إدارة المخاطر السيبرانية
المرونة السيبرانية
المتطلبات الأساسية للمرونة السيبرانية (CRFR)
لقراءة المتطلبات الأساسية للمرونة السيبرانية (CRFR), اضغط هنا.
الدليل التنظيمي لأمن المعلومات في القطاع المالي
انطلاقاً من حرص البنك المركزي في تحسين مستوى الممارسات بخصوص أمن المعلومات في المؤسسات المالية التي تشرف عليها من خلال وجود آلية فعالة مطبقة ومختبرة في المؤسسات المالية مستندة على أفضل الحلول والممارسات التي توفر بيئة أمن معلومات ناضجة ومرنة في التصدي لما قد يتعرض له القطاع من هجمات إلكترونية، وإشارة إلى مبادرات المؤسسة الاستراتيجية الخاصة بأمن المعلومات والتي من ضمنها تطوير وإصدار دليل تنظيمي لأمن المعلومات (Cyber Security Framework) في المؤسسات المالية والتي تخضع لإشراف مؤسسة النقد العربي السعودي.
نفيدكم أنه تم اعداد الدليل التنظيمي لأمن المعلومات (Cyber Security Framework) والذي يتعين على جميع شركات التمويل العاملة في المملكة الالتزام الكامل بما ورد فيه وذلك حسب الآتي:
أولاً: عمل تقييم دقيق للوضع الحالي لأمن المعلومات في المؤسسة المالية مقارنة بما ورد من متطلبات في الدليل التنظيمي (Gap-Assessment) لتحديد مواطن الضعف وتقييم مستوى النضج وفق ما ورد في الدليل من تعريف لـ (Maturity Level).
ثانياً: وضع خطة عمل (Roadmap) لتحقيق جميع متطلبات مستوى النضج الثالث (Maturity Level 3) كحد أدنى لجميع المتطلبات المذكورة في الدليل بعد تقييم الوضع الحالي في بيئة المؤسسة المالية بشكل دقيق.
ثالثاً: يتوجب على المؤسسة المالية عرض الخطة المعدة (Roadmap) على مجلس الإدارة واطلاعهم عليها وأخذ الموافقة على الخطة والدعم اللازم.
رابعاً: يتعين على المؤسسة المالية إرسال الخطة المعدة للمؤسسة في موعد أقصاه نهاية الربع الرابع من عام 2019م*.
خامساً: تزويد مؤسسة النقد العربي السعودي بتقارير ربع سنوية اعتباراً من نهاية الربع الثاني من عام 2019م،* وحتى التزام المؤسسة المالية بمتطلبات المؤسسة.
سادساً: على المؤسسة المالية الالتزام التام بالمتطلبات المذكورة في الدليل في موعد أقصاه نهاية الربع الرابع من عام 2019م*.
سابعاً: يتوجب على لجنة أمن المعلومات في المؤسسة المالية متابعة تطبيق الدليل التنظيمي ومدى الالتزام بالخطة المعتمدة والدعم الكامل لحل جميع العقبات التي تواجه فرق العمل في المؤسسة المالية والتصعيد الداخلي لصاحب الصلاحية عن كل ما من شأنه يؤثر أو يعيق تطبيق المتطلبات. وبموجب التعميم رقم (51610/99) وتاريخ 1440/08/17ه يتعين على المسؤولين في المؤسسات المالية إعطاء الدعم اللازم لإدارة أمن المعلومات وتزويدهم بالكفاءات من الكوادر الوطنية والأدوات التقنية والتدريب المناسب للقيام بدورهم بأكمل وجه.
ونود الإحاطة أن المؤسسة سوف تقوم بعمل زيارات تفتيشية بشكل دوري للتأكد من دقة التقييم ودرجة الالتزام مع متطلبات الدليل التنظيمي،
*تمَّ تمديد المهل بموجب التعميم رقم (51610/99) وتاريخ 1440/08/17ه.
مبادئ تحليل التهديدات السيبرانية للقطاع المالي
لقراءة مبادئ تحليل التهديدات السيبرانية للقطاع المالي, اضغط هنا.
ضوابط التحقق من عملاء شركات التقنية المالية
لقراءة ضوابط التحقق من عملاء شركات التقنية المالية, اضغط هنا.
الدليل التنظيمي لإدارة استمرارية الأعمال
لقراءة الدليل التنظيمي لإدارة استمرارية الأعمال, اضغط هنا.
محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية
لقراءة محاكاة الهجمات السيبرانية الأخلاقية في المؤسسات المالية, اضغط هنا.
