6. متطلبات سياسة المنتجات والخدمات
1.6 المتطلبات العامة
على البنوك وضع سياسات وإجراءات داخلية تحدد ترتيبات الرقابة والحوكمة الخاصة بتقديم المنتجات والخدمات الجديدة، على أن تستوفي على الأقل ما يلي:
1.1.6 أن تكون جزءً من إطار الحوكمة، وإدارة المخاطر، والرقابة الداخلية بالبنك.
2.1.6 توضيح أدوار ومسؤوليات جميع أصحاب المصلحة المُشاركين في تطوير وتقديم المنتجات والخدمات الجديدة بما في ذلك مجلس الإدارة والوحدات الرقابية في البنك.
3.1.6 تحديد معايير صاحب صلاحية الموافقة على المنتجات والخدمات الجديدة، بما في ذلك الظروف التي يمكن فيها تفويض هذه الصلاحية.
4.1.6 تحديد متطلبات فترة تجريب أو اختبار المنتجات والخدمات الجديدة. على البنك تقييم تأثير المنتج أو الخدمة على سوق مستهدف قبل تقديمه تجاريًا، وإجراء أي تغييرات لازمه عندما يُظهر تحليل السيناريو نتائج سلبية على السوق المستهدف.
5.1.6 تحديد متطلبات حماية العملاء بما في ذلك معايير البنك لإدارة مخاطر ملاءمة العملاء وعدم مناسبة المنتج للعميل (mis-selling risks)، مع إجراء تقييم سنوي لجميع المنتجات أو الخدمات على أساس المعايير المعمول بها.
6.1.6 على البنك مراجعة وتحديث السياسات والإجراءات الداخلية بشكل منتظم أو عند الحاجة، ويرى البنك المركزي مناسبة أن تكون بشكل سنوي أو مرة واحدة على الأقل كل (3) سنوات.
7.1.6 على البنك تعميم السياسات والإجراءات داخليًا على جميع الأطراف والمستويات في الوقت المناسب، مع ضمان أن المنتجات أو الخدمات الجديدة المقدمة متكاملة تمامًا بين جميع إدارات البنك.
2.6 الاعتبارات
يجب على البنوك عند وضع السياسات والإجراءات الداخلية الخاصة بالمنتجات والخدمات الجديدة مراعاة ما يلي:
1.2.6 تصميم وتقديم منتجات وخدمات للقطاع على أن تكون ذات مميزات ورسوم ومخاطر تناسب مصالح وأهداف وخصائص شريحة السوق المستهدف من المنتجات والخدمات. آخذاً بالإعتبار أن يُشكل التقييم الرسمي لمدى ملاءمة العميل وعدالة المنتج أو الخدمة جزءًا من إجراءات البنك قبل الموافقة على المنتجات والخدمات الجديدة.
2.2.6 أن تكون المنتجات والخدمات المٌقدمة للعملاء عدالة ومناسبة.
3.2.6 تجنب أي تعارض في المصالح، واحتمالية عدم مناسبة المنتج (mis-selling risks)، أو أن تكون الأحكام والشروط غير العادلة للعملاء، إضافة إلى تجنُب وممارسات العمل التي تُقيد حريتهم في الاختيار.
4.2.6 التناسب مع طبيعة منتجات وخدمات البنك وحجمها ومخاطرها وتعقيدها، وأن تكون مصممة لتحديد مخاطر المنتج عبر سلسة القيمة وضبطها، ويشمل ذلك على الأقل مراحل تطوير المنتج، وترخيصه، وحوكمته، وتسعيره، وتسويقه، وبيعه، وتوزيعه.
5.2.6 تقديم المنتج أو الخدمة الجديدة تجاريًا بشكل تدريجي مع مراعاة الشرائح المستهدفة ومخاطر المنتجات أو الخدمات ودرجة تعقيدها.
6.2.6 الالتزام بجميع القواعد واللوائح السارية الصادرة عن البنك المركزي وجميع الجهات التنظيمية الأخرى ذات العلاقة عند تطوير منتج أو خدمة جديدة، وكذلك أية تحديثات على هذه القواعد واللوائح، على سبيل المثال (دون الحصر):
(أ) مبادئ التمويل المسؤول للأفراد (الصادر في عام 2018م).
(ب) مبادئ وقواعد حماية عملاء المؤسسات المالية (الصادرة في 2022م).
(ج) ضوابط الإعلان عن المنتجات والخدمات المقدمة من المؤسسات المالية (الصادرة في 2023م).
