1.3 حوكمة تقنية المعلومات والقيادة
يكون مجلس إدارة المؤسسات المالية مسؤول في نهاية المطاف عن وضع حوكمة تقنية المعلومات (IT) وضمان إدارة مخاطر تقنية المعلومات بفعالية داخل المؤسسة المالية. ويمكن لمجلس إدارة المؤسسة المالية تفويض مسؤوليات حوكمة تقنية المعلومات إلى الإدارة العليا أو اللجنة التوجيهية لتقنية المعلومات (اللجنة التوجيهية). وقد تتحمل اللجنة التوجيهية مسؤولية تحديد حوكمة تقنية المعلومات ووضع استراتيجية تقنية المعلومات في المؤسسة المالية.
1.1.3 حوكمة تقنية المعلومات
المبدأ
يجب تحديد هيكل حوكمة تقنية المعلومات وإقراره ودعمه بالموارد المناسبة للإشراف على النهج العام للمؤسسة المالية في مجال تقنية المعلومات ومراقبته.
متطلبات الرقابة
1. يجب على المؤسسات المالية تشكيل لجنة توجيهية لتقنية المعلومات وأن يتم تكليفها من قبل مجلس الإدارة.
2. وينبغي أن يرأس اللجنة التوجيهية مدير أول مسؤول عن عمليات المؤسسات المالية.
3. يجب أن تكون المناصب التالية ممثلة في اللجنة التوجيهية:
أ. كبار المديرين من جميع الإدارات ذات الصلة (على سبيل المثال، رئيس قسم المخاطر، والرئيس التنفيذي لأمن المعلومات، ومسؤول الامتثال، ورؤساء أقسام الأعمال ذات الصلة)؛
ب. الرئيس التنفيذي للمعلومات؛ و
ج. يجوز لمسؤول التدقيق الداخلي الحضور بصفته "مراقب".
4. يجب وضع ميثاق اللجنة التوجيهية والموافقة عليه وأن يتضمن ما يلي:
أ. أهداف اللجنة؛
ب. الأدوار والمسؤوليات؛
ج. الحد الأدنى لعدد المشاركين في الاجتماع؛
د. تواتر الاجتماعات (على الأقل كل ثلاثة أشهر)؛ و
ه. توثيق محاضر الاجتماعات والقرارات والاحتفاظ بها.
5. يجب تعيين مدير أول بدوام كامل لوظيفة تقنية المعلومات، يُشار إليه باسم الرئيس التنفيذي للمعلومات، على مستوى الإدارة العليا.
6. يجب على المؤسسات المالية القيام بما يلي:
أ. التأكد من أن الرئيس التنفيذي للمعلومات سعودي الجنسية؛
ب. التأكد من أن الرئيس التنفيذي للمعلومات مؤهل بشكل كافٍ؛ و
ج. الحصول على خطاب عدم ممانعة كتابي من البنك المركزي قبل تعيين الرئيس التنفيذي للمعلومات.
7. يجب على المؤسسات المالية أن تضع ممارسات رسمية للأنشطة المالية المتعلقة بتقنية المعلومات تغطي الميزانية والتكلفة وتحديد أولويات الإنفاق بما يتماشى مع الأهداف الاستراتيجية لتقنية المعلومات.
8. يجب مراقبة الميزانية الإجمالية لتقنية المعلومات ومراجعتها بشكل دوري وتعديلها وفقًا لذلك لتلبية احتياجات تقنية المعلومات والأعمال.
9. يجب على المؤسسات المالية تحديد أدوار ومسؤوليات الإدارة العليا وموظفي تقنية المعلومات باستخدام مصفوفة إسناد المسؤولية، والمعروفة أيضًا باسم مصفوفة المسؤولية والمحاسبة والاستشارة والتبليغ. ويجب أن تحدد مصفوفة المسؤولية والمحاسبة والاستشارة والتبليغ الأشخاص المسؤولين والخاضعين للمساءلة عن الوظائف، وكذلك الأشخاص الذين يجب استشارتهم أو وتبليغهم.
10. يجب على المؤسسات المالية تحديد البنية المؤسسية التي تعكس المكونات الأساسية للعمليات التجارية والطبقات التقنية الداعمة لها لضمان الاستجابة والفعالية في تحقيق الأهداف الاستراتيجية.
11. يجب على المؤسسات المالية تحديد دور مهندس تطبيقات المؤسسة ضمن وظيفة تقنية المعلومات لتحديد التغييرات المطلوبة في مجموعة التطبيقات عبر النظام البيئي للمؤسسات المالية.
