دليل مكافحة الإحتيال المالي
الرقم: 44021528 التاريخ (م): 2022/10/11 | التاريخ (هـ): 1444/3/16 الحالة:نافذ انطلاقاً من دور البنك المركزي الإشرافي والرقابي، وحرصاً منه على تعزيز حماية القطاع المصرفي والمتعاملين معه من التعرض لعمليات الاحتيال المالي والأساليب الاحتيالية، واستناداً الى الصلاحيات المنوطة به بموجب نظامه الصادر بالمرسوم الملكي رقم (م/36) وتاريخ 1442/4/11هـ، والأنظمة الأخرى ذات العلاقة.
مرافق الإصدار المحدث لدليل مكافحة الاحتيال المالي (Counter Fraud Framework)، والذي يهدف إلى تحسين مستوى الممارسات في مكافحة الاحتيال وذلك من خلال تطبيق مجموعة من الضوابط التي تساهم في رفع مستوى النضج لمكافحة الاحتيال بشكل استباقي وأكثر فاعلية للحد من مخاطر الاحتيال، ويتعين على البنوك والمصارف العاملة في المملكة الالتزام بما ورد فيه وفق الإجراءات الأتية:- عمل تقييم دقيق للوضع الحالي لإجراءات مكافحة الاحتيال مقارنةً بما ورد في دليل مكافحة الاحتيال المالي (Gap Assessment)؛ لتحديد مواطن الضعف في البنك/ المصرف وتقييم مستوى النضج وفق ما ورد في الدليل من تعريف لـ(Maturity Level) ، وتزويد البنك المركزي بتقارير شهرية حيالها اعتباراً من تاريخ 30 نوفمبر 2022م.
- وضع خطة عمل (Roadmap)؛ لتحقيق درجة النضج الثالث كحد أدنى للضوابط الواردة في دليل مكافحة الاحتيال خلال (9) أشهر من تاريخه، بعد تقييم الوضع الحالي في بيئة البنك/ المصرف بشكل دقيق وتزويد البنك المركزي بها في موعد أقصاه تاريخ 30 نوفمبر 2022م.
- استيفاء موافقة مجلس إدارة البنك/ المصرف على خطة العمل (Roadmap) وسبل الدعم
اللازمة لإنفاذها. - يتعين على البنك/ المصرف الالتزام التام بمتطلبات دليل مكافحة الاحتيال المالي في موعد أقصاه تاريخ 29 يونيو 2023م.
- إعداد تقرير سنوي مفصل من إدارة المراجعة الداخلية - ولها الاستعانة ببيوت الخبرة - يوضح مدى الالتزام بمتطلبات دليل مكافحة الاحتيال المالي ابتداءً من نهاية الربع الرابع من عام
2023م. - يتم تزويد البنك المركزي بخطة العمل المشار إليها في البند (2)، وكذلك التقارير المشار في البند (1)و (5) إلى البريد الإلكتروني: CRC.compliance@SAMA.GOV.sa
- يحلّ دليل مكافحة الاحتيال المالي المرافق محلّ دليل مكافحة الاحتيال المالي الصادر بموجب التعميم رقم (41071315) وتاريخ 1441/12/27هـ ، وذلك ابتداءً من تاريخ 29 يونيو 2023م.
للإحاطة، والعمل بموجبه اعتباراً من تاريخه.
1. مقدمة
1.1. مقدمة إلى الدليل
أدى التقدم التقني إلى تغييرات سريعة في القطاع المالي. ومع السماح للعملاء بالوصول الفوري إلى المنتجات والخدمات، أدى هذا التحول الرقمي إلى زيادة تعرضهم للاحتيال. وبعد مرحلة الحوادث الصغيرة التي تؤثر على الأفراد، أصبحنا نشهد هجمات احتيال واسعة النطاق عبر الإنترنت نظمتها مجموعات مُنظمة دولية. تعرّض هذه الهجمات العملاء لتهديدات أكثر تعقيدًا من أي وقت مضى، ومن الضروري أن تحمي المؤسسات المالية الأصول بشكل صحيح والتخفيف من حدة مخاطر استغلال العملاء. لا يتسبب الاحتيال في ضرر عاطفي وخسائر مالية للعملاء فحسب، بل يمكن أن يضر أيضًا بسمعة المؤسسات وسلامتها المالية، مما يقلل الثقة في القطاع المالي بشكل عام في المملكة العربية السعودية.
يدرك القطاع المالي معدل تطور مخاطر الاحتيال وأهمية الضوابط للحيلولة دون الاحتيال المشتبه فيه وكشفه والاستجابة له. إن تقديم نهج فعال لإدارة مخاطر الاحتيال سيساعد المملكة العربية السعودية على تحقيق رؤية 2030 التي تهدف إلى بناء بيئة أعمال مستقرة ومزدهرة ومتنوعة مع حماية أفراد المجتمع وجعل المملكة وجهة غير جذابة للمحتالين.
وضع البنك المركزي السعودي* دليلاً لمكافحة الاحتيال المالي ("الدليل") لتمكين المؤسسات التي تخضع للوائح التنظيمية ("المؤسسات المالية") من تحديد المخاطر المتعلقة بالاحتيال ومعالجتها بشكل فعال. فيما يلي أهداف هذا الدليل:
1. إعداد نهج مشترك لمعالجة مخاطر الاحتيال داخل المؤسسات المالية.
2. تحقيق مستوى مناسب من النضج لضوابط الاحتيال داخل المؤسسات المالية.
3. ضمان إدارة مخاطر الاحتيال بشكل صحيح في جميع المؤسسات المالية.
سيتم استخدام الدليل لإجراء تقييم دوري لمستوى النضج ومراجعة فعالية ضوابط مكافحة الاحتيال في المؤسسات المالية. يعتمد هذا الدليل على متطلبات البنك المركزي ومعايير الاحتيال في القطاع.
* حل اسم "البنك المركزي السعودي" محل اسم "مؤسسة النقد العربي السعودي" بموجب نظام البنك المركزي السعودي رقم(م/36) بتاريخ 1442/4/11هـ.
2.1. تعريف الاحتيال
يتم تعريف الاحتيال على أنه أي فعل مقصود يهدف إلى الحصول على منفعة غير مشروعة أو التسبب في خسارة لطرف آخر. ويمكن أن يكون ذلك بسبب استغلال الوسائل الفنية أو الوثائقية، أو العلاقات أو الوسائل الاجتماعية، أو استخدام القوى الوظيفية، أو الإهمال المتعمد أو استغلال نقاط الضعف في الأنظمة أو المعايير، بشكل مباشر أو غير مباشر.
لدعم تعريف الاحتيال، ينبغي على المؤسسات المالية أن تحيط علمًا بالقائمة غير الشاملة لأنواع الاحتيال المُدرجة في الملحق.
3.1. النطاق
يحدد الدليل المبادئ ومتطلبات الرقابة لبدء وتنفيذ وحفظ ومراقبة وتحسين ضوابط مكافحة الاحتيال داخل المؤسسات المالية التي تخضع لرقابة البنك المركزي. تشمل المبادئ ومتطلبات الرقابة منع الاحتيال واكتشافه والاستجابة له، بالإضافة إلى حوكمة برنامج مكافحة الاحتيال في المؤسسة. ويجب تنفيذ الدليل بالتزامن مع أطر البنك المركزي الأخرى، ولا سيما الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي ("الدليل التنظيمي لأمن المعلومات")، الذي يجب الرجوع إليه لمعرفة أي متطلبات محددة تتعلق بالأمن السيبراني.
4.1. نطاق التطبيق
ينطبق الدليل على جميع المؤسسات المالية العاملة في المملكة العربية السعودية بناءً على تقدير البنك المركزي. يتولى البنك المركزي إخطار المؤسسات المالية التي يجب عليها لتنفيذ الدليل والامتثال له.
5.1. المسؤوليات
تم تفويض الدليل من البنك المركزي، وسيتم تعميمه على المؤسسات المالية لتنفيذه. البنك المركزي هو الجهة المالكة لهذا الدليل والجهة المسؤولة كذلك عن تحديثه بصفة دورية. تتولى المؤسسات المالية مسؤولية تنفيذ الدليل والامتثال له.