(د) ضوابط وإجراءات التحصيل للعملاء الأفراد (الصادرة في 2018م).
(هـ.) الدليل التنظيمي لأمن المعلومات (الصادر في عام 2017م)
(و) دليل مكافحة الاحتيال المالي (الصادر في 2022م).
(ز) الدليل التنظيمي لإدارة استمرارية الأعمال (الصادر في 2017م).
(ح) الدليل التنظيمي لحوكمة تقنية المعلومات (الصادر في 2021م).
(ط) القواعد المتعلقة بالتعرف على بصمة الوجه أو اليد، ومتطلبات تحقق، والتوقيع الرقمي، ومتطلبات الدفع الوطنية والعالمية لبطاقات مدى، وفيزا وماستر كارد، والتعرف على الوجه. 3.6 تقييم مخاطر المنتجات والخدمات
1.3.6 يجب على البنوك تحديد المسؤوليات بغرض إدارة مخاطر المنتجات والخدمات الجديدة.
2.3.6 يجب أن تعتمد البنوك في قرارها لتقديم المنتجات والخدمات الجديدة إلى السوق على إجراء تقييم شامل لمخاطرها، مع مراعاة مراجعة كافة المخاطر المصاحبة للمنتجات والخدمات خلال دورة حياتها.
3.3.6 يجب أن يضع البنك معايير لإدارة مخاطر تطوير وتقديم أي منتجات وخدمات جديدة في السوق. وتشمل هذه، ضمن عدد من المعايير الأخرى، إجراءات العناية الواجبة والموافقات، وإجراءات تحديد المخاطر وقياسها ومراقبتها والإبلاغ عنها وتخفيفها، وعمليات وتقنيات إدارة التغيير الفعالة، ورصد الأداء المستمر وآليات المراجعة.
4.3.6 يجب على البنوك إجراء عملية تصنيف مخاطر لكافة المنتجات أو الخدمات التي ينوي تقديمها، ويجب أن تُسفر عملية التصنيف إلى تصنيف شامل لمخاطر المنتج أو الخدمة (على سبيل المثال: مخاطر مرتفعة، أو متوسطة، أو منخفضة).
5.3.6 يجب على البنوك وضع الضوابط والإجراءات الرقابية اللازمة لإدارة المخاطر فيما يتعلق بالطرف الثالث، وذلك عند تقديم منتجات وخدمات بالشراكة مع شركات التقنية المالية، الوكيل المصرفي، والكيانات الأخرى المماثلة.
6.3.6 يجب على وحدة إدارة المخاطر أن يكون لديها القدرات التنظيمية والتشغيلية الداخلية على سبيل المثال ضوابط وأنظمة وإجراءات فعّالة للرصد والإبلاغ. وذلك لمراقبة وإدارة المخاطر التي قد تنشأ عن المنتجات والخدمات الجديدة المُقترح تقديمها والتي قد تُشكل تهديداً على إستقرار البنك والقطاع وسلامة وضع العملاء المادي.
7.3.6 يجب على وحدة إدارة المخاطر توثيق ومراجعة وإعتماد سجل المخاطر (المخاطر ذات العلاقة) للمنتجات والخدمات الجديدة قبل تقديمها للعملاء، على أن يتضمن السجل كحد أدنى وصفاً تفصيلياً لجميع المخاطر ذات العلاقة على سبيل المثال تعريف الخطر، حجم الخطر (إن أمكن)، تقييم الخطر، تصنيف الخطر، وخطة التخفيف من الخطر.
8.3.6 يجب على وحدة إدارة المخاطر إجراء تقييم شامل لمخاطر الإحتيال على أن يشمل كافة حوادث الاحتيال التي قد يواجهها البنك في جميع قنواته المختلفة وتقييم قدرة الموظفين والإجراءات والأنظمة التقنية على منع وكشف والتحقيق في تلك الحوادث آخذاً بالإعتبار الأساليب التقنية الجديدة. كما يجب أن يشتمل تقييم المخاطر جميع سيناريوهات وتقنيات الاحتيال الديناميكية المحتملة على سبيل المثال الهندسة الاجتماعية والتصيد، بما يضمن سلامة البنك من تلك السيناريوهات والتقنيات الديناميكية المحتملة. إضافة إلى ذلك، يجب أن يكون لدى البنك آلية دفاع متينة في أنظمته الداخلية لضمان حماية العملاء، على سبيل المثال استخدام القنوات المختلفة للتحقق من هوية العميل والتأكد من طلبُه للمنتج أو الخدمة كما هو الحال عند التسجيل والتفعيل والموافقة على المنتجات والخدمات من قنوات مختلفة كلما أمكن ذلك.