12. يجب أن تكون الأدوار والمسؤوليات داخل وظيفة تقنية المعلومات على النحو التالي:
أ. موثقة ومعتمدة من قبل الإدارة؛ و
ب. منفصلة لتجنب تضارب المصالح.
13. يجب على المؤسسات المالية وضع خطة تعاقب رسمية لتقنية المعلومات بالتنسيق مع إدارة الموارد البشرية مع مراعاة الاعتماد على موظفي تقنية المعلومات الرئيسيين الذين يضطلعون بأدوار ومسؤوليات حرجة.
2.1.3 استراتيجية تقنية المعلومات
المبدأ
ينبغي تحديد استراتيجية تقنية المعلومات بما يتماشى مع الأهداف الاستراتيجية للمؤسسة المالية وبما يتوافق مع المتطلبات القانونية والتنظيمية.
متطلبات الرقابة
1. يجب تحديد استراتيجية تقنية المعلومات والموافقة عليها وصيانتها وتنفيذها.
2. ينبغي ترجمة المبادرات الإستراتيجية لتقنية المعلومات إلى خارطة طريق محددة مع الأخذ في الاعتبار ما يلي:
أ. يجب أن تتطلب المبادرات سد الفجوات بين البيئات الحالية والبيئات المستهدفة؛
ب. يجب دمج المبادرات في استراتيجية متسقة لتقنية المعلومات تتوافق مع استراتيجية العمل؛
ج. يجب أن تعالج المبادرات النظام البيئي الخارجي (شركاء المؤسسة، والموردين، والشركات الناشئة، وما إلى ذلك)؛ و
د. يجب أن تشمل تحديد التبعيات والتداخلات وأوجه التآزر والآثار بين المشاريع، وتحديد الأولويات.
3. يجب أن تتماشى استراتيجية تقنية المعلومات مع ما يلي:
أ. أهداف العمل الشاملة للمؤسسة المالية؛ و
ب. متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية.
4. يجب أن تتناول استراتيجية تقنية المعلومات على الأقل ما يلي:
أ. أهمية تقنية المعلومات وفوائدها بالنسبة للمؤسسة المالية؛
ب. بيئة الأعمال وتقنية المعلومات الحالية، والتوجه المستقبلي، والمبادرات المطلوبة للانتقال إلى بيئة الدولة المستقبلية؛ و
ج. الاعتمادات المتبادلة بين الأصول المعلوماتية الهامة.
5. يجب على المؤسسة المالية تحديد مخاطر تقنية المعلومات الاستراتيجية والناشئة في مجال تقنية المعلومات التي قد تؤثر على تحقيق الأهداف الاستراتيجية الشاملة على مستوى المؤسسة.
6. يجب على المؤسسات المالية تعزيز مجموعات المهارات والخبرات (التشغيلية والتقنية) للموارد الحالية من خلال توفير التدريب الدوري على التقنيات الناشئة، وإذا لزم الأمر توفير الموارد ذات الصلة بما يتماشى مع توجه المؤسسات المالية نحو الرقمنة.
7. يجب مراجعة استراتيجية تقنية المعلومات وتحديثها بشكل دوري أو عند حدوث تغيير جوهري في البيئة التشغيلية للمؤسسات المالية أو عند حدوث تغيير في استراتيجية العمل أو الأهداف أو عند تعديل القوانين واللوائح.
3.1.3 إدارة البنية المؤسسية
المبدأ
يجب تحديد البنية المؤسسية التي توضّح المكونات الأساسية لإجراءات الأعمال والبيانات وطبقات التقنية الداعمة لضمان الاستجابة والفعالية في تحقيق الأهداف الاستراتيجية لتقنية المعلومات في المؤسسات المالية.
متطلبات الرقابة
1. يجب تحديد هيكلية المؤسسة والموافقة عليها وتنفيذها.
2. يجب مراقبة الامتثال لهيكلية المؤسسة.
3. يجب أن تتناول هيكلية المؤسسة ما يلي، على سبيل المثال لا الحصر:
أ. مخطط استراتيجي للقدرات التقنية للمؤسسات؛
ب. تحديد الفجوات بين البنى الأساسية والبنى المستهدفة، مع الأخذ في الاعتبار كلاً من المنظورين التجاري والتقني؛ و
ج. القدرة على تلبية احتياجات العمل المتغيرة بطريقة كفوءة وفعالة.