حوكمة تقنية المعلومات
إسناد المهام إلى طرف ثالث
مكافحة الاحتيال
قواعد إسناد المهام الخاصة بشركات التمويل
الرقم: 65338/99 التاريخ (م): 2019/1/13 | التاريخ (هـ): 1440/5/7 الحالة:نافذ إشارةً إلى الصلاحيات الممنوحة للبنك المركزي بموجب نظام مراقبة شركات التمويل الصادر بالمرسوم الملكي رقم (م/51) وتاريخ 1433/8/13هـ، وبناءً على المادة الثانية من اللائحة التنفيذية لنظام مراقبة شركات التمويل الصادرة بقرار المحافظ رقم 2/م ش ت وتاريخ 1434/4/14هـ، التي نصت على أن " يتولى البنك المركزي تنظيم قطاع التمويل والإشراف على أعمال شركات التمويل وفقاً للنظام واللائحة، ومن ذلك الآتي: 4- إصدار القواعد والتعليمات اللازمة لتنظيم عمل قطاع التمويل ".
نفيدكم بصدور قرار معالي المحافظ رقم 73/م ش ت وتاريخ 1440/4/24هـ والمتضمن اعتماد قواعد إسناد المهام الخاصة بشركات التمويل.
الفصل الأول: التعريفات
أ. يقصد بالكلمات والعبارات الواردة في هذا القواعد المعاني الموضحة لها في نظام مراقبة شركات التمويل ولائحته التنفيذية.
ب. لغرض تطبيق أحكام هذه القواعد، يقصد بالكلمات والعبارات الواردة أدناه المعاني الموضحة أمام كل منها –ما لم يقتضي سياق النص خلاف ذلك-:
القواعد: قواعد إسناد المهام الخاصة بشركات التمويل.
إسناد مهام إلى مقدم خدمات خارجي: أي عقد أو اتفاق يتعهد بموجبه مقدم خدمة خارجي بتقديم مهام إلى شركة التمويل.
مقدم خدمات خارجي: أي مقدم خدمة تُسند المهام إليه، سواءً كان عضواً في المجموعة التي تنتمي إليها شركة التمويل، أو طرف ذو صلة، أو طرفا ثالثاً مستقلاً لا صلة له.
المهام الجوهرية: أي مهام يترتب على الإخلال بها أو توقفها تأثير على نشاطات شركة التمويل أو سمعتها أو وضعها المالي أو إذا تضمنت المهام المسندة إلى مقدم الخدمات الخارجي مشاركة أو نقل أو معالجة أو حفظ بيانات المستفيدين ومعلوماتهم.
الفصل الثاني: تطبيق القواعد
2- تُحدد هذه القواعد المتطلبات النظامية من شركات التمويل المرخص لها بموجب نظام مراقبة شركات التمويل الصادر بالمرسوم الملكي رقم (م/51) وتاريخ 1433/08/13هـ، التي أبرمت أو تنوي إبرام عقود/اتفاقيات إسناد مهام إلى مقدم خدمات خارجي.
3- يجب أن يقترن الاطلاع على هذه القواعد بنظام مراقبة شركات التمويل ولائحته التنفيذية بالإضافة إلى الأنظمة واللوائح والتعليمات والضوابط والقواعد ذات العلاقة.
الفصل الثالث: المسؤولية والالتزام
4- على شركة التمويل إعداد سياسة مكتوبة تنظم إسناد المهام إلى مقدمي الخدمات الخارجيين ويتم اعتمادها من مجلس الإدارة وتحدث سنوياً.
5- على شركة التمويل وضع الضوابط والإجراءات الداخلية الملائمة لضمان تحقيق الالتزام بهذه القواعد.
6- على شركة التمويل التحقق من التزام مقدم الخدمات الخارجي بالأنظمة واللوائح والتعليمات ذات العلاقة، ولا تعفى شركة التمويل من المسؤولية في حال عدم التزام مقدم الخدمات الخارجي بالأنظمة واللوائح والتعليمات السارية في أي من العمليات والمهام المسندة إليه.
7- على شركة التمويل ضمان أن جميع عقود/اتفاقيات إسناد المهام القائمة والمقترحة قد خضعت لعملية مراجعة شاملة للمخاطر عند التعاقد وعند التجديد، ويجب أن تقيم هذه العملية عوامل المخاطر الرئيسة ولاسيما المخاطر التشغيلية والقانونية والمخاطر المتعلقة بالسمعة والمخاطر التنظيمية.
8- للبنك المركزي ومراقب الحسابات الخارجي وشركة التمويل الحصول على أي معلومات أو وثائق تتعلق بعمل مقدم الخدمات الخارجي أو الاطلاع عليها في مقره.
9- على شركة التمويل بذل العناية اللازمة للتحقق من حصول مقدم الخدمات الخارجي على التراخيص اللازمة لممارسة نشاطه، وأنه حاصل على التأهيل الفني والنظامي المطلوب.
10- دون الإخلال بالمادة (34) من اللائحة التنفيذية لنظام مراقبة شركات التمويل، على شركة التمويل حفظ جميع الوثائق التي توضح الالتزام بهذه القواعد بما في ذلك عقود واتفاقيات الإسناد وسياسة الإسناد بطريقة منظمة وشفافة وآمنة.