6.1. التفسير
يتولى البنك المركزي، باعتباره مالك الدليل، وحدة المسؤولية عن تقديم تفسيرات للمبادئ ومتطلبات الرقابة، إذا لزم الأمر.
7.1. الجمهور المستهدف
هذا الدليل مُعد للإدارة العليا والإدارة التنفيذية وأصحاب الأعمال وأعضاء إدارة مكافحة الاحتيال المالي في المؤسسة المالية والمسؤولين عن تخطيط وتحديد وتنفيذ ومراجعة ضوابط مكافحة الاحتيال المالي عبر خطوط الدفاع الثلاثة.
8.1. المراجعة والتحديثات والحفظ
يراجع البنك المركزي الدليل دوريًا لتحديد مدى فعاليته، بما في ذلك مدى فعالية الدليل في التصدي لتهديدات ومخاطر الاحتيال الناشئة. وإذا كان ذلك ممكنًا، سيتولى البنك المركزي تحديث الدليل بناءً على نتائج المراجعة.
إذا رأت إحدى المؤسسات المالية أن تحديث الدليل مطلوب، فيجب على المؤسسة المالية تقديم التحديث المطلوب رسميًا إلى البنك المركزي. يراجع البنك المركزي التحديث المطلوب، وإذا أمكن، سيتم تعديل الدليل في الإصدار المُحدَث التالي. ستظل المؤسسة المالية مسؤولة عن الالتزام بالدليل حتى تحديث الإصدار.
يُرجى الرجوع إلى "الملحق ج - كيفية طلب تحديث الدليل» للتعرف على عملية طلب تحديث بالدليل.
سيتم تنفيذ مراقبة الإصدار للحفاظ على الدليل. عند إجراء أي تغييرات، سيتم إيقاف الإصدار السابق، وسيتم نشر الإصدار الجديد وتعميمه في جميع المؤسسات المالية. ولتيسير الأمور على المؤسسات المالية، يجب الإشارة بوضوح إلى التغييرات في الدليل.
9.1. دليل القراءة
يتم تقسيم الدليل على النحو التالي. يتناول الفصل الثاني هيكل الدليل، ويقدم تعليمات عن كيفية تطبيق الدليل. تعرض الفصول من الثالث إلى السادس الدليل الفعلي، بما في ذلك مجالات مكافحة الاحتيال المالي والمجالات الفرعية والمبادئ ومتطلبات الرقابة.
2. هيكل الدليل والميزات
1.2. الهيكل
يتمحور الدليل حول أربعة مجالات رئيسية، وهي:
• الحوكمة
• المنع
• الكشف
• الاستجابة
ينطوي كل مجال على عدة مجالات فرعية. يركز المجال الفرعي على موضوع محدد يتعلق بمكافحة الاحتيال المالي. عندما يكون من المفيد تحديد متطلبات الرقابة بشكل أكبر، يتم تقسيم المجال الفرعي إلى قطاعات فرعية. لكل مجال فرعي (أو قسم فرعي)، ينص الدليل على المبدأ ومتطلبات الرقابة ذات الصلة.
• يلخص المبدأ المجموعة الرئيسية من ضوابط مكافحة الاحتيال المالي المتعلقة بالمجال الفرعي (أو القسم الفرعي).
• تعكس متطلبات المراقبة ضوابط مكافحة الاحتيال المقررة التي يجب أن تأخذها المؤسسات المالية في الاعتبار عند تصميم وتنفيذ برنامج مكافحة الاحتيال.
ويجب تنفيذ الدليل في ضوء مبادئ المجالات الفرعية إلى جانب متطلبات المراقبة المرتبطة بها.
تم ترقيم متطلبات المراقبة بشكل فريد وفقًا لنظام الترقيم التالي في جميع أنحاء الدليل:
الشكل 1 - نظام ترقيم متطلبات المراقبة
يوضح الشكل أدناه الهيكل العام للدليل، ويشير إلى مجالات دليل مكافحة الاحتيال المالي والمجالات الفرعية والقطاعات الفرعية، بما في ذلك الإشارة إلى القسم المعمول به من الدليل.
الشكل 2 - هيكل دليل مكافحة الاحتيال المالي
للمساعدة في اتساق التنفيذ في المؤسسات المالية، يحتوي الملحق (أ) على قائمة بمصطلحات محددة. عند استخدام مصطلح محدد في المجالات والمجالات الفرعية في الفصول من الثالث إلى السادس، يتم إدراجه بنص مائل (على سبيل المثال، الاحتيال الداخلي، وتقييم مخاطر الاحتيال، والمراقبة الاستخبارية، وما إلى ذلك).
2.2. استناد الدليل إلى المبادئ
يستند الدليل إلى المبادئ، وتدعمه مجموعة محددة من متطلبات المراقبة، مما يتيح للمؤسسات المالية تبنّي نهج قائم على المخاطر ضمن الأنظمة المعمول بها في المملكة العربية السعودية. هذا يعني أنها تنص على المبادئ الرئيسية لمكافحة الاحتيال المالي التي يتعين على المؤسسات المالية ترسيخها وتحقيقها. وتوفر قائمة متطلبات الرقابة المقررة توجيهات إضافية، ويجب على المؤسسات المالية أن تضعها بعين الاعتبار. عند عدم التمكن من تنفيذ متطلبات رقابة معينة، يجب على المؤسسة المالية اتباع عملية استثناء تتضمن النظر في ضوابط تعويضية متناسبة مع العمليات التجارية، ومتابعة قبول المخاطر الداخلية، وأخيرًا طلب إعفاء رسمي من البنك المركزي. ستكون الموافقة على طلبات الإعفاء وفقًا لتقدير البنك المركزي. الرجاء الإطلاع على الملحق (هـ) للحصول على تفاصيل إجراء - كيفية طلب الإعفاء من الدليل.
3.2. التقييم الذاتي والمراجعة والتدقيق
سيخضع تنفيذ الدليل في المؤسسات المالية لتقييم ذاتي دوري. تجري المؤسسات المالية التقييم الذاتي بناءً على استبيان. ستتم مراجعة التقييمات الذاتية وتدقيقها من جانب البنك المركزي لتحديد مستوى الامتثال للدليل ومستوى نضج مكافحة الاحتيال بالمؤسسات المالية. الرجاء الإطلاع على "4.2 نموذج نضج مكافحة الاحتيال" لمزيد من التفاصيل حول نموذج نضج مكافحة الاحتيال.
4.2. نموذج نضج مكافحة الاحتيال
سيتم قياس مستوى نضج مكافحة الاحتيال المالي بمساعدة نموذج نضج مُحدد مسبقًا. يميز نموذج نضج مكافحة الاحتيال المالي بين 6 مستويات للنضج (0، 1، 2، 3، 4 و5)، التي تم تلخيصها في الجدول أدناه. من أجل تحقيق المستويات 3 أو 4 أو 5، يجب على المؤسسات المالية أولاً أن تستوفي جميع معايير مستويات النضج السابقة.
مستوى النضج التعريف والمعايير إيضاح 0
غير موجود
لا توجد وثائق.
لا يوجد وعي أو اهتمام ببعض ضوابط مكافحة الاحتيال المالي.
لا توجد ضوابط لمكافحة الاحتيال. قد لا يكون هناك وعي بمجال المخاطر المحدد، أو لا توجد خطط حالية لتنفيذ ضوابط مكافحة الاحتيال المالي هذه.
1
مخصصة
لم يتم تحديد ضوابط مكافحة الاحتيال المالي أو تم تعريفها جزئيًا.
يتم تنفيذ ضوابط مكافحة الاحتيال المالي بطريقة غير متسقة.
لم يتم تعريف ضوابط مكافحة الاحتيال المالي بشكل كامل.
يختلف تصميم وتنفيذ مراقبة مكافحة الاحتيال المالي حسب الإدارة أو الجهة المسؤولة.
قد يؤدي تصميم مراقبة مكافحة الاحتيال المالي إلى التخفيف جزئيًا فقط من حدة المخاطر المحددة، وقد يكون التنفيذ غير متسق.