9.3.6 يجب على وحدة إدارة المخاطر إجراء تقييم شامل للمخاطر على أن يغطي متانة الأمن السيراني وخصوصية البيانات وبما يشمل تقييم التهديدات، نقاط الضُعف وتحليل الثغرات الأمنية لمعرفة التأثير المحتمل على البنك، وبالتالي العمل على تحسين الجانب السيبراني (لأعضاء المنظومة المصرفية، member organizations).
10.3.6 يجب أن تضمن وحدة إدارة المخاطر أن موظفيها، أنظمتها، إجراءاتها، وعملياتها قادرة بشكل كافي على تحديد المخاطر والإلتزامات المالية المتعلقة بالمنتجات والخدمات الجديدة والإبلاغ عنها في الوقت المناسب.
11.3.6 يجب أن تضمن وحدة إدارة المخاطر أن جميع المخاطر الجوهرية التي قد تنشأ عن تقديم المنتجات والخدمات الجديدة أو عن تعديل أياً من المنتجات والخدمات المقدمة حالياً، مُحددة يُمكن تقييمها، مراقبتها، وإدارتها بشكل مناسب، كما يجب مراجعتها بشكل دوري في ضوء أي تغيرات قد تطرأ على القطاع لم يسبق للبنك أخذُها بالإعتبار.
12.3.6 يجب على وحدة إدارة المخاطر تقييم تأثير المنتجات والخدمات الجديدة على وضع البنك المالي الحالي والمتوقع إضفافة إلى تأثيرها على رأس مال البنك.
4.6 الالتزام عند تقديم المنتجات والخدمات
يجب على وحدة الالتزام ضمان ما يلي:
1.4.6 مراجعة كافة المنتجات والخدمات الجديدة من منظور الالتزام والجرائم التنظيمية والمالية وضمان توافقها مع جميع القواعد واللوائح الصادرة عن البنك المركزي والجهات التنظيمية الأخرى ذات العلاقة.
2.4.6 توافق المنتجات والخدمات المقدمة مع كافة القواعد واللوائح الصادرة عن البنك المركزي والجهات التنظيمية الأخرى ذات العلاقة في جميع الأوقات.
3.4.6 تحديد مخاطر عدم الالتزام التي قد تنشأ عن المنتجات والخدمات، ووضع الخطط لإدارتها، وتقييم هذه المخاطر مرة واحدة على الأقل سنويًا.
4.4.6 رفع تقارير لمجلس إدارة البنك تتضمن مخاطر عدم الإلتزام، على الأقل مرة واحدة سنوياً وآلية التخفيف منها.
5.4.6 يجب أن تكون وحدة الالتزام هي نقطة الاتصال الرئيسة مع البنك المركزي لتقديم طلبات عدم الممانعة للمنتجات والخدمات والإشعارات بأي منتجات وخدمات في الحالات التي لا يتطلب فيها الحصول على عدم ممانعة البنك المركزي.
5.6 مراجعة المنتجات والخدمات
يجب على وحدة المراجعة الداخلية ضمان ما يلي:
1.5.6 تحديد جوانب الضعف في نظام الرقابة الداخلية في البنك في الوقت المناسب، التزاماً بالمتطلبات التنظيمية والسياسات والإجراءات الخاصة بالمنتجات والخدمات.
2.5.6 مراجعة جميع المنتجات والخدمات الجديدة خلال مدة زمنية معقولة -لا تتجاوز السنة- من بدء تقديمها، وذلك وفقًا لطبيعتها ونوعها وتعقيدها ودرجة مخاطرها.
3.5.6 رفع تقارير للجنة المراجعة تتضمن نتائج عملية المراجعة التي أٌجريت على المنتجات والخدمات - على الأقل مرة واحدة سنوياً-. وفي حال زيادة المخاطر المصاحبة للمنتجات والخدمات أو مخالفة أياً منها للقواعد واللوائح الصادرة عن البنك المركزي والجهات التنظيمية الأخرى ذات العلاقة؛ يجب على وحدة المراجعة الداخلية أن تُضمن هذه المنتجات والخدمات لخطة المراجعة السنوية.
6.6 وحدة تطوير المنتجات
يجب على وحدة تطوير المنتجات (وحدات الأعمال) ضمان ما يلي:
1.6.6 فهم وإدراك السياسات والإجراءات الخاصة بالمنتجات والخدمات وجميع القواعد واللوائح الصادرة عن البنك المركزي والجهات التنظيمية الأخرى ذات العلاقة.