الفصل الرابع: سياسة إسناد المهام إلى مقدم خدمات خارجي
11- على شركة التمويل وضع إجراءات وقائية ملائمة تحمي سرية بيانات المستفيدين ومعلوماتهم وعدم الافصاح عنها، وتخولها كذلك باستعادة جميع بيانات المستفيدين ومعلوماتهم أو إتلافها عند فسخ أو إنهاء عقد إسناد المهام لأي سبب من الأسباب.
12- يجب أن تتضمن سياسة إسناد المهام إلى مقدم خدمات خارجي على الأخص الآتي:
أ. اختصاصات مجلس الإدارة والإدارة العليا ومسئولياتهما حيال إسناد المهام إلى مقدم خدمات خارجي.
ب. تحديد المهام المسموح إسنادها، وتحديد معايير تأهيل مقدم الخدمات الخارجي وبذل العناية اللازمة بذلك ولاسيما بشأن الآتي:
1- الخبرة والإمكانيات المالية والفنية لمقدم الخدمات الخارجي.
2- أثر إسناد المهام على حجم المخاطر الذي يمكن أن تتعرض لها شركة التمويل، ومعايير التعرف على المخاطر وكيفية التحوط منها.
3- أثر إسناد المهام على الأنظمة والضوابط داخل شركة التمويل.
4- قواعد المراقبة والإشراف الدائم على العمليات التي تسند إلى مقدمي الخدمات الخارجيين.
5- معايير التعرف على تضارب المصالح والقواعد والإجراءات التي تكفل عدم المساس بمصالح شركة التمويل أو تغليب مصلحة طرف آخر عليها.
6- إجراءات حماية المعلومات والمحافظة على سريتها وخصوصيتها.
7- آلية واضحة للتأكد من التزام مقدم الخدمات الخارجي بالأنظمة والتعليمات ذات العلاقة بالمهام المسندة سواءً الصادرة من البنك المركزي أو أي جهة أخرى، بما فيها مبادئ حماية عملاء شركات التمويل.
8- المتطلبات الواردة في هذه القواعد جميعها.
الفصل الخامس: متطلبات العقد
13- يجب أن توثق شركة التمويل إسناد المهام بموجب عقد أو اتفاقية تعاقدية مكتوبة ملزمة نظاماً مع مقدم الخدمات الخارجي ومتفقة مع المتطلبات النظامية ذات العلاقة. ويجب أن يتضمن العقد أو الاتفاقية -كحد أدنى - الآتي:
أ. أطراف العقد أو الاتفاقية.
ب. نطاق العقد أو الاتفاقية.
ج. مدة العقد أو الاتفاقية.
د. نوع المهمة ومتطلبات الأداء.
هـ. إجراءات المراجعة والرقابة والتدقيق.
و. خطط استمرارية العمل.
ز. ترتيبات معالجة التقصير في الأداء.
ح. التسعير وهيكل الرسوم.
ط. آلية تسوية المنازعات.
ي. المسؤولية والتعويض.
ك. التزام مقدم الخدمات الخارجي بسرية وخصوصية المعلومات.
ل. التأكيد على الالتزام بالأنظمة واللوائح والقواعد والضوابط والتعليمات ذات العلاقة.
م. آلية رفع التقارير.
ن. التزام مقدم الخدمات الخارجي بتبليغ شركة التمويل خلال المدة التي يُتفق عليها في العقد أو الاتفاقية عن أي ضعف في المراقبة أو أي تطورات سلبية في أدائه المالي قد تؤدي إلى الاخلال بالتزاماته المبينة في العقد أو الاتفاقية.
س. التزام مقدم الخدمات الخارجي بعدم وجود عوائق تنظيمية لتمكين شركة التمويل من الوصول والاطلاع على البيانات والسجلات المتعلقة بالمهام المسندة.
ع. التزام مقدم الخدمات الخارجي بإعادة أو اتلاف جميع البيانات المتعلقة بالمهام المسندة عند انتهاء العقد أو الاتفاقية، مالم يكن هناك متطلبات نظامية للاحتفاظ بمثل هذه البيانات.
ف. الآثار المترتبة على تجديد العقد أو الاتفاقية وإعادة التفاوض والإنهاء والخروج المبكر بحيث يمكن شركة التمويل من السيطرة على المهام المسندة. ووضع الترتيبات اللازمة للتعامل مع عدم الوفاء ببنود العقد أو الاتفاقية أو في حال فسخ العقد أو الاتفاقية.
ص. أحقية البنك المركزي ومراقب الحسابات الخارجي وشركة التمويل بالحصول على أي معلومات أو وثائق تتعلق بعمل مقدم الخدمات الخارجي أو الاطلاع عليها في مقره.