2
متكررة، ولكن غير رسمية
يعتمد تنفيذ ضوابط مكافحة الاحتيال المالي على ممارسة غير رسمية وغير مكتوبة، وإن كانت موحدة.
توجد ضوابط متكررة لمكافحة الاحتيال المالي. ومع ذلك، لم يتم تحديد أو اعتماد أهداف الرقابة وتصميمها بشكل رسمي.
هناك اعتبار محدود للمراجعة المُنظمة أو اختبار بعض الضوابط.
3
مُنظم وذو طابع رسمي
يتم تحديد ضوابط مكافحة الاحتيال المالي والموافقة عليها وتنفيذها بطريقة مُنظمة ورسمية.
تم تنفيذ ودمج قدرة نظام كشف الاحتيال المالي.
يمكن إثبات تنفيذ ضوابط مكافحة الاحتيال المالي.
يتم إعداد تقارير لمتابعة أداء الرقابة على مكافحة الاحتيال المالي.
يتم وضع سياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
يتم تنفيذ ضوابط مكافحة الاحتيال المالي ودمجها.
توجد قدرة نظام كشف الاحتيال لمنع الاحتيال واكتشافه بشكل استباقي عبر جميع المنتجات والقنوات.
تتم مراقبة الامتثال لوثائق مكافحة الاحتيال المالي (أي السياسات والمعايير والإجراءات)، ويُفضل أن يكون ذلك باستخدام أداة الحوكمة والمخاطر والامتثال (GRC).
يتم تحديد مؤشرات الأداء الرئيسية ورفع تقارير عنها لمراقبة تنفيذ الضوابط.
4
مُدار وقابل للقياس
يتم تقييم فعالية ضوابط مكافحة الاحتيال المالي دوريًا وتحسينها عند الضرورة.
يتم توثيق هذا القياس الدوري والتقييمات وفرص التحسين.
يجري قياس فعالية ضوابط مكافحة الاحتيال المالي المُطبقة وتقييمها دوريًا.
يتم استخدام مؤشرات المخاطر الرئيسية وتقارير التوجهات لرصد الوضع القائم وفق القدرة في تحمل المخاطر وإعطاء تحذير مبكر بشأن المشكلات الناشئة المحتملة.
يتم استخدام نتائج القياس والتقييم لتحديد فرص تحسين ضوابط مكافحة الاحتيال المالي.
5
متكيّف
تخضع ضوابط مكافحة الاحتيال المالي لخطة تحسين مستمر.
يركز برنامج مكافحة الاحتيال المالي على مستوى المؤسسة على الامتثال المستمر والفعالية وتحسين ضوابط مكافحة الاحتيال المالي.
يتم دمج ضوابط مكافحة الاحتيال المالي مع إطار وممارسات إدارة المخاطر على مستوى المؤسسة.
الجدول 1 - نموذج نضج مكافحة الاحتيال المالي
الهدف من الدليل هو إعداد نهج فعال لمعالجة وإدارة مخاطر مكافحة الاحتيال داخل القطاع المالي. ولتحقيق مستوى نضج مناسب لمكافحة الاحتيال المالي، يجب على المؤسسات المالية أن تعمل على الأقل وفق مستوى النضج الثالث أو مستوى أعلى كما هو موضح أدناه.1.4.2. مستوى النضج الثالث
لتحقيق المستوى الثالث من النضج، يجب على المؤسسة المالية أن تحدد وتوافق وتنفذ ضوابط مكافحة الاحتيال المالي بما يتماشى مع متطلبات الرقابة في هذا الدليل. يتضمن ذلك تنفيذ قدرة نظام كشف الاحتيال لمنع الاحتيال وكشفه بشكل استباقي.
وبالإضافة إلى ذلك، يجب على المؤسسة المالية أن تراقب الامتثال لوثائق مكافحة الاحتيال. يجب أن تشير وثائق مكافحة الاحتيال المالي بوضوح إلى "لماذا" و"ماذا" و"كيف" يجب تنفيذ ضوابط مكافحة الاحتيال المالي. تتألف وثائق مكافحة الاحتيال المالي من سياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
الشكل 3 - هرم توثيق مكافحة الاحتيال المالي
يجب إقرار سياسة مكافحة الاحتيال وتفويضها من مجلس إدارة المؤسسة المالية، وتوضيح "سبب" أهمية مكافحة الاحتيال وحماية العملاء بالنسبة للمؤسسة المالية. يجب أن تسلط السياسة الضوء على النطاق العام لمكافحة الاحتيال المالي
يجب إعداد البرنامج والمسؤوليات الرئيسية لمكافحة الاحتيال المالي و"ماهية" مبادئ وأهداف مكافحة الاحتيال المالي.
واستنادًا إلى سياسة مكافحة الاحتيال المالي، يجب إعداد معايير مكافحة الاحتيال المالي. تحدد هذه المعايير "ماهية" ضوابط مكافحة الاحتيال المالي التي يجب تنفيذها، مثل العناية الواجبة والمصادقة والوقاية والكشف وما إلى ذلك. تدعم المعايير وتعزز سياسة مكافحة الاحتيال المالي، ويجب اعتبارها خطوط أساس مكافحة الاحتيال المالي.
وترد تفاصيل المهام والأنشطة التي يجب أن يؤديها موظفو المؤسسة المالية خطوة بخطوة في إجراءات مكافحة الاحتيال المالي. تصف هذه الإجراءات "كيفية" تنفيذ ضوابط ومهام وأنشطة مكافحة الاحتيال المالي في بيئة العمل.
يجب مراقبة التقدم المُحرز الفعلي في التنفيذ والأداء والامتثال لضوابط مكافحة الاحتيال المالي دوريًا باستخدام مؤشرات الأداء الرئيسية.
2.4.2. مستوى النضج الرابع
لتحقيق مستوى النضج الرابع، يجب على المؤسسات المالية قياس وتقييم فعالية ضوابط مكافحة الاحتيال المالي المُنفذة دوريًا لتحقيق مستوى النضج الثالث. ولقياس وتقييم ما إذا كانت ضوابط مكافحة الاحتيال المالي فعالة، يجب تحديد مؤشرات المخاطر الرئيسية(KRIs). يوضح مؤشر الخطر الرئيسي معيار قياس الفعالية، ويجب أن يحدد عتبات لتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من المعيار المستهدف أو عنده أو أعلى منه. تُستخدم مؤشرات المخاطر الرئيسية لرصد الزيادة المحتملة في التعرض لمخاطر الاحتيال والسماح باتخاذ إجراءات لتخفيف حدة المخاطر قبل حدوث زيادة في حالات الاحتيال.
3.4.2 مستوى النضج الخامس
يركز مستوى النضج الخامس على التحسين المستمر لضوابط مكافحة الاحتيال المالي. يتم تحقيق التحسين المستمر من خلال التحليل المستمر لأهداف وإنجازات حوكمة مكافحة الاحتيال المالي وتحديد التحسينات الهيكلية. يجب دمج ضوابط مكافحة الاحتيال المالي مع ممارسات إدارة المخاطر على مستوى المؤسسة ودعمها بمراقبة آلية في الوقت الحقيقي لتقييم فعالية الرقابة. يجب أن يكون أصحاب العمليات التجارية مسؤولين عن مراقبة الامتثال لضوابط مكافحة الاحتيال المالي، وقياس فعالية ضوابط مكافحة الاحتيال المالي، ودمج ضوابط مكافحة الاحتيال المالي ضمن إطار إدارة المخاطر على مستوى المؤسسة.
3. الحوكمة
يتحمل مجلس الإدارة والقيادة التنفيذية للمؤسسة المالية المسؤولية النهائية عن وضع برنامج لمكافحة الاحتيال المالي؛ وإتاحة القيادة والتوجيه؛ وإبراز ثقافة مكافحة الاحتيال المالي داخل المؤسسة وخارجها. يجب أن يتضمن البرنامج استراتيجية مكافحة الاحتيال المالي لتحديد الأهداف التنظيمية، وسياسة مكافحة الاحتيال المالي التي تحدد المسؤوليات والمتطلبات الإلزامية، وهيكل الحوكمة مع التقارير الداخلية والخارجية المرتبطة بها التي تتماشى مع حجم المؤسسة ومستوى التعقيد بها لرصد إدارة مخاطر الاحتيال والإشراف عليها.
