رابعًا: سياسة وإجراءات إسناد المهام إلى طرف ثالث
15. يجب أن تغطي السياسة والإجراءات بحد أدنى جميع المتطلبات الواردة أدناه:
ح) تقييم خيارات إسناد المهام إلى طرف ثالث
16- عند تقييم البنك لخيارات إسناد مهام أو أنشطة عمل أساسي لطرف ثالث، يجب عليه أن يكون قادر على أن يقدم للبنك المركزي ما يثبت أنه قد قام بما يلي:
(أ) إعداد دراسة وتحليل للمشروع الخاص بإسناد المهام أو الأنشطة الأساسية لطرف ثالث.
(ب) تحليل أثر إسناد المهام إلى طرف ثالث في سجل المخاطر بمجمله، وأثره في النظم والضوابط داخل البنك.
(ج) طرح مناقصة أو اتباع طريقة أخرى لاختيار الطرف الثالث مزود الخدمة.
(د) مراجعة إجراءات العناية الواجبة الخاصة بالطرف الثالث مزود الخدمة الذي وقع الاختيار عليه، ويشمل ذلك قدراته المالية والفنية ومعاييره الأخلاقية.
(هـ) النظر في المخاطر التي تنشأ عند إسناد عدة أنشطة لطرف ثالث مزود للخدمة واحد.
(و) إشراك المجلس أو من يفوضه أو لجنة المجلس في اعتماد الاتفاقية.
(ز) وضع اتفاقية شاملة لإسناد المهام إلى طرف ثالث.
(ج) وضع إجراءات لمتابعة تنفيذ اتفاقية إسناد المهام إلى طرف ثالث على أساس مستمر.
(ط) التطرق لعملية تجديد اتفاقيات إسناد المهام إلى طرف ثالث والطريقة التي يتم بها التجديد.
(ي) وضع خطط طوارئ تمكن البنك من إيجاد طرف ثالث مزود للخدمة بديل يتولى تنفيذ المهام أو أنشطة العمل المسندة أو تنفيذها داخلياً من قبل البنك إذا اقتضت الحاجة.
17- على البنك ضمان عدم حصول تضارب في المصالح في عملية ترسية عقود إسناد المهام إلى طرف ثالث، ويتعين عليه أيضًا الإفصاح للبنك المركزي عن أي انتماء أو علاقة تربط بينه وبين الطرف الثالث مزود الخدمة.
ط) الترتيبات التعاقدية
18- يتعين على البنك توثيق جميع ترتيباته لإسناد المهام إلى طرف ثالث من خلال اتفاقية كتابية ملزمة قانونيًّا. ويجب أن يتضمن العقد بحد أدنى ما يلي:
(أ) نطاق العقد.
(ب) الوضع التنظيمي (كيان قانوني مسجل) للطرف الثالث مزود الخدمة.
(ج) مستويات الخدمة ومتطلبات الأداء.
(د) إجراءات المراجعة والرقابة.
(هـ) خطط استمرارية الأعمال.
(و) ترتيبات التعثر وبند الإلغاء والحد الأدنى للفترات التي يتعين خلالها تنفيذ أحكام الإلغاء، ويجب أن يتم في البند مراعاة حالة الإعسار أو أية تغيرات أساسية.
(ز) التسعير وهيكل العمولات.
(ح) آليات تسوية النزاعات.
(ط) المسؤولية والتعويض.
(ي) السرية والخصوصية وأمن المعلومات.
(ك) ضمان إمكانية الوصول للبنك المركزي ومراجعين البنك الداخليين والخارجيين.
(ل) الالتزام بجميع المتطلبات التنظيمية والقانونية السارية.
(م) الالتزامات التعاقدية للطرف الثالث مزود الخدمة في حال تعاقده من الباطن لتنفيذ بعض أو جميع ترتيبات إسناد المهام إلى طرف ثالث.
(ن) آليات الإبلاغ والتصعيد.
(س) التزام الطرف الثالث مزود الخدمة بإبلاغ البنك عن أي نقاط ضعف في الضوابط أو أي تطورات سلبية في أدائه المالي.