ق. التزام مقدم الخدمات الخارجي بعدم التعاقد من الباطن للمهام الجوهرية.
ر. النص على أن الجهات القضائية في المملكة العربية السعودية هي السلطة القضائية ذات الاختصاص بالفصل في أي نزاع قد ينشأ عن تفسير وتنفيذ هذا العقد أو الاتفاقية، وأن أي استثناء من هذا يخضع لعدم الممانعة المسبقة من البنك المركزي.
ش. النص على اللغة المعتمدة في حال وجود اختلاف بالنص بالنسبة للعقود أو الاتفاقيات التي يتم إعدادها بأكثر من لغة.
الفصل السادس: متطلبات إسناد المهام إلى مقدم خدمات خارجي
14- على شركة التمويل تقييم كل مهمة إسناد مقترحة من الناحية النوعية والكمية على حدة، وتصنيف المهام إلى مهام جوهرية أو غير جوهرية، قبل التقدم للبنك المركزي بطلب عدم الممانعة على إسناد المهام.
15- على شركة التمويل طلب عدم ممانعة البنك المركزي كتابة قبل القيام بأي إسناد لمهام جوهرية أو تجديدها –في حال طرأت تعديلات جوهرية على العقد أو الاتفاقية- وذلك قبل 30 يوم عمل على الأقل من التاريخ المقترح لبدء أو تجديد العقد أو الاتفاقية. 16- على شركة التمويل التقدم للبنك المركزي بخطاب عدم ممانعة على إسناد مهام جوهرية يتضمن بحد أدنى المعلومات الآتية:
أ. تفاصيل المهمة التي سوف يتم إسنادها.
ب. سبب ومبررات الإسناد.
ج. تفاصيل عن مقدم الخدمات الخارجي (على سبيل المثال الاسم والعنوان والسجل التجاري).
د. أي معلومات أو وثائق أخرى يطلبها البنك المركزي.
الفصل السابع: المراقبة والمتابعة
17- على شركة التمويل وضع إجراءات داخلية مناسبة لإدارة ومراقبة جميع أنشطتها الخاصة بعمليات الإسناد وتقديم التقارير في وقتها للإدارة العليا.
18- على شركة التمويل أن تضمن عدم تضرر استمرارية عملها بسبب عقود أو اتفاقيات إسناد المهام، ويجب على شركة التمويل أن يكون لديها خطة طوارئ توضح الإجراءات التي يتعين اتباعها في حال حدوث إنهاء مفاجئ لأي عقود أو اتفاقيات لإسناد مهام أو في حال عدم قدرة مقدم الخدمات الخارجي على الوفاء بالتزاماته لأي سبب. كما يجب على شركة التمويل أن توثق خطط استمرار العمل لديها ولاسيما توافر مقدم خدمات خارجي بديل أو إجراءات إعادة المهمة المسندة إلى الشركة.
الفصل الثامن: أحكام ختامية
19- على شركة التمويل الالتزام بالآتي:
أ. استحداث أو تحديث سياسة إسناد المهام إلى مقدم خدمات خارجي والتأكد من توافقها مع هذه القواعد وتزويد البنك المركزي بنسخة منها معتمدة من مجلس الإدارة خلال (180 يوماً) من تاريخ تعميم هذه القواعد.
ب. مراجعة جميع عقود/ اتفاقيات اسناد المهام القائمة لضمان توافقها مع هذه اللائحة، والحصول على عدم ممانعة البنك المركزي على المهام الجوهرية المسندة في غضون (365 يوماً) من تاريخ تعميم هذه القواعد أو عند تجديد العقد أو الاتفاقية أيهما أقرب.
ج. إبلاغ البنك المركزي عند حدوث أي مخالفة قانونية أو نظامية في عقود أو اتفاقيات إسناد المهام.
20- للبنك المركزي تقييد منح عدم الممانعة لشركة التمويل على إسناد المهام الجوهرية أو غير جوهرية إلى مقدم خدمة خارجي لمدة معينة أو لمهمة معينة أو لمنطقة جغرافية معينة أو لمقدم خدمات خارجي معين متى ما رأى البنك المركزي الحاجة لذلك.
21- للبنك المركزي الحق بأن يطلب من شركة التمويل مراجعة أو تغيير أو إلغاء عقد أو اتفاقية إسناد المهام في حال مخالفة هذه القواعد أو أي من الأنظمة واللوائح والقواعد والضوابط والتعليمات ذات العلاقة.
22- للبنك المركزي إعفاء بعض العمليات والأنشطة من بعض الأحكام المقررة في هذه القواعد متى ما رأى البنك المركزي الحاجة لذلك.
23- يعد عدم الالتزام بالمتطلبات الواردة في هذه القواعد مخالفة لنظام مراقبة شركات التمويل ولائحته التنفيذية.