4.1.3 سياسة وإجراءات تقنية المعلومات
المبدأ
يجب تحديد سياسة وإجراءات تقنية المعلومات والموافقة عليها وإبلاغها وتنفيذها لتحديد التزام المؤسسات المالية وأهدافها في مجال تقنية المعلومات وإبلاغها إلى أصحاب المصلحة المعنيين.
متطلبات الرقابة
1. يجب تحديد سياسة وإجراءات تقنية المعلومات والموافقة عليها وإبلاغها وتنفيذها.
2. يجب مراجعة سياسة وإجراءات تقنية المعلومات دوريًا مع مراعاة تطور المشهد التقني.
3. يجب وضع سياسة تقنية المعلومات مع الأخذ في الاعتبار المدخلات من سياسات المؤسسات المالية ذات الصلة (مثال - الأمن السيبراني، والمالية، والموارد البشرية).
4. يجب أن تتضمن سياسة تقنية المعلومات ما يلي:
أ. الأهداف والنطاق العام لتقنية المعلومات في المؤسسة المالية؛
ب. بيان نوايا المجلس، بما يدعم أهداف تقنية المعلومات؛
ج. تعريف المسؤوليات العامة والخاصة لتقنية المعلومات؛ و
د. الإشارة إلى المعايير والعمليات الوطنية /الدولية الداعمة لتقنية المعلومات (عند الاقتضاء).
5.1.3 الأدوار والمسؤوليات
المبدأ
يجب تحديد أدوار ومسؤوليات تقنية المعلومات وأن يتمتع جميع الأطراف المشاركة في عمليات تقنية المعلومات في المؤسسة المالية بمستوى كافٍ من الفهم للتوقعات المتعلقة بدورها.
متطلبات الرقابة
1. يكون المجلس مسؤولا عما يلي:
أ. المسؤولية النهائية عن وضع ممارسة حوكمة تقنية المعلومات؛
ب. ضمان وضع دليل قوي معني بإدارة مخاطر تقنية المعلومات والحفاظ عليه حتى يتسنى إدارة مخاطر تقنية المعلومات؛
ج. ضمان تخصيص ميزانية كافية لتقنية المعلومات؛
د. اعتماد ميثاق اللجنة التوجيهية لتقنية المعلومات؛ و
هـ. المصادقة (بعد الحصول على موافقة اللجنة التوجيهية لتقنية المعلومات) على ما يلي:
1. الأدوار والمسؤوليات بممارسات الحوكمة والإدارة؛
2. استراتيجية تقنية المعلومات؛
3. سياسة تقنية المعلومات.
2. يجب أن تكون اللجنة التوجيهية مسؤولة على الأقل عما يلي:
أ. رصد مخاطر تقنية المعلومات بالمؤسسة المالية ومراجعته والإبلاغ بها دوريًا؛
ب. الموافقة والإبلاغ ودعم ورصد ما يلي:
1. استراتيجية تقنية المعلومات؛
2. سياسات تقنية المعلومات؛
3. عمليات إدارة مخاطر تقنية المعلومات؛ و
4. مؤشرات الأداء الرئيسية (KPIs) ومؤشرات المخاطر الرئيسية (KRIs) لتقنية المعلومات.
3. يكون الرئيس التنفيذي للمعلومات مسؤولا، على الأقل، عما يلي:
أ. وضع وتنفيذ وصيانة:
1. استراتيجية تقنية المعلومات؛
2. سياسة تقنية المعلومات؛ و
3. ميزانية تقنية المعلومات.
ب. ضمان وضع معايير وإجراءات مفصلة لتقنية المعلومات والموافقة عليها وتنفيذها؛
ج. تقديم حلول تقنية المعلومات القائمة على المخاطر التي تتناول الأفراد والعمليات والتكنولوجيا؛
د. تحديد مؤشرات الأداء الرئيسية ومؤشرات المخاطر الرئيسية الخاصة بعملية تقنية المعلومات والحفاظ عليها؛
هـ. إطلاع اللجنة التوجيهية على آخر المستجدات بشأن المبادرات الاستراتيجية لتقنية المعلومات وحالة تنفيذها؛
و. تنفيذ تقنية مناسبة لتبسيط جميع العمليات الداخلية والمساعدة في تحسين فوائدها الاستراتيجية؛
ز. أنشطة تقنية المعلومات في جميع أنحاء المؤسسة المالية، بما في ذلك:
1. مراقبة سير عمل تقنية المعلومات؛
2. مراقبة الامتثال للوائح تقنية المعلومات وسياساتها ومعاييرها وإجراءاتها؛ و
3. الإشراف على التحقيق في الحوادث المتعلقة بتقنية المعلومات.