(ع) التزام الطرف الثالث مزود الخدمة الأجنبي بالتأكيد على عدم وجود عوائق تنظيمية تعيق إمكانية الاطلاع على البيانات والسجلات بموجب الفقرتين 33 و34 من هذه التعليمات.
19- يجب أن يكون العقد قابلًا للتجديد وأن يسمح بإعادة التفاوض وأن يتضمن أحكامًا للإلغاء بسبب التعثر والانسحاب المبكر حتى يتسنى للبنك الاحتفاظ بسلطته على المهام أو الأنشطة المسندة إلى طرف الثالث مزود الخدمة، ويجب أن يشتمل أيضًا على أحكام تقضي بمنع التعاقد من الباطن فيما يخص إسناد المهام الأساسية بموجب العقد دون الحصول على موافقة مسبقة من البنك وعدم ممانعة من البنك المركزي.
20- يجب أن يتضمن العقد كذلك بندًا يقضي بمنح البنك المركزي حق الوصول إلى الوثائق والسجلات المحاسبية ذات العلاقة بترتيبات إسناد المهام إلى طرف ثالث، وأن يلزم العقد الطرف الثالث مزود الخدمة بالتعاون مع االبنك المركزي.
21- يفضل أن ينص العقد على أن المملكة العربية السعودية هي دولة الاختصاص.
22- يتعين على البنك اعتماد آلية داخلية محددة من أجل استقبال وتسوية أي شكاوى من العملاء بشأن خدماته المسندة إلى طرف ثالث مزود للخدمة، ويجب أن يضم عقد إسناد المهام إلى طرف ثالث بنودًا ملائمةً تضمن قيام الطرف الثالث مزود الخدمة بتيسير آلية التسوية.
ي) إسناد المهام الأساسية لطرف ثالث
23- تُرفع المقترحات المتعلقة بجميع ترتيبات إسناد المهام الأساسية -كتابيًا- إلى البنك المركزي للحصول على عدم ممانعته، ويكون الرفع قبل الموعد المقترح لبدء تنفيذ ترتيبات إسناد المهام بخمسة عشر يوم عمل للبنوك المحلية وثلاثين يوماً للبنوك الأجنبية - بحد أدنى.
ك) سرية البيانات وأمنها
24- على البنك قبل تقديم معلومات العملاء وبياناتهم المالية إلى الطرف الثالث مزود خدمة التأكد من تماشي ترتيبات إسناد المهام إلى طرف ثالث المقترحة مع المتطلبات النظامية ذات العلاقة المرتبطة بسرية معلومات العملاء، وبالتحديد أحكام المادة 19 من نظام مراقبة البنوك الصادر في 1386/2/22هـ واللوائح والتعليمات الصادرة عن البنك المركزي إضافةً إلى الأنظمة المحلية ذات العلاقة.
25- على البنك وضع ضمانات مناسبة لسلامة معلومات العملاء وبياناتهم المالية، والحفاظ على سريتها.
26- عند إلغاء رتيب وعقد إسناد المهام إلى طرف ثالث، يجب على البنك التأكد من استرداد جميع البيانات الحساسة والسرية من الطرف الثالث مزود الخدمة أو إتلافها بطريقة منظمة، مع إبلاغ البنك المركزي فورًا عن جميع الحالات المستثناة.
ل) الضوابط والرقابة على إسناد المهام إلى طرف ثالث
27- على البنك وضع هيكل داخلي لضبط جميع ترتيبات إسناد المهام إلى طرف ثالث ومراقبتها وإدارتها على نحو فعال، ولرفع تقارير للإدارة العليا في الوقت المناسب، ويكون ذلك بحسب مستوى ترتيبات إسناد المهام إلى طرف ثالث ودرجة تعقيدها.
28- في حال كان مستوى أداء الطرف الثالث مزود الخدمة متدنيًّا، يجب على البنك حساب التكاليف الإضافية المحتملة التي قد تنتج من قرار البنك الاستعاضة عن الطرف الثالث مزود الخدمة بآخر أو تنفيذ المهمة داخليًّا أو حتى التخلي عنها. وعلى البنك التفاوض بشأن تلك الاحتمالات وتوضيحها في العقد.