الشكل 4 - مجال الحوكمة1.3. هيكل الحوكمة
المبدأ
يجب على المؤسسات المالية إعداد واستدامة هيكل حوكمة مكافحة الاحتيال المالي الخاص بالإدارة العليا مع تولي مسؤولية الإشراف والرقابة على جميع جوانب برنامج مكافحة الاحتيال المالي التنظيمي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية إنشاء وضمان عمل لجنة حوكمة مخصصة لمكافحة الاحتيال (CFGC).
ب. يجب أن يرأس أحد أعضاء اللجنة التنفيذية لجنة الحوكمة المخصصة لمكافحة الاحتيال (CFGC) (على سبيل المثال، الرئيس التنفيذي (CEO) أو رئيس إدارة المخاطر (CRO) أو ما يعادله).
ج. يجب تمثيل المناصب التالية كحد أدنى في لجنة الحوكمة المخصصة لمكافحة الاحتيال (CFGC):
1. رئيس مكافحة الاحتيال/المدير الأول المسؤول عن برنامج مكافحة الاحتيال المالي.
2. رئيس إدارة المخاطر.
3. الرئيس التنفيذي للعمليات.
4. رئيس الأعمال الرقمية.
5. رؤساء إدارات الأعمال ذات الصلة أو أصحاب المنتجات (على سبيل المثال، مدير عام البيع لشؤون الأفراد / الشركات).
6. كبار المديرين من جميع الإدارات المشاركة في إدارة مخاطر الاحتيال (على سبيل المثال، إدارة المخاطر التشغيلية، والأمن السيبراني، وإدارة مكافحة الاحتيال المالي، والتحليلات، والامتثال).
7. يجب أن يحضر التدقيق الداخلي بصفة "مراقب".
د. يجب إعداد ميثاق لجنة الحوكمة المختصة بمكافحة الاحتيال والموافقة عليه، وأن يعكس الميثاق ما يلي:
1. أهداف اللجنة.
2. سلطة اللجنة ومساءلتها.
3. الأدوار والمسؤوليات.
4. الحد الأدنى لعدد ودور المشاركين في الاجتماع المطلوب لاستيفاء النصاب القانوني.
5. وتيرة عقد الاجتماعات (الحد الأدنى على أساس ربع سنوي).
6. إجراء التصعيد لقضايا أو حوادث الاحتيال إلى مستوى مجلس الإدارة.
7. توثيق وحفظ محاضر الاجتماعات وقراراتها.
هـ. يجب أن تكون لجنة الحوكمة المختصة بمكافحة الاحتيال مسؤولة على الأقل عن:
1. الموافقة والدعم والتواصل والمراقبة:
أ. استراتيجية مكافحة الاحتيال المالي.
ب. سياسة مكافحة الاحتيال المالي.
ج. إطار عمل إدارة مخاطر الاحتيال الذي يجب أن يتضمن كحد أدنى ما يلي:
i. عملية المراقبة الاستخباراتية.
ii. تقييم مخاطر الاحتيال.
iii. قابلية مخاطر الاحتيال
iv. مؤشرات المخاطر الرئيسية للاحتيال.
د. معلومات الإدارة
2. توفير القيادة والتوجيه والإشراف على برنامج مكافحة الاحتيال المالي في المؤسسة المالية.
و. يجب على المؤسسات المالية تعيين رئيس مؤهل وذي خبرة مناسبة لمكافحة الاحتيال المالي ليكون مسؤولاً عن برنامج مكافحة الاحتيال المالي على مستوى الإدارة العليا (راجع متطلبات الرقابة 5.3.هـ).
ز. يجب على المؤسسات المالية إعداد عملية موثقة ومعتمدة لميزانية مكافحة الاحتيال المالي وتحديد أولويات الإنفاق التي يجب أن تتماشى مع الأهداف الإستراتيجية لمكافحة الاحتيال.
ح. يجب مراقبة الميزانية العامة لمكافحة الاحتيال المالي ومراجعتها دوريًا وتعديلها وفقًا لذلك من لجنة الحوكمة المختصة بمكافحة الاحتيال لتلبية احتياجات مكافحة الاحتيال المالي واحتياجات العمل.
ط. يجب على المؤسسات المالية تحديد أدوار ومسؤوليات الإدارة العليا وموظفي إدارة مكافحة الاحتيال المالي باستخدام مصفوفة تعيين المسؤولية، المعروفة أيضًا باسم "RACI". يجب أن تحدد مصفوفة "RACI" من المسؤول والخاضع للمساءلة عن عمليات وضوابط مكافحة الاحتيال المالي، وكذلك من يجب استشارته أو إعلامه.
2.3. استراتيجية مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على استراتيجية مكافحة الاحتيال المالي التي تتماشى مع الأهداف الاستراتيجية العامة للمؤسسة، حيث تحدد مبادرات مكافحة الاحتيال المالي القصيرة والطويلة الأجل وتعميم خطة عمل لتحقيقها.
متطلبات الرقابة
أ. يجب تحديد استراتيجية مكافحة الاحتيال والموافقة عليها وتنفيذها وحفظها.
ب. يجب ترجمة المبادرات الإستراتيجية لمكافحة الاحتيال المالي إلى خارطة طريق محددة، بما في ذلك على سبيل المثال لا الحصر، النظر في ما يلي:
1. الجداول الزمنية لتنفيذ المبادرات.
2. المالك المسؤول عن تنفيذ المبادرة.
3. كيف ستعمل المبادرات على سد الفجوات بين البيئات الحالية والمستهدفة.
4. دمج المبادرات في استراتيجية متماسكة لمكافحة الاحتيال المالي تتوافق مع استراتيجية العمل.
5. أوجه الاعتماد والتداخلات والتآزر والتأثيرات بين المشاريع وتحديد الأولويات.
ج. يجب أن تتماشى استراتيجية مكافحة الاحتيال المالي مع:
1. الأهداف الإستراتيجية العامة للأعمال للمؤسسة المالية.
2. الاستراتيجيات الأوسع نطاقًا التي قد تؤثر على مخاطر الاحتيال وضوابطه، على سبيل المثال، الأمن السيبراني وتكنولوجيا المعلومات والجرائم المالية (مكافحة غسيل الأموال (AML) والعناية الواجبة تجاه العملاء(CDD)).
3. متطلبات الامتثال القانونية والتنظيمية للمؤسسة المالية وأي أنظمة أخرى معمول بها في المملكة العربية السعودية.
د. يجب أن تعالج استراتيجية مكافحة الاحتيال المالي على الأقل ما يلي:
1. النضج الحالي للمؤسسة المالية، بما في ذلك أهم التحديات المتعلقة بالاحتيال التي تواجهها.
2. متطلبات الأشخاص والعمليات والتكنولوجيا لتنفيذ الاستراتيجية وإدارة الاحتيال بشكل استباقي في حدود القدرة على تحمل المخاطر.
3. الاتجاه المستقبلي لبرنامج مكافحة الاحتيال المالي في المؤسسة المالية، والمبادرات المطلوبة للانتقال بنجاح إلى الحالة المستقبلية المرغوبة.
4. التغييرات المعروفة في مشهد الاحتيال (على سبيل المثال، زيادة التحول الرقمي في منتجات الخدمات المالية، أو التهديدات الخارجية الجديدة، أو اللوائح التنظيمية الجديدة، أو التوجيهات).
هـ. يجب على المؤسسة المالية مراجعة استراتيجية مكافحة الاحتيال المالي الخاصة بها وتحديثها عند الحاجة على أساس دوري أو كلما كان هناك تغيير جوهري:
1. داخليًا (على سبيل المثال، نموذج عمل المؤسسة المالية، أو البيئة التشغيلية، أو استراتيجية العمل).
2. خارجيًا (على سبيل المثال، مشهد الاحتيال أو الأنظمة واللوائح المعمول بها).