ح. تحليل تكاليف تقنية المعلومات وقيمتها ومخاطرها لتقديم المشورة لرئيس العمليات/المدير الإداري؛ و
ط. تحديد خطة التدريب على تقنية المعلومات بالتنسيق مع الموارد البشرية.
4. تتولى وظيفة التدقيق الداخلي المسؤولية عن:
أ. تحديد مجموعة شاملة من المجالات القابلة للتدقيق لمخاطر تقنية المعلومات وإجراء تقييم فعال لمخاطر تقنية المعلومات أثناء التخطيط للتدقيق؛
ب. إجراء عمليات تدقيق تقنية المعلومات.
5. يجب أن يكون مهندس تطبيقات المؤسسة مسؤولاً على الأقل عما يلي:
أ. وضع نماذج وعمليات ووثائق بنية تطبيقات النظام البيئي لتقنية المعلومات؛
ب. وضع التطبيقات وحلول التكامل المخصصة على مستوى المؤسسة بما في ذلك التحسينات الرئيسية والواجهات والوظائف والميزات؛ و
ج. ضمان التحسين المستمر للانتقال بين الحالتين الحالية والمستقبلية لهيكلية التطبيقات.
6. يجب أن يكون جميع موظفي المؤسسة المالية مسؤولين عن الامتثال لسياسة ومعايير وإجراءات تقنية المعلومات المعمول بها.
6.1.3 الامتثال التنظيمي
المبدأ
يجب تحديد اللوائح ذات الصلة بما في ذلك خصوصية البيانات والإبلاغ عنها والامتثال لها والتي تؤثر على عمليات تقنية المعلومات في المؤسسات المالية.
متطلبات الرقابة
1. يجب على المؤسسات المالية إنشاء عملية تضمن الامتثال للمتطلبات التنظيمية المتعلقة بتقنية المعلومات. يجب أن تستوفي عملية ضمان الامتثال الآتي:
أ. يتم تنفيذها بشكل دوري أو عندما تصبح المتطلبات التنظيمية الجديدة سارية المفعول؛
ب. يشترك فيها ممثلين من المجالات الرئيسية للمؤسسة المالية؛
ج. تؤدي إلى تحديث سياسة ومعايير وإجراءات تقنية المعلومات لاستيعاب أي تغييرات ضرورية (إن أمكن)؛ و
د. تحتفظ بسجل مُحدَّث لجميع المتطلبات القانونية والتنظيمية والتعاقدية ذات الصلة؛ وتأثيرها والإجراءات المطلوبة.
7.1.3 التدقيق الداخلي لتقنية المعلومات
المبدأ
يجب إجراء تدقيق تقنية المعلومات وفقًا لمعايير التدقيق المتعارف عليها وأطر عمل البنك المركزي ذات الصلة للتحقق من أن تصميم ضوابط التحكم في تقنية المعلومات يتم تنفيذها بشكل مناسب وتعمل على النحو المنشود.
متطلبات الرقابة
1. يجب أن تتم عمليات تدقيق تقنية المعلومات بشكل مستقل ووفقًا لمعايير التدقيق المتعارف عليها وأطر عمل البنك المركزي ذات الصلة.
2. يجب على المؤسسات المالية إنشاء دورة تدقيق تحدد تواتر عمليات تدقيق تقنية المعلومات.
3. يجب على المؤسسات المالية وضع خطة رسمية لتدقيق تقنية المعلومات تتناول الأشخاص والعمليات والمكونات التكنولوجية.
4. يجب أن تتم الموافقة على خطة تدقيق تقنية المعلومات من قبل لجنة التدقيق في المؤسسة المالية.
5. يجب أن يتماشى تواتر تدقيق تقنية المعلومات مع أهمية ومخاطر نظام أو عملية تقنية المعلومات.
6. ينبغي إنشاء عملية متابعة لملاحظات تدقيق تقنية المعلومات من أجل تتبع ملاحظات تدقيق تقنية المعلومات ورصدها.
7. يجب على المؤسسات المالية التأكد من أن مدققي تقنية المعلومات يتمتعون بالمستوى المطلوب من الكفاءات والمهارات اللازمة لتقييم وتقدير مدى كفاية سياسات تقنية المعلومات والإجراءات والعمليات والضوابط المطبقة.