م) تقييم المخاطر
29- على مجلس الإدارة التأكد من وجود السياسات والإجراءات ذات العلاقة التي تخضع بموجبها جميع ترتيبات إسناد المهام إلى طرف ثالث الحالية والمقترحة لعملية شاملة لدراسة المخاطر. وينبغي أن تحدد عملية دراسة المخاطر وتقيّم التعرض للمخاطر التشغيلية، والمخاطر القانونية، والمخاطر المالية، ومخاطر السمعة، والمخاطر التنظيمية، وكذلك استراتيجيات تخفيف المخاطر. ويتم إجراء هذه العملية من خلال ما يلي:
(أ) إجراء تقييم شامل لمخاطر إسناد المهام إلى طرف ثالث ابتداءً وعند كل عملية تجديد لاحقة.
(ب) تقييم مخاطر إسناد المهام إلى طرف ثالث في بداية عملية الإسناد ثم مراجعتها عند التجديد فقط في حال تغير نطاق الإسناد أو وقوع أخطاء تشغيلية أو غير ذلك.
30- عند تحليل مشروع إسناد المهام إلى طرف ثالث ومدى ملاءمة الطرف الثالث مزود الخدمة، يجب أن يعتمد مستوى إجراءات العناية الواجبة ودرجتها على طبيعة الترتيبات لإسناد المهام إلى طرف ثالث، فعلى سبيل المثال، يستلزم إسناد المهام الأساسية إلى طرف ثالث تطبيق إجراءات شمولية أكثر. وكحدٍ أدنى، يجب على البنك:
(أ) ضمان امتلاك الطرف الثالث مزود الخدمة القدرة والصلاحيات اللازمة لأداء المهمة المسندة إليه بثقة ومهنية.
(ب) إيجاد طريقة لتقييم الطرف الثالث مزود الخدمة دوريًا.
(ج) المحافظة على الخبرات اللازمة للإشراف على المهام المسندة إلى طرف ثالث بفاعلية.
ن) إدارة استمرارية الأعمال
31- على البنك ضمان ألا يكون في ترتيبات إسناد المهام إلى طرف ثالث ما يشكل تهديدًا لاستمرارية أعماله. وفيما يتعلق بإسناد المهام الأساسية إلى طرف ثالث، يجب أن يكون لدى البنك خطة طوارئ منفصلة لكل ترتيب من ترتيبات إسناد المهام إلى طرف ثالث بحيث تحدد الخطة الإجراءات التي ينبغي اتباعها في حال إلغاء الترتيب بصورة مفاجئة أو عدم قدرة الطرف الثالث مزود الخدمة على الوفاء بالتزاماته بموجب اتفاقية إسناد المهام إلى طرف ثالث لأي سبب كان.
32- يجب على البنك أن يوثق في خطة الطوارئ الخاصة به مدى وجود بدلاء للطرف الثالث مزود الخدمة أو الإجراءات والوقت الذي يتطلبه اختيار طرف ثالث بديل، ويجب عليه أيضًا وضع إجراءاتٍ لاتباعها في حال ما إذا قرر تنفيذ المهمة المسندة إلى طرف ثالث داخليًّا وذلك لجميع عقود إسناد المهام "الأساسية" إلى طرف ثالث.
س) إمكانية الوصول إلى بيانات إسناد المهام إلى طرف ثالث.
33- يتعين على البنك ضمان أن يتيح للبنك المركزي إمكانية الوصول غير المقيد وفي الوقت المناسب إلى سجلات إسناد المهام إلى طرف ثالث الحالية والدقيقة، وذلك بموجب المادتين 17 و18 من نظام مراقبة البنوك الصادر بتاريخ 1386/2/22 هـ (1966/6/11م)
34- يتعين على البنك أيضًا، ضمان أن يتيح للبنك المركزي إمكانية الوصول غير المقيد إلى البيانات المتصلة بترتيبات إسناد المهام إلى طرف ثالث إذا كانت في مقر الطرف الثالث مزود الخدمة، ويجب أن يتمتع البنك المركزي ومراجعي البنك بحق هذا الوصل.