24- يعمل بهذه القواعد بعد مضي (180 يوماً) من تاريخ تعميمها، وتنشر في موقع البنك المركزي الالكتروني.
الملحق رقم (1): أمثلة لمهام جوهرية على سبيل المثال لا الحصر
1- مراجع الحسابات الخارجي.
2- إدارة المراجعة الداخلية.
3- إدارة العناية بالعميل وتشمل (معالجة الشكاوى).
4- إدارة وتشغيل وصيانة الأنظمة التقنية/ الأمنية مثل (تخزين وحفظ البيانات خارج شركة التمويل ويشمل خدمات الحوسبة السحابية، مراقبة العمليات الأمنية).
5- نشاط الوساطة ويشمل تسويق المنتجات التمويلية واستقبال طلبات التمويل.
6- نشاط الوكالة ويشمل معالجة ودراسة طلبات منح التمويل.
7- توفير كوادر بشرية.
8- تحصيل ديون شركات التمويل.
9- أرشفة وحفظ المستندات.
الملحق رقم (2): أمثلة لمهام غير جوهرية على سبيل المثال لا الحصر
1- الخدمات والمرافق الأساسية (مثل الهاتف، والكهرباء).
2- مهام استشارية (مثل إبداء الآراء القانونية، تحديث السياسات التنظيمية للشركة، الاستشارات المستقلة، مهام معلومات السوق).
3- مهام الاستعلام والبحث عن المعلومات الائتمانية ومهام المعلومات.
4- البريد ومهام النقل.
5- مهام الطباعة (مثل: صياغة الوثائق، والنماذج، وبطاقات العمل، الخ).
6- مهام الأمن.
7- إدارة الممتلكات، وصيانة المباني، وخدمات النظافة وغير ذلك.
8- الترافع نيابة عن الشركة مثل (تحصيل الديون المتعثرة).
9- الدعم الفني لموقع الشركة الالكتروني.
10- تقييم العقارات من قبل المقيمين العقاريين المعتمدين.
11- إدارة مكاتب المساندة (مراكز الاتصالات، تلقي الشكاوى).
قواعد مكافحة الاحتيال في شركات التمويل
المقدمة: الأحكام العامة
- أصدر البنك المركزي هذه القواعد بموجب الصلاحيات المسندة إليها بنظام مراقبة شركات التمويل الصادر بالمرسوم الملكي رقم(م/51) وتاريخه 1433/8/13 هـ، واللائحة التنفيذية لنظام مراقبة شركات التمويل الصادرة بقرار المحافظ رقم (2/م ش ت) وتاريخ 1434/4/14هـ.
- تهدف هذه القواعد إلى تقديم مبادئ عامة وحد أدنی من المعايير التي على شركات التمويل أن تلتزم بها للكشف عن الاحتيال والحد منه.
- على شركة التمويل أن تجعل هذه القواعد جزءاً من أنظمتها وإجراءاتها الداخلية، وأن تراعي في تطبيقها تزامنها مع أحكام ومواد نظام مراقبة شركات التمويل ولائحته التنفيذية. ويعتبر عدم الالتزام بالمتطلبات المنصوص عليها في هذه القواعد مخالفة لنظام مراقبة شركات التمويل ولائحته التنفيذية ويعرض شركة التمويل للعقوبة النظامية.
الفصل الأول: التعريفات
4- يقصد بالألفاظ والعبارات الآتية المعاني المبينة أمام كل منها، ما لم يقتضِ السياق خلاف ذلك: القواعد: قواعد مكافحة الاحتيال في شركات التمويل.
البنك المركزي: البنك المركزي السعودي*.
الاحتيال: القيام بعمل أو الامتناع عن القيام به بهدف الحصول على فائدة بشكل مباشر أو غير مباشر تعود لمرتكب الاحتيال أو لطرف آخر، لم يكن ليحصل عليها دون ذلك. ومن الصور التي قد يتخذها هذا الفعل -على سبيل المثال لا الحصر-
أ. استخدام مستندات تحتوي على معلومات غير صحيحة. ب. عدم الإفصاح أو تعمد إخفاء معلومات ملزم نظاماً بتقديمها. ج. استغلال سلطة، أو موقع ثقة، أو علاقة ائتمانية. د. إساءة التصرف بالأصول. شركة التمويل: الشركة المساهمة الحاصلة على ترخيص من البنك المركزي لممارسة نشاط التمويل.
* حل اسم "البنك المركزي السعودي" محل اسم "مؤسسة النقد العربي السعودي" بموجب نظام البنك المركزي السعودي رقم(م/36) بتاريخ 1442/4/11هـ.
الفصل الثاني: الاستراتيجية والهيكل التنظيمي
- على شركة التمويل وضع استراتيجية عمل لمكافحة الاحتيال بما يتناسب مع مستوى المخاطر التي تتعرض لها والنشاط الذي تمارسه، وأن يتم اعتمادها من قبل مجلس إدارة الشركة وتحديثها دورياً لضمان مواءمتها لبيئة عمل الشركات الدائمة التطور.
