرار الحوادث.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتحديد السبب الجذري لحادث الاحتيال في نهاية التحقيق. كحد أدنى، يجب أن تتضمن العملية ما يلي:
1. فهم نقطة الثغرة (على سبيل المثال، القناة التي تم استخدامها لارتكاب عملية الاحتيال أو السيطرة على الحساب).
2. تحديد ما إذا كان من الممكن أن تكون أطراف أخرى متورطة في عملية الاحتيال (على سبيل المثال، موظفين إضافيين من خلال التواطؤ أو أشخاص معروفين للعميل).
3. مراجعة ما إذا كانت المراقبة الوقائية قد فشلت أو قد تجاوزها الموظف.
4. تقييم ما إذا كان الاحتيال قد تم تحديده بشكل استباقي من خلال مراقبة المباحث أو الاعتماد على إشعار العميل التفاعلي.
ب. بعد تحديد السبب الجذري، يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لتحديد الدروس المستفادة وتوجيه الإجراءات التصحيحية لمنع تكرارها. كحد أدنى، يجب أن تتضمن العملية ما يلي:
1. تجميع البيانات التي قد تدعم تحليل الأنماط في حالات الاحتيال، بما في ذلك على سبيل المثال لا الحصر، عناوين بروتوكولات الإنترنت المُستخدمة وحسابات المستفيدين ومعرفات الأجهزة ذات الصلة.
2. تقييم ما إذا كانت هناك فجوة في إطار الرقابة الحالي.
3. تحديد ما إذا كانت الإدارات الأخرى في المؤسسة المالية تعاني من نفس الثغرة الأمنية.
4. تقييم ما إذا كانت المشكلة يمكن أن تؤثر على المؤسسات المالية الأخرى ومشاركة المعلومات ذات الصلة التي قد تمنع تكرارها (على سبيل المثال، المواقع المزيفة التي تنتحل صفة جهات حكومية أو حسابات وسائل التواصل الاجتماعي).
5. توثيق الإجراءات التصحيحية لمعالجة السبب الجذري ومنع تكراره.
ج. يجب على المؤسسات المالية اتخاذ إجراءات تصحيحية لمعالجة السبب الجذري و/أو تأثير حادث الاحتيال، وقد تشمل تلك الإجراءات على سبيل المثال لا الحصر:
1. تنفيذ عنصر رقابة جديد أو تحسين عنصر رقابة قائم.
2. توفير التدريب أو تقديم مواد توعوية جديدة لتعزيز وعي الموظفين أو العملاء أو الطرف الخارجي.
3. إعادة ضحية الاحتيال إلى الوضع الذي كانت عليه قبل وقوع الحادث (على سبيل المثال، تعويض الأموال المسروقة، رد المبالغ المدفوعة، استرداد دفعة احتيال، سداد المدفوعات للطرف الخارجي).
4. تقديم الدعم لضحية الاحتيال (على سبيل المثال، إبلاغه بالخطوات التالية، وتوفير بطاقة جديدة، وتوعية الضحية).
5. محاولة استرداد الأموال أو الأصول.
6. إنهاء العلاقة مع العميل أو الطرف الخارجي إذا تبين أنه مرتكب عملية الاحتيال.
7. الإجراءات التأديبية الداخلية حيث يتم تحديد الاحتيال الداخلي.
8. التواصل مع سلطات إنفاذ القانون.
د. يجب أن يتم تتبع قبول الإجراءات التصحيحية وتنفيذها من قبل إدارة مكافحة الاحتيال، مع التصعيد إلى لجنة الحوكمة المختصة بمكافحة الاحتيال حيث يتم رفض الإجراءات من الشركة أو تأخير الإجراء الإصلاحي.