3.3. سياسة وإجراءات مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تحديد سياسة مكافحة الاحتيال المالي والموافقة عليها وإبلاغها وتنفيذها لتحديد الالتزام والأهداف الخاصة بمكافحة الاحتيال المالي وتوفير المتطلبات لأصحاب المصلحة المعنيين؛ والإجراءات المرتبطة بها لتحديد المهام والأنشطة بالتفصيل التي يجب أن يقوم بها الموظفون.
متطلبات الرقابة
أ. ينبغي تحديد سياسة وإجراءات مكافحة الاحتيال المالي والموافقة عليها ونشرها وتنفيذها.
ب. يجب أن تراعي سياسات وإجراءات مكافحة الاحتيال المالي المخاطر المحددة في تقييم مخاطر الاحتيال، ومشهد الاحتيال المتطور ونموذج عمل المؤسسة المالية وعملياتها، ويجب مراجعتها دوريًا لضمان إدارة المخاطر المحددة بشكل فعال.
ج. يجب أن تكون سياسة مكافحة الاحتيال المالي متاحة بسهولة لجميع الموظفين والمتعاقدين والأطراف الخارجية ذات الصلة، بما في ذلك جميع الفروع والشركات التابعة المملوكة للأغلبية.
د. يجب أن تتطلب سياسة مكافحة الاحتيال المالي من المؤسسات المالية اتباع جميع أنظمة ولوائح مكافحة الاحتيال المالي المعمول بها، ومتطلبات مشغلي الدفع.
هـ. يجب أن تتضمن سياسة مكافحة الاحتيال المالي كحد أدنى ما يلي:
1. مالك محدد يتمتع بالأقدمية والدور المناسبين (على سبيل المثال، رئيس قسم مكافحة الاحتيال المالي).
2. الأهداف العامة لمكافحة الاحتيال في المؤسسة المالية ونطاقها.
3. بيان نية مجلس الإدارة الداعم لأهداف مكافحة الاحتيال.
4. المتطلبات الأساسية لتوفير نهج متسق ومتناسب وفعال لإدارة مخاطر الاحتيال.
5. مسؤوليات أصحاب المصلحة الرئيسيين والأطراف الخارجية ذات الصلة الذين يؤدون دورًا في إدارة الاحتيال أو منعه أو كشفه أو الاستجابة له عبر خطوط الدفاع الثلاثة (على سبيل المثال، الإدارة العليا، والامتثال، والتدقيق الداخلي).
6. متطلبات التصعيد والإبلاغ في حالة انتهاك السياسة.
و. يجب أن تحدد إجراءات مكافحة الاحتيال المالي المهام والأنشطة بالتفصيل التي يجب أن يؤديها الموظفون في بيئة التشغيل لعملية مكافحة الاحتيال المالي وعمليات المراقبة (على سبيل المثال، تقييم مخاطر المنتج، ومعالجة التنبيهات، والتحقيقات).
ز. بالنسبة للمؤسسات المالية التي يقع مقرها الرئيسي في المملكة العربية السعودية، يجب أن تنطبق سياسة مكافحة الاحتيال المالي على جميع الفروع الدولية والشركات التابعة. إذا كان قانون ولاية قضائية أخرى يحظر الامتثال، فيجب توثيق الإعفاء والموافقة عليه.
4.3. الأدوار والمسؤوليات
المبدأ
يجب على المؤسسات المالية تحديد أدوار ومسؤوليات مكافحة الاحتيال المالي والموافقة عليها وتنفيذها عبر خطوط الدفاع الثلاثة، ويجب أن يكون لدى جميع أصحاب المصلحة المعنيين مستوى مناسب من المعرفة لاستيعاب التوقعات المتعلقة بدورهم.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ أدوار ومسؤوليات مكافحة الاحتيال المالي لجميع أصحاب المصلحة المعنيين والتأكد من تعميمها واستيعابها.
ب. يجب أن يكون مجلس الإدارة مسؤولاً عن:
1. إعداد برنامج مكافحة الاحتيال المالي.
2. تحديد الأسلوب من الإدارة العليا لإرساء ثقافة مكافحة الاحتيال المالي من خلال مدونة قواعد السلوك (أو ما يعادلها).
3. ضمان وضع إطار عمل قوي لإدارة مخاطر الاحتيال والحفاظ عليه لإدارة مخاطر الاحتيال.
4. التأكد من تخصيص ميزانية كافية لمكافحة الاحتيال المالي واستخدامها ومراقبتها.
5. الموافقة على ميثاق لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC).
6. المصادقة (بعد الاعتماد من لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC)):
أ. أدوار ومسؤوليات الإدارة العليا المسؤولة عن برنامج مكافحة الاحتيال المالي.
ب. استراتيجية مكافحة الاحتيال المالي.
ج. سياسة مكافحة الاحتيال المالي.
د. مخرجات تقييم مخاطر الاحتيال.
هـ. قابلية مخاطر الاحتيال.
ج. يجب أن يكون رئيس مكافحة الاحتيال المالي مسؤولاً عن ما يلي:
1. وضع وتنفيذ وحفظ:
أ. استراتيجية مكافحة الاحتيال المالي.
ب. سياسة مكافحة الاحتيال المالي.
ج. تقييم مخاطر الاحتيال.
د. قابلية مخاطر الاحتيال.
هـ. مؤشرات المخاطر الرئيسية للاحتيال.
2. تعزيز واستدامة الأسلوب المتبع من الإدارة العليا لتقديم ثقافة الامتثال لمدونة قواعد السلوك.
3. وضع برنامج مكافحة الاحتيال القائم على المخاطر الذي يتناول الأشخاص والعمليات والتكنولوجيا، بما في ذلك الأنظمة المناسبة لمنع الاحتيال وكشفه والاستجابة له.
4. ضمان وضع معايير وإجراءات مفصلة لمكافحة الاحتيال المالي والموافقة عليها وتنفيذها.
5. ضمان استمرارية فعالية نظم وضوابط مكافحة الاحتيال المالي في ضوء التهديدات المتطورة التي تم تحديدها من خلال المراقبة الاستخبارية.
6. إبلاغ لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) دوريًا بآخر التطورات بشأن المبادرات الإستراتيجية لمكافحة الاحتيال وحالة التنفيذ.
7. إنشاء إدارة لمكافحة الاحتيال المالي تتمتع بالموارد الكافية وتتحمل المسؤولية عن المتطلبات الموضحة في المجال الفرعي 5.3.
8. الجمع والإشراف على تقارير المعلومات الإدارية على مستوى المؤسسة التي يتم إعدادها فيما يتعلق بمخاطر وأداء مكافحة الاحتيال المالي.
9. إخطار البنك المركزي فورًا بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة بما يتماشى مع متطلبات الإخطار الإشرافي المدرجة في المجال الفرعي 7.3.
10. اتخاذ الإجراء اللازم عند تلقي إخطار بأي حوادث احتيال كبيرة أو تحقيقات أو انتهاكات لسياسة أو معايير مكافحة الاحتيال، وتقديم التقارير إلى مجلس الإدارة أو لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) حسب الاقتضاء.
11. تحديد برنامج التوعية المستمرة بالاحتيال في المؤسسة بالتنسيق مع الإدارات المعنية (مثل العمليات والاتصالات والموارد البشرية).
د. كحد أدنى، يجب أن تكون الإدارة العليا مسؤولة عن:
1. ضمان امتثال الموظفين لمدونة قواعد السلوك وسياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
2. ضمان حصول الموظفين على تدريب يتماشى مع متطلبات برنامج التدريب والتوعية لمكافحة الاحتيال.
3. إعداد ومراجعة تقارير المعلومات الإدارية المنتظمة لمراقبة مخاطر وأداء مكافحة الاحتيال المالي.
4. إخطار لجنة الحوكمة المختصة بمكافحة الاحتيال (CFGC) عندما يكون التصعيد مطلوبًا (على سبيل المثال، النتائج الداخلية السلبية المتعلقة بضوابط مكافحة الاحتيال المالي أو تجاوز قابلية مخاطر الاحتيال).