- على شركة التمويل اعتماد هيكلة مكافحة الاحتيال بما يتناسب مع حجم وطبيعة نشاط الشركة بحيث يسهل على إدارة الشركة مراقبة وتطبيق سياسات مكافحته مما يسهل التواصل بين الإدارات في حال الاشتباه أو الكشف عن عملية احتيال.
الفصل الثالث: السياسات والإجراءات
7- على شركة التمويل أن تضع سياسات وإجراءات مكتوبة لمكافحة الاحتيال، تهدف إلى إنفاذ استراتيجية مكافحته واستراتيجية إدارة المخاطر بالإضافة إلى تحديثها بشكل دوري واختبار فاعليتها لتواكب التطورات والمستجدات بعمليات الاحتيال وتزويد البنك المركزي بنسخة منها.
يجب أن تقوم السياسات على أساس تحليل مخاطر الاحتيال المعرضّة لها شركة التمويل.
يجب أن تشتمل السياسات والإجراءات كحد أدنی على ما يلي:
8- 9- أ. دور الموظفين بتنفيذ استراتيجية مكافحة الاحتيال وتحديد المسؤول عن تطبيقها. ب. معايير للكشف عن عمليات الاحتيال والحد منها. ج. آلية توضح إجراءات وطرق التواصل للإبلاغ الداخلي عن الاحتيال المشتبه به أو الفعلي وتحدد المسؤول عن التحقيق بعمليات الاحتيال داخل الشركة مع إيضاح قنوات الإبلاغ الخارجية المتاحة والحماية المتاحة للمُبلغ. د. سياسة الاحتفاظ بالوثائق التي تحتوي على تفاصيل عمليات الاحتيال المشتبه بها والفعلية. ه. آلية التدريب لمنسوبي الشركة بشكل دوري لنشر الوعي عن مخاطر الاحتيال وكيفية مكافحته. 10- على شركة التمويل وضع آلية للتأكد من سلامة تقييم الأصل الممول من قبل المقيم المعتمد. 11- على شركة التمويل وضع آلية للتحقق من تطبيق سياسة منح الائتمان لديها على عقود التمويل. التدريب
- على شركة التمويل التأكد من فهم منسوبيها-من أعضاء مجلس الإدارة والموظفين-لسياسات مكافحة الاحتيال عن طريق تنظيم برامج تدريبية في المكافحة وتحديث مادة التدريب دورياً لتواكب متغيرات ومستجدات عمليات الاحتيال.
- يتفاوت نطاق التدريب بحسب دور الموظف ومسؤولياته بحيث يوضح واجب الموظف في حال اشتباهه بعملية احتيال وخطوات تصعيد البلاغ داخل الشركة أو إلى السلطات المختصة.
- على شركة التمويل توفير برامج تدريبية خاصة بالموظفين الجدد وبشكل خاص الذين يتعاملون مع الجمهور بشكل مباشر.
التبليغ
- على شركة التمويل وضع سياسة توضح إجراءات تصعيد البلاغ داخل الشركة والسلطات المختصة خارجها وتوضح سرية البلاغ والحماية المقدمة لصاحب البلاغ.
التوثيق والاحتفاظ بالسجلات
- على شركة التمويل توثيق ما تّم اتخاذه بشأن عملية الاحتيال داخل الشركة وخارجها والاحتفاظ بسجلات تحتوي على تفاصيل عمليات الاحتيال الفعلية والمشتبه بها لمدة عشر سنوات.
تبادل المعلومات
- على شركة التمويل إحاطة البنك المركزي بعمليات الاحتيال خلال عشرة أيام عمل من تاريخ إغلاق التحقيق وذلك بالاستعانة بالنموذج المرفق بهذه القواعد.
- لشركات التمويل تعزيز آليات التعاون لتبادل المعلومات فيما بينها بما يتعلق بعمليات الاحتيال دون الإخلال بالإجراءات النظامية والتعليمات المتعلقة بسرية معلومات العملاء وعملياتهم، ويجب الحصول على عدم ممانعة من البنك المركزي في حال اتفاق الشركات على التعاون أو تبادل المعلومات فيما بينها.
الفصل الرابع: معايير مكافحة الاحتيال
الكشف عن عمليات الاحتيال
- على شركة التمويل وضع مؤشرات للاستدلال على عمليات الاحتيال وتحديثها دوريا لضمان فعاليتها وملاءمتها لكشف الاحتيال في مراحله الأولى. ويمكن الاستعانة بالمؤشرات العامة الواردة في الفصل السادس -على سبيل المثال لا الحصر-للكشف عن الاحتيال الداخلي المرتكب من قبل أشخاص داخل الشركة والاحتيال الخارجي المرتكب من أطراف خارج الشركة.