ع) مراقبة علاقة إسناد المهام إلى طرف ثالث
35- يتعين على البنك ضمان وجود الموارد الكافية والمناسبة لإدارة علاقة إسناد المهام إلى طرف ثالث ومراقبتها. ويعتمد نوع الموارد اللازمة ومقدارها على مدى أهمية المهام أو أنشطة الأعمال المسندة للطرف ثالث. ويجب أن تتضمن عملية المراقبة بحدٍ أدنى ما يلي:
(أ) البقاء على تواصل منتظم بصورة ملائمة مع الطرف الثالث مزود الخدمة. وقد يتراوح ذلك من التواصل اليومي على المستوى التشغيلي وصولًا إلى التواصل على مستوى الإدارة العليا.
(ب) وضع إجراء لمراقبة الأداء بانتظام بموجب الاتفاقية، ويدخل في ذلك تلبية المعايير المتعلقة بمستوى الخدمة.
36- على البنوك إبلاغ البنك المركزي فورًا عن أي مخالفة للمتطلبات القانونية و/أو التنظيمية وعن أي تطورات سلبية أو مشكلات تؤثر في إسناد المهام إلى طرف ثالث. وينبغي أن يتم إبلاغ البنك المركزي أيضًا بالتدابير المقترحة والمتخذة لاستمرار الخدمات.
37- عند إلغاء اتفاقية إسناد مهام أساسية إلى طرف ثالث، يجب على البنك إشعار البنك المركزي فورًا وتزويده ببيان يتضمن ترتيبات الانتقال والاستراتيجيات المستقبلية الخاصة بتنفيذ مهام أو أنشطة الأعمال الأساسية المسندة.
ف) ترتيبات المراجعة
38- يجب على إدارة المراجعة الداخلية في البنك مراجعة أنشطة إسناد المهام الأساسية بصورة منتظمة، وتقييم مدى الالتزام بسياسة إسناد المهام إلى طرف ثالث ورفع تقارير عن ذلك لمجلس الإدارة أو للجنة المراجعة التابعة للمجلس.
39- قد يطلب البنك المركزي من خبير خارجي مناسب تقييم إجراءات إدارة المخاطر المتبعة بشأن إسناد المهام أو الأنشطة الأساسية إلى طرف ثالث مزود للخدمة. ومن المجالات التي قد تدخل ضمن ذلك: نظم تقنية المعلومات وأمن البيانات وأطر الرقابة الداخلية وخطط استمرارية الأعمال.
ص) متطلبات التوثيق
40. على البنك الاحتفاظ بسجل محدّث بجميع ترتيباته لإسناد المهام إلى طرف ثالث. يجب أن يشمل توثيق ترتيبات إسناد المهام إلى طرف ثالث كحد أدنى المعلومات التالية:
بشأن ترتيبات إسناد المهام إلى طرف ثالث:
(أ) رقم مرجعي لكل ترتيب إسناد مهام إلى طرف ثالث.
(ب) وصف موجز عن المهمة المسندة إلى طرف ثالث.
(ج) تحديد ما إذا كانت المهام أساسية أم لا وسبب اعتبارها كذلك وتاريخ آخر تقييم لها.
(د) تحديد ما إذا كان الطرف الثالث مزود الخدمة يقوم بمعالجة بيانات شخصية أو سرية أو نقلها أو الاحتفاظ بها أم لا.
بشأن الطرف الثالث مزود الخدمة:
(أ) اسمه وعنوانه المسجل.
(ب) موقعه.
إضافةً إلى ذلك، يتعين أن يشمل سجل إسناد المهام إلى طرف ثالث المعلومات التالية على الأقل فيما يتعلق بإسناد المهام الأساسية:
(أ) تاريخ آخر تقييم للمخاطر وملخص عن النتائج الرئيسية.
(ب) المسؤول أو الجهة أو اللجنة المعنية باتخاذ القرار في البنك التي اعتمدت ترتيبات الإسناد.
(ج) تاريخ البدء، وحسب الاقتضاء، تاريخ الانتهاء و/أو فترات الإشعار.
(د) تاريخ آخر عملية مراجعة وتاريخ المراجعة التالية، حيثما ينطبق ذلك.