8. يجب أن يتوفر ما يلي في تقرير تدقيق تقنية المعلومات:
أ. تضمين النتائج والتوصيات واستجابة الإدارة مع خطة عمل محددة والجهة المسؤولة والقيود المفروضة على النطاق فيما يتعلق بعمليات تدقيق تقنية المعلومات؛
ب. أن يكون موقعًا ومؤرخًا وموزعًا وفقاً للصيغة المحددة؛ و
ج. أن يتم تقديمه إلى لجنة التدقيق بشكل دوري.
8.1.3 كفاءة الموظفين وتدريبهم
المبدأ
يجب أن يتمتع موظفو المؤسسات المالية بما يلزم من المهارات والمعرفة لتشغيل أصول المعلومات الخاصة بالمؤسسة المالية بطريقة محكمة، وأن يتم تدريبهم على كيفية تشغيل ومعالجة وتطبيق الضوابط ذات الصلة بتقنية المعلومات على أصول المعلومات الخاصة بالمؤسسة المالية.
متطلبات الرقابة
1. يجب على المؤسسات المالية تحديد وتعريف الأدوار الحرجة داخل قسم تقنية المعلومات (مثل مدير قاعدة البيانات، ومسؤول النظام، وما إلى ذلك)
2. يجب أن تضمن المؤسسات المالية توفير عدد كافٍ من الموظفين لأدوار تقنية المعلومات الحرجة، بحيث لا يتولى أدوار تقنية المعلومات الحرجة موظف واحد فقط.
3. يجب على المؤسسات المالية تحديد الشهادات المهنية المطلوبة للموظفين المسؤولين عن الأدوار الحرجة في مجال تقنية المعلومات.
4. يجب على المؤسسات المالية تقييم متطلبات التوظيف على أساس دوري أو عند حدوث تغييرات كبيرة في بيئات العمل أو التشغيل أو تقنية المعلومات لضمان أن وظيفة تقنية المعلومات لديها موارد كافية.
5. يجب على المؤسسات المالية وضع خطة تدريب سنوية على تقنية المعلومات.
6. إجراء تدريب رسمي، كحد أدنى لما يلي:
أ. موظفو تقنية المعلومات (الحاليون والجدد)؛ و
ب. المقاولون (حيثما ينطبق ذلك).
7. يجب مراجعة خطة التدريب على تقنية المعلومات بشكل دوري.
8. يجب توفير التدريب المتخصص للموظفين في فئات المجالات الوظيفية ذات الصلة في المؤسسة المالية بما يتماشى مع توصيفات وظائفهم، بما في ذلك:
أ. الموظفون المشاركون في أداء أدوار تقنية المعلومات الحرجة؛
ب. الموظفون المشاركون في تطوير أصول المعلومات وصيانتها (من الناحية التقنية)؛
ج. الموظفون المشاركون في تقييم المخاطر.
9.1.3 إدارة الأداء
المبدأ
يجب قياس كفاءة وفعالية عمليات وخدمات تقنية المعلومات في المؤسسات المالية بشكل مستمر من خلال مؤشرات الأداء الرئيسية (KPIs).
متطلبات الرقابة
1. يجب تحديد مؤشرات الأداء الرئيسية واعتمادها وتنفيذها لقياس تنفيذ عمليات تقنية المعلومات وأداء النظام.
2. يجب تحديد مؤشرات الأداء الرئيسية مع مراعاة ما يلي على سبيل المثال لا الحصر:
أ. وظيفة تقنية المعلومات والعمليات ذات الصلة؛
ب. كفاءة القوى العاملة وتطورها؛ و ج. الامتثال للوائح التنظيمية.
3. مؤشرات الأداء الرئيسية يجب أن يتم:
أ. إبلاغها إلى أقسام/وحدات تقنية المعلومات المعنية في المؤسسات المالية من أجل التنفيذ؛
ب. دعمها بالقيمة المستهدفة والعتبات؛
ج. تحليلها لتحديد أوجه الانحراف عن الأهداف والبدء في اتخاذ إجراءات علاجية؛
د. تحليلها لتحديد الاتجاهات في الأداء والامتثال واتخاذ الإجراءات المناسبة؛ و
هـ. مراقبتها وتقديم تقارير دورية بشأنها إلى الإدارة العليا واللجنة التوجيهية.