الحد من عمليات الاحتيال
- على شركة التمويل تطبيق معايير مبدأ “اعرف عميلك" على العملاء وبذل إجراءات العناية الواجبة.
- على شركة التمويل إعداد وثائق عقد التمويل بالاستناد إلى تقارير الاحتيال الصادرة من لجنة المراجعة وبما يقلل قدرالإمكان من وقوع الاحتيال.
- على شركة التمويل في حال تطوير منتج جديد تقييم مخاطر الاحتيال المرتبطة به.
- على شركة التمويل إبلاغ العملاء وأي طرف ثالث بما يترتب على تقديم معلومات مضللة للشركة.
- على شركة التمويل قبل توظيف الموظفين الدائمين والمؤقتين أو التعاقد مع مقدم خدمات خارجي بذل العناية الواجبة، والقيام بتدقيق معلومات المتقدم للتأكد من نزاهة وأخلاقيات الموظفين المحتملين. ورفع معايير التدقيق لشغل المناصب الأكثر عرضة للوقوع ضحية احتيال أو القيام به.
- على شركة التمويل وضع وتطبيق قواعد خاصة بأمن المعلومات بحيث تحد من الوصول إليها مع تشديد الرقابة المفروضة عليها والتدقيق بالحسابات بشكل منتظم.
- على شركة التمويل تحديد الوصف الوظيفي للمناصب على امتداد الشركة وإدراج مسؤوليات الإدارة والموظفين، والفصل بين الوظائف التي تسفر عن تضارب في المصالح، والحرص على التدوير الإلزامي والإجازات السنوية للمناصب الحساسة.
الفصل الخامس: الأدوار والمسؤوليات
27- مجلس إدارة شركة التمويل: يتحمل مجلس الإدارة مسؤولية مكافحة الاحتيال وتشمل نشاطاته - كحد أدنی-الآتي: أ. اعتماد استراتيجية وسياسات مكافحة الاحتيال. ب. التأكد من توفير الموارد الضرورية لتطبيقها. 28- منسوبو شركة التمويل: يتحمل منسوبو شركة التمويل سواء كانوا موظفين أو متعاقدين مسؤولية مراقبة الاحتيال في مجال عملهم والتبليغ فور اشتباههم بعملية احتيال. 29- إدارة المراجعة الداخلية: تتحمل إدارة المراجعة الداخلية الآتي: أ. تقصي حالات الاحتيال أثناء أدائهم لمهامهم وجمع الأدلة اللازمة في حالة الاشتباه والتحقق من العمليات التي يشتبه الاحتيال بها. ب. إجراء عملية تقييم منتظمة للتحقق من مدى فعالية السياسات والإجراءات الخاصة بمكافحة الاحتيال والتأكد من الالتزام بتطبيقها والتحقق من أنه في حال الاشتباه بعملية احتيال يتم التعامل مع العملية بوقت مناسب وبشكل ملائم وأن يتم توثيق الإجراءات التي اتخذت بطريقة مناسبة وإدراج هذه المعلومات ضمن تقرير إدارة المراجعة المنصوص عليه في اللائحة التنفيذية لنظام مراقبة شركات التمويل. 30- مراجع الحسابات الخارجي: يكون من ضمن مهامه التحقق من مدى التزام الشركة بسياسات مكافحة الاحتيال. الفصل السادس: مؤشرات عامة للاستدلال على الاحتيال
الاحتيال الداخلي الحوكمة والهيكل التنظيمي - فرد واحد أو مجموعة من الأفراد يحتكرون القيام بإدارة العمليات أو اتخاذ القرارات المالية.
- استراتيجية الشركة غير ثابتة وسريعة التغيير.
- الهيكل التنظيمي للشركة معقد.
- تضارب المصالح بين المديرين وأعضاء فريق العمل والشركات الخارجية والمتعاقدين.
- يُظهر مجلس الإدارة أو الإدارة أسلوباً إدارياً مسيطراً، مما يثني الموظفين عن توجيه آراء انتقادية أو مخالفة.
الإدارة التشغيلية - ضعف البرامج التدريبية المقدمة للموظفين. - عدم انسجام نشاطات شركة التمويل مع سياساتها المعلنة.
- تدوير الموظفين عالياً على مستوى الإدارة، وخصوصاً في إدارة المالية أو إدارة المحاسبة.
- تكون المهام والصفقات معقدة وتستلزم مهارات خاصة لفهمها.
- فقدان المستندات والوثائق الأصلية واستبدالها بصور.
المحاسبة والمالية - ارتفاع التكاليف دون مُبرر أو كونها باهظة بالمقارنة مع الشركات المنافسة.
- عدم ترابط النتائج والنسب المالية. - كون عائد الشركة أقل بكثير من مثيلاتها في السوق.