2.6.6 التأهيل والتدريب المناسب لمنسوبي الوحدة، إضافة إلى أهمية الفهم الشامل لمميزات المنتجات والخدمات وخصائصها ومخاطرها مع ضمان اتخاذ كافة الإجراءات التصحيحة للتخفيف من المخاطر المصاحبة للمنتجات والخدمات.
7.6 المراقبة المستمرة على المنتجات والخدمات
1.7.6 يجب أن يكون لدى البنوك متطلبات فعّالة خاصة بالرقابة المستمرة على منتجاتها وخدماتها، وذلك لضمان استمرار مراعاة مصالح السوق المستهدف وخصائصة وأهدافه بالشكل الملائم، إضافة إلى ذلك يجب على البنوك النظر في شكاوى العملاء وتصحيحها في الوقت المناسب.
2.7.6 عند مواجهة البنك لأي مشاكل/ مخاطر ذات صلة بمنتجاته أو خدماته المقدمة في السوق، أو عند إتمام إجراءات المتطلبات الخاصة بالرقابة على المنتجات والخدمات، يجب على البنك إتخاذ كافة الإجراءات التصحيحة اللازمة والتدابير الوقائية التي تمنع تكرار حدوث المشكلة/الخطر. كما يجب على البنك استيفاء موافقة الإدارة العليا أو الوحدة الإدارية المسؤلة عن الموافقة على المنتجات والخدمات في حال تضمنت الإجراءات التصحيحة قرار تعليق أو سحب المنتج أو الخدمة. إضافة إلى أنه يجب على البنوك أن تُبلغ البنك المركزي بكافة الحوادث التي تواجهها مع خطة الإجراءات التصحيحة التي تم اتخاذها أو سيتم اتخاذها.
3.7.6 يجب على البنوك إشعار البنك المركزي قبل (45) يوم عمل –على الأقل – من قرار تعليق أو سحب أي منتج أو خدمة على البريد الإلكتروني (PSBanking@sama.gov.sa)، كما يجب أن يتضمن الإشعار مبررات تعليق أو سحب المنتج أو الخدمة وخطة التعامل مع العملاء المستفيدين (خطة الخروج) المتأثرين بقرار البنك.
4.7.6 بعد تقديم المنتجات والخدمات الجديدة، يحق للبنك المركزي – في أي وقت – تعليق تقديم المنتج أو الخدمة في حال أُثبت عدم الالتزام بالمتطلبات التنظيمية و/أو كان هناك أي تأثري سلبي على القطاع المصرفي أو العملاء، كما سيوجه البنك المركزي في هذه الحالة البنوك بتقديم الإجراءات التصحيحة اللازمة للموافقها عليها وتنفيذها.
8.6 متطلبات التوثيق ورفع التقارير
1.8.6 يجب على البنوك أن تٌقدم تقريراً للبنك المركزي السعودي يتضمن جميع منتجاتها وخدماتها؛ على أن يتم توقيع التقرير من قِبل الرئيس التنفيذي، ورفعه لشعبة التراخيص البنكية من خلال وحدة الالتزام بالبنك عبر البريد الإلكتروني (PSBanking@sama.gov.sa). وذلك في الأول من شهر مارس لكل عام، وفقاً للجدول الموضح في (الملحق 5).
2.8.6 يجب على البنوك توثيق جميع الإجراءات المتخذة عند تطبيق السياسات والإجراءات الداخلية، والاحتفاظ بهذه الوثائق لأغراض المراجعة، على أن تكون متوافرة في حال تم طلبها من قِبل البنك المركزي. بالإضافة إلى ذلك، يجب على البنوك الاحتفاظ بجميع الوثائق المتعلقة بتقييم مخاطر المنتجات والخدمات الجديدة بما في ذلك المخاطر الرئيسة من منظور كلاً من البنك والعميل، مع أهمية توثيق الأنظمة والإجراءات الموضوعة لتخفيف هذه المخاطر.
3.8.6 حصر لكافة المنتجات والخدمات المقدمة على أن يتضمن الحصر المعلومات التالية (على سبيل المثال لا الحصر): اسم المنتج والخدمة، السوق المستهدفة، تصنيف المخاطر، مطور المنتج أو الخدمة، مُراجع المنتج، مُعتمد المنتج، تاريخ الاعتماد، تاريخ التقديم، تاريخ المراجعة الأخيرة، وآخر التغييرات التي أُجريت متضمنةً وصف هذه التغييرات وتاريخها.