5. إدارة خسائر الاحتيال من خلال العمليات والضوابط في نطاق المساءلة الخاص ضمن قابلية مخاطر الاحتيال المتفق عليها في المؤسسة.
6. الحفاظ على النظم والضوابط المناسبة لمنع الاحتيال وكشفه والاستجابة له.
هـ. يجب أن يكون المدير (المديرون) المسؤولون عن عمليات الاحتيال (على سبيل المثال، إدارة تنبيهات الاحتيال والاستجابة لحالات الاحتيال المُبلغ عنها والتعامل مع حالات الاحتيال) مسؤولين عن:
1. التأكد أن جميع عمليات الاحتيال المشتبه بها، بما في ذلك تنبيهات النظام والإحالات اليدوية للموظفين والعملاء يتم تحديد أولوياتها بشكل مناسب والتحقيق فيها وتسجيل النتيجة بشكل مناسب.
2. اتخاذ خطوات فورية لمنع المزيد من المخاطر واتخاذ الإجراء /الإجراءات التصحيحية عند تحديد عملية احتيال.
3. إخطار الأطراف الخارجية المعنية (مثل سلطات إنفاذ القانون).
و. يجب أن تكون إدارة المراجعة الداخلية مسؤولة عن:
1. تحديد مجموعة شاملة من المجالات القابلة للمراجعة فيما يتعلق بمخاطر الاحتيال.
2. تقييم مخاطر الاحتيال وتحديد أولوياتها أثناء التخطيط للمراجعة.
3. إجراء عمليات مراجعة الاحتيال وإعداد تقارير موضوعية مستقلة.
ز. يجب أن يكون جميع موظفي المؤسسة المالية مسؤولين عن:
1. الامتثال لسياسات ومعايير وإجراءات مكافحة الاحتيال المالي المعمول بها.
2. الإبلاغ عن أي شبهات احتيال في الوقت المناسب.
ح. يجب على المؤسسات المالية التأكد من أن حالات الاحتيال الداخلي المشتبه فيها أو الفعلية يحقق فيها أفراد ذوو أقدمية مناسبة (على سبيل المثال، إذا كان الاحتيال يتعلق بمدير، فيجب أن يتولى فرد ذو أقدمية أعلى مسؤولية الإشراف على التحقيق والموافقة عليه)؛ والاستقلالية (على سبيل المثال، يجب على إدارة المراجعة الداخلية أو إدارة رقابية مماثلة إجراء التحقيق مع المحققين للحيلولة دون حدوث أي تضارب محتمل في المصالح).
ط يجب على المؤسسات المالية إجراء مراجعة دورية لأدوار ومسؤوليات الموظفين ذوي المسؤوليات المتعلقة بالاحتيال للتأكد من أنها تعكس أفضل الممارسات، وتتناول أنماط الاحتيال الشائعة وتتوافق مع مشهد الاحتيال ونموذج العمل.
ي. يجب على المؤسسات وضع خطة تعاقب رسمية لمكافحة الاحتيال المالي بالتنسيق مع إدارة الموارد البشرية مع مراعاة الاعتماد على الموظفين الرئيسيين في مكافحة الاحتيال المالي الذين يضطلعون بأدوار ومسؤوليات مهمة للغاية.
5.3. إدارة مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تأسيس وتسيير أعمال إدارة مختصة بمكافحة الاحتيال المالي تتولى مسؤولية التشغيل اليومي لبرنامج مكافحة الاحتيال المالي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تأسيس وتسيير أعمال إدارة مختصة بمكافحة الاحتيال المالي تتولى مسؤولية التشغيل اليومي لبرنامج مكافحة الاحتيال، وتشمل مهام الإدارة ما يلي بحد أدنى:
1. المراقبة والإشراف على الامتثال لسياسات ومعايير وإجراءات مكافحة الاحتيال المالي.
2. تصميم وتنفيذ ضوابط مكافحة الاحتيال المالي المطلوبة على مستوى المؤسسة التي تغطي أبعاد الموظفين والعمليات والتكنولوجيا.
3. إجراء تقييم متعمق لمخاطر الاحتيال على مستوى المؤسسة.
4. تحليل بيانات مكافحة الاحتيال والمعلومات الاستخبارية لتحديد توجهات الاحتيال بشكل استباقي.
5. مشاركة المعلومات الاستخبارية ومكافحة الاحتيال المالي مع البنك المركزي والمؤسسات الأخرى في القطاع.
6. ضبط أنظمة مكافحة الاحتيال المالي بشكل استباقي وتفاعلي.
7. مراقبة عمليات مكافحة الاحتيال المالي.
8. إجراء تحقيقات شاملة في الاحتيال وتحديد الأسباب الجذرية لحوادث الاحتيال وتوثيق الإجراءات التصحيحية.
9. مراقبة تدابير قابلية مخاطر الاحتيال والانخراط النشط في فريق عمل إدارة الأزمات إذا تم انتهاك الحد المحدد مع التأثير على العملاء (انظر متطلبات الرقابة 3.1.4.د).
10. ضمان مواءمة قدرات مكافحة الاحتيال المالي مع الأمن السيبراني والجرائم المالية.
11. تقديم تقارير دورية إلى الإدارة العليا تغطي على الأقل ما يلي:
أ. نتائج تقييم مخاطر الاحتيال.
ب. أنواع الاحتيال المُحددة.
ج. قياس قابلية مخاطر الاحتيال والأداء وفق الحدود والقيود.
د. خسائر الاحتيال التشغيلي والاحتيال على للعملاء.
ب. يجب على المؤسسات المالية تقييم التسلسل الإداري الأنسب لإدارة مكافحة الاحتيال المالي استنادًا إلى الهيكل التنظيمي؛ وسلطة اتخاذ القرار؛ واطلاع اللجنة التنفيذية/المجلس؛ ومساءلة الإدارة العليا ومسؤولياتها.
ج. يجب على المؤسسات المالية تقييم متطلبات التوظيف في إدارة مكافحة الاحتيال المالي على أساس دوري واستجابة للتغييرات الجوهرية في الأعمال والمشهد التشغيلي والاحتيالي أو تقييم مخاطر الاحتيال في المؤسسات المالية.
د. يجب أن يراعي تقييم متطلبات التوظيف كلاً من القدرة الاستيعابية (عدد الموارد) والقدرات (المهارات والخبرة) المطلوبة.
هـ. يجب أن يتمتع رئيس إدارة مكافحة الاحتيال المالي بالمهارات والخبرة، التي تتألف مما يلي على الأقل:
1. فهم ومعرفة معمقة بمخاطر الاحتيال في القطاع المالي.
2. معرفة راسخة بتهديدات الاحتيال الرقمي والأنواع الشائعة، إلى جانب التوجهات الناشئة التي تؤثر على مؤسسات القطاع المالي وعملائها.
3. تصميم وتنفيذ التكنولوجيا والضوابط بناءً على حالات الاستخدام لتخفيف حدة مخاطر الاحتيال والتهديدات.
4. استخدام البيانات والتحليلات لمنع الاحتيال بشكل استباقي وحماية العملاء.
و. يجب أن تضم إدارة مكافحة الاحتيال المالي على الأقل موظفين ذوي مهارات وخبرات في:
1. مخاطر الاحتيال والأنواع المتعلقة بالمنتجات التي تقدمها المؤسسة (على سبيل المثال، الخبرة في الاحتيال في الدفع، وعمليات الاحتيال، والهندسة الاجتماعية).
2. مخاطر الاحتيال والأنواع المتعلقة بقنوات التسليم التي تقدمها المؤسسة، ولا سيما القنوات الرقمية مثل الإنترنت والهاتف المحمول.
3. تحليلات بيانات مكافحة الاحتيال المالي لتمكين تحليل كميات كبيرة من المعاملات والتحديد الاستباقي لتهديدات الاحتيال.
4. تكنولوجيا مكافحة الاحتيال لضمان عمل الأنظمة بفعالية مع السيناريوهات ذات الصلة بالمخاطر التي تواجهها المؤسسة المالية.
5. تحليل المعلومات الاستخبارية والبيانات لتحديد توجهات الاحتيال والسبب الجذري لحوادث الاحتيال.
6. تحقيقات الاحتيال، بدءًا من الإخطار الأوليّ بحادث محتمل وحتى الانتهاء والإجراءات التصحيحية.
7. إعداد التقارير وإصدار المعلومات الإدارية لمراقبة أداء الاحتيال التنظيمي.
ز. يجب على المؤسسات المالية النظر في تصعيد حالات الاحتيال للأدوار في إدارة مكافحة الاحتيال المالي.
ح. يجب على المؤسسات المالية وضع خطة تدريب وتوفير تدريب دوري لتطوير والحفاظ على كفاءة الموظفين في إدارة مكافحة الاحتيال المالي.
ط. عند استخدام خدمات أو موارد تابعة لجهات خارجية (على سبيل المثال، المتعاقدين أو الخدمات المُدارة) للوفاء بمسؤوليات إدارة مكافحة الاحتيال المالي، يجب على المؤسسات المالية التأكد من فحص الموارد ومراقبتها بشكل مناسب.
6.3. معلومات الإدارة
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لإبلاغ المعلومات الإدارية لتمكين الإدارة العليا من مراقبة مخاطر وأداء مكافحة الاحتيال المالي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لإبلاغ المعلومات الإدارية لمراقبة مخاطر وأداء مكافحة الاحتيال المالي.
ب. يجب إبلاغ معلومات إدارة الاحتيال إلى الإدارة العليا ولجنة الحوكمة المختصة بمكافحة الاحتيال على أساس دوري وعلى أساس مخصص حسب الاقتضاء (على سبيل المثال، إذا تم تحديد نوع جديد أو غير عادي).
ج. يجب على المؤسسات المالية تنسيق تجميع معلومات إدارة الاحتيال لضمان إمكانية الإبلاغ عن صورة شاملة لجميع عمليات الاحتيال التي تؤثر على المؤسسة أو عملائها.
د. يجب على المؤسسات المالية تحديد المعلومات الإدارية المناسبة لإبلاغ الإدارة العليا بشكل مناسب بمخاطر وأداء مكافحة الاحتيال المالي. كحد أدنى، يجب أن يشمل ذلك:
1. نتائج تقييم مخاطر الاحتيال.
2. قياس قابلية مخاطر الاحتيال والأداء وفق الحدود والقيود.
3. حجم تنبيهات الاحتيال التي تم الإخطار بها بواسطة:
أ. العملاء
ب. الموظفين
ج. أنظمة الاحتيال
4. حجم وتوجهات حالات الاحتيال التي تم التعامل معها، مُقسمة حسب المنتج والنوع.
5. أنواع جديدة تم تحديدها.
6. قيمة الأخطاء الوشيكة أو عمليات الاحتيال المحتملة التي تم اكتشافها ومنعها.
7. قيمة حالة الاحتيال التي تم التعامل معها (القيمة الإجمالية لحالة الاحتيال، بما في ذلك الخسائر الفعلية والمحتملة).
8. خسائر الاحتيال، مُقسمة حسب المنتج ونوع الدفع (حيثما ينطبق ذلك) والنوع، بما في ذلك:
أ. خسائر العملاء
ب. الخسائر التشغيلية.
9. قيمة المبالغ المستردة للعملاء بعد الاحتيال.
7.3. الإخطارات الإشرافية
المبدأ
يجب على المؤسسات المالية إخطار البنك المركزي على الفور بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة للتخفيف من مخاطر الاحتيال التي تؤثر على عملاء إضافيين أو مؤسسات أخرى أو القطاع المالي في المملكة العربية السعودية.
متطلبات الرقابة
أ. يجب على المؤسسات المالية إخطار الإدارة العامة لمكافحة المخاطر الإلكترونية في البنك المركزي فورًا بما يلي:
1. أي تصنيف احتيالي جديد سواء أدى إلى خسارة مالية أم لا (على سبيل المثال، نوع الاحتيال الذي لم يتم ملاحظته مسبقًا أو اكتشاف محاولة احتيال جديدة).
2. عندما يرتكب شخص خارجي أو يحاول ارتكاب عملية احتيال كبيرة ضده.
3. عندما يرتكب أحد موظفي إحدى المؤسسات المالية عملية احتيال داخلية كبيرة ضد أحد عملائها، أو قد يكون مذنبًا بارتكاب جرم خطير فيما يتعلق بالصدق أو النزاهة فيما يتعلق بالالتزامات التنظيمية للمؤسسة.
4. عند الاشتباه في الاحتيال الأمني لنقطة النهاية للدفع بالجملة أو تحديده.
5. عند تحديد مخالفة كبيرة في السجلات المحاسبية للمؤسسة، والتي قد تكون مؤشرًا على الاحتيال المالي.
ب. عند تقييم ما إذا كان الاحتيال يعتبر كبيرًا بالنسبة للوفاء بمتطلبات الإخطار المذكورة أعلاه، يجب على المؤسسات المالية أن تراعي على الأقل ما يلي:
1. قيمة أي خسارة مالية أو خسارة مالية محتملة للمؤسسة أو عملائها (يجب أن تراعي القيمة حادث احتيال فردي أو إجمالي الخسائر الناجمة عن حوادث متصلة).
2. عدد العملاء المتأثرين.
3. الإضرار بسمعة المؤسسة والقطاع المالي الأوسع.
4. ما إذا كان قد تم انتهاك أي لائحة.
5. ما إذا كان الحادث يعكس نقاط ضعف في ضوابط مكافحة الاحتيال في المؤسسة.
6. إذا كان من المحتمل أن يؤثر الحادث على المؤسسات المالية الأخرى.
ج. يجب على المؤسسات المالية استخدام النموذج القياسي لإعداد التقارير في الملحق (ز) لإخطار البنك المركزي.
د. كحد أدنى، يجب على المؤسسات المالية أن تذكر مصدر الحادث؛ والأساليب المستخدمة؛ والأطراف ذات الصلة (الداخلية والخارجية)؛ والإجراءات التصحيحية؛ والخسائر، إن وجدت، في الإخطار الموجه إلى البنك المركزي. إذا لم تتوافر جميع المعلومات المطلوبة في وقت الإخطار، يجب عرض أي فجوات على البنك المركزي على الفور مع تقدم التحقيق.
8.3. تقنية مكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ استراتيجية لتوفير أو تطوير وتنفيذ أنظمة وتقنيات مكافحة الاحتيال المالي لإدارة مخاطر الاحتيال التي تتعرض لها.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ استراتيجية لتوفير أو تطوير أنظمة وتقنيات مكافحة الاحتيال المالي لمنع الاحتيال وكشفه والاستجابة له.
ب. يجب على المؤسسات المالية تنفيذ أنظمة وتقنيات مكافحة الاحتيال المالي والتحقق من أنها تعمل على النحو المنشود.
ج. يجب أن تسترشد مخرجات تقييم مخاطر الاحتيال بالتقنية المطلوبة، ويجب أن تكون الأنظمة متناسبة مع مدى قدرة المؤسسة على تحمل المخاطر.
د. سواء تم الحصول على نظام الاحتيال من أحد الموردين أو تم تطويره داخليًا، يجب على المؤسسات المالية مراعاة المتطلبات التالية كحد أدنى:
1. تشارك إدارة مكافحة الاحتيال المالي في تصميم وتنفيذ النظام تحت إشراف لجنة الحوكمة المختصة بمكافحة الاحتيال.
2. توثيق الأساس المنطقي للسيناريوهات التي تم وضعها والحدود المُطبقة.
3. تصميم النظام والقواعد، أو يمكن تخصيصها لتتوافق مع المنتجات والخدمات ومخاطر الاحتيال بالمؤسسة.
4. يمكن تنفيذ القواعد الجديدة في الوقت المناسب لاستهداف الوقاية والكشف عن الأنواع الجديدة أو الناشئة التي تم تحديدها من خلال المراقبة الاستخبارية.
5. يقتصر الوعي بقواعد منع وكشف الاحتيال الداخلي المحتمل على مجموعة مقيدة وموثقة من الأدوار التي لا تشمل الموظفين أو الأطراف الخارجية المسؤولة عن تشغيل العمليات والضوابط التي تتم مراقبتها (على سبيل المثال، الفروع / الموظفين الذين يتعاملون مع العملاء أو فرق المدفوعات التشغيلية ).
6. يجب أن تتبع تغييرات التكوين مبادئ إدارة تغيير النظام ومتطلبات الرقابة في الدليل التنظيمي لحوكمة تقنية المعلومات الصادر عن البنك المركزي ("الدليل التنظيمي لحوكمة تقنية المعلومات").
7. يمكن للمؤسسة شرح وتوضيح تهديدات الاحتيال التي تم تصميم السيناريوهات لمراقبتها والتخفيف من حدتها.
8. عند استخدام التعلم الآلي أو الذكاء الاصطناعي، لا يجب أن يكون النظام "صندوقًا أسود"، ويجب أن يكون قابلاً للتدقيق (على سبيل المثال، يجب أن تتمتع المؤسسة بالقدرة على اختبار ما صُمِمت الخوارزميات للقيام به وما إذا تم تنفيذها بشكل صحيح).
9. تم وضع خطط استمرارية الأعمال والتعافي من كوارث تقنية المعلومات بما يتماشى مع متطلبات الدليل التنظيمي لإدارة استمرارية الأعمال الصادر عن البنك المركزي.
9.3. المراجعة الداخلية لمكافحة الاحتيال المالي
المبدأ
يجب على المؤسسات المالية إجراء عمليات المراجعة وفقًا لمعايير المراجعة المقبولة عمومًا وإطار / إطارات البنك المركزي ذي الصلة للتحقق من تنفيذ تصميم مكافحة الاحتيال بشكل مناسب وتشغيله على النحو المنشود.
متطلبات الرقابة
أ. يجب على المؤسسات المالية ضمان إجراء عمليات مراجعة مكافحة الاحتيال المالي بشكل مستقل ووفقًا لمعايير المراجعة المقبولة عمومًا وأطر البنك المركزي ذات الصلة.
ب. يجب على المؤسسات المالية إعداد دورة مراجعة تحدد وتيرة عمليات مراجعة مكافحة الاحتيال المالي.
ج. يجب على المؤسسات المالية وضع خطة مراجعة رسمية لمكافحة الاحتيال المالي تتناول الموظفين والعمليات والمكونات التقنية.
د. يجب أن تتماشى وتيرة مراجعة مكافحة الاحتيال المالي مع مخرجات تقييم مخاطر الاحتيال، والنظر في مدى أهمية ومخاطر نظام مكافحة الاحتيال المالي أو الرقابة أو العملية.
هـ. يجب على إدارة المراجعة الداخلية في المؤسسات المالية إنجاز التحقق الدوري من صحة تنفيذ الإجراءات التصحيحية ذات الصلة بمكافحة الاحتيال المالي، بما في ذلك تلك الناتجة عن تعليمات البنك المركزي.
و. يجب على المؤسسات المالية التأكد من أن مدققي مكافحة الاحتيال المالي يتمتعون بالمستوى المطلوب من الكفاءات والمهارات اللازمة لتقييم وتقدير مدى كفاية سياسات وإجراءات وعمليات وضوابط مكافحة الاحتيال المالي المطبقة بشكل فعال.
ز. يجب أن تشمل تقارير مراجعة مكافحة الاحتيال المالي، على الأقل، ما يلي:
1. تضمين النتائج والتوصيات واستجابة الإدارة مع خطة عمل محددة والجهة المسؤولة والقيود المفروضة على النطاق فيما يتعلق بعمليات مراجعة مكافحة الاحتيال المالي.
2. يتم توقيعها وتأريخها وتوزيعها بحسب الصيغة المحددة.
3. تقديمها إلى لجنة المراجعة على أساس دوري.
ح. يجب إعداد عملية متابعة لملاحظات المراجعة لتتبع ورصد ملاحظات المراجعة الخاصة بمكافحة الاحتيال المالي.
4. المنع
يشتمل البرنامج الفعال لمكافحة الاحتيال المالي على عمليات وضوابط لمنع الاحتيال لتسهيل تحديد التهديدات والتخفيف من حدة مخاطر حدوث الاحتيال. تعتبر هذه العمليات والضوابط استباقية، وتهدف إلى منع المحتال من التصرف قبل أن يتسبب في ضرر للمؤسسة أو عملائها.
الشكل 5 - مجال المنع
1.4 إدارة المخاطر
المبدأ
يجب تحديد إطار إدارة مخاطر الاحتيال والموافقة عليه وتنفيذه، ويجب أن يتماشى مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
متطلبات الرقابة
أ. يجب تحديد إطار إدارة مخاطر الاحتيال والموافقة عليه وتنفيذه.
ب. يجب قياس فعالية إطار إدارة مخاطر الاحتيال وتقييمها بشكل دوري باستخدام مؤشرات الأداء الرئيسية، بما في ذلك على الأقل حجم وقيمة حالات الاحتيال.
ج. يجب مواءمة إطار إدارة مخاطر الاحتيال مع عملية إدارة المخاطر المؤسسية في المؤسسة المالية.
د. يجب أن يتناول إطار إدارة مخاطر الاحتيال على الأقل ما يلي:
1. المراقبة الاستخباراتية.
2. تقييم مخاطر الاحتيال.
3. قابلية مخاطر الاحتيال.
4. مؤشرات المخاطر الرئيسية.
هـ. يجب أن تشمل أنشطة إدارة مخاطر الاحتيال، على سبيل المثال لا الحصر، أصحاب المصلحة التاليين:
1. أصحاب الأعمال والمستخدمين.
2. المخاطر التشغيلية.
3. إدارة مكافحة الاحتيال المالي.
4. إدارة الأمن السيبراني وإدارة تقنية المعلومات.
5. الموارد البشرية.
6. إدارة التحول الرقمي.
1.1.4 المراقبة الاستخباراتية
المبدأ
يجب على المؤسسات المالية الاعتماد على مجموعة متنوعة من مصادر البيانات الداخلية والخارجية لتحديد ومراقبة تهديدات الاحتيال الناشئة.
متطلبات الرقابة
أ. يجب تحديد عملية مراقبة استخبارات الاحتيال والموافقة عليها وتنفيذها.
ب. عند تحديد عملية المراقبة الاستخباراتية، يجب على المؤسسات المالية أن تراعي مبادئ تحليل التهديدات السيبرانية الصادرة عن البنك المركزي.
ج. يجب أن تخضع فعالية المراقبة الاستخباراتية للاحتيال لتقييم دوري لتقدير ما إذا كانت المصادر المُستخدمة شاملة وما إذا كانت المعلومات الاستخبارية المُجمعة تسهم في منع الاحتيال.
د. يجب أن تتضمن عملية المراقبة الاستخباراتية ما يلي:
1. مسح وجمع وتحليل وتقييم ونشر المعلومات حول التهديدات الحالية والناشئة.
2. تسجيل التفاصيل ذات الصلة بالتهديدات المحددة، مثل طريقة العمل والجهات الفاعلة والدوافع وأصل الهجمات (على سبيل المثال، مجموعة الجريمة المنظمة والولاية القضائية) ونوع التهديدات.
3. اتخاذ الإجراءات اللازمة لمواجهة التهديدات الحالية والناشئة.
4. تبادل المعلومات الاستخبارية ذات الصلة مع أصحاب المصلحة الداخليين والخارجيين (على سبيل المثال، إدارة الأمن السيبراني، إدارة العمليات التجارية أو البنك المركزي).
هـ. يجب أن تعتمد أنشطة المراقبة الاستخباراتية على مجموعة من مصادر المعلومات لإعداد فهم شامل لمشهد الاحتيال في المؤسسة المالية. كحد أدنى، يجب أن تشمل ما يلي:
1. تقارير المراجعة الداخلية ومخرجات التحقيق في الاحتيال وتحليل سيناريو الاحتيال الذي يغطي محاولات الاحتيال الفعلية لتحديد أساليب وتقنيات وإجراءات الاحتيال الشائعة.