المراجعة الداخلية - ضعف هيكلة الرقابة الداخلية.
- عدم كفاية المعلومات الصادرة عن عمليات تدقيق سابقة.
ـ ضعف أو عدم وجود نتائج عمليات التدقيق الداخلي.
- عدم استقلالية المراجعين الداخليين التامة.
- قيام مجلس الإدارة أو المديرين بوضع ضغط غير مبرر على مدققي الحسابات.
- يمارس مجلس الإدارة أو المديرون سلوكاً عدائياً ضد التقارير المالية للشركة.
سلوكيات الموظفين - الإثراء غير المبرر، والتبدل المفاجئ في أسلوب العيش.
- عمل الموظف خارج ساعات العمل الرسمية بشكل شبه معتاد.
- عدم استمتاع الموظف برصيد إجازاته.
- استقالة الموظفين الجدد بشكل سريع.
تكنولوجيا المعلومات - ضعف نظام أمن المعلومات والأصول.
الاحتيال الخارجي إجراءات التمويل - عدم تناسب عمر العميل ومؤهلاته العلمية مع عدد سنوات العمل.
- عنوان جهة العمل المقدم هو عنوان صندوق بريدي فقط.
- استخدام رقم هاتف العميل الشخصي كرقم هاتف جهة العمل.
- اختلاف خط يد من قام بتعبئة الوثائق من وثيقة لأخرى.
- محاولة العميل دفع جميع الالتزامات المالية نقداً خلافاً للوسائل المعتادة، خاصة في حالة السداد المبكر.
- الأقساط يتم دفعها من قبل شخص أو جهة أخرى غير العميل.
- دخل العميل وسجله الائتماني لا يتلاءم مع ملفه الشخصي.
- اختلاف التوقيعات على وثائق التمويل.
- تضارب المعلومات المقدمة من العميل في نماذج طلب خدمات مختلفة من شركة التمويل.
- نقل ملكية الأصل الممول بعد إتمام البيع فوراً، مما يُشير إلى كون العميل حصل على التمويل لصالح طرف ثالث غير مؤهل للحصول على التمويل بنفسه.
التقييم - كون المقيِّم ليس من المقيمين المعتمدين لدى شركة التمويل.
- كون المقيِّم من خارج منطقة الأصل الممول وليس له علم بقيمة السوق المحلية.
- توقف التقييم على إحداث تعديلات وإصلاحات على الأصل الممول.
- استناد التقييم على معلومات للمقارنة عمرها أكثر من تسعة أشهر في سوق سريع التغيير.
- بناء تقييم الأصل الممول على المقارنة بتقييمات سابقة أجراها المقيم نفسه.
- عدم تناسب صور الأصل الممول مع المواصفات المذكورة بتقرير التقييم للأصل الممول.
- رسوم التقييم مبنية على أساس نسبة مئوية من القيمة المقدرة للأصل الممول.
- وجود ما يُشير إلى بيع الأصل الممول أكثر من مرة خلال فترة قصيرة من الزمن بحيث أن قيمته لا تعكس القيمة الحقيقة للأصل في السوق.
معلومات الوظيفة - شهادة إثبات الوظيفة غير مطبوعة على أوراق جهة العمل الرسمي الذي يحتوي على شعار جهة العمل.
- شهادة إثبات الوظيفة مؤرخة بتاريخ قديم.
- التوقيع على ىشهادة إثبات الوظيفة غير موثق باسم أو منصب الشخص الموقع.
- احتواء شهادة إثبات الوظيفة على تعديلات مكتوبة بخط اليد.
- عدم تقديم أصل شهادة إثبات الوظيفة.
الفصل السابع: تاريخ السريان
- يُعمل بهذه القواعد بعد مضي مئة وثمانين يوما من تاريخ تعميمها، وتنشر في موقع البنك المركزي الإلكتروني.
نموذج تقرير إحاطة البنك المركزي بعملية الاحتيال
تقرير إحاطة عن عملية احتيال
أ. معلومات عن الشركة اسم الشركة نشاط الشركة المقر الرئيسي المدينة اسم الفرع (إن وجد) المدينة رقم الهاتف البريد الإلكتروني ب. معلومات عن عملية الاحتيال تاريخ العملية مقدار المبلغ (إن وجد) كتابة ر.س رقماً ر.س وصف عملية الاحتيال الإجراءات المتخذة الإجراءات اللاحقة ج.معلومات المتهم بعملية الاحتيال الاسم/أو أسماء المتهمين رقم الهوية/أو الإقامة الجنسية د. المستندات المرفقة اسم من قام بتعبئة التقرير التوقيع التاريخ دليل مكافحة الاحتيال المالي
لقراءة دليل مكافحة الاحتيال المالي, اضغط هنا.
حماية البيانات الشخصية
لقراءة التعليمات المتعلّقة بحماية البيانات الشخصية, اضغط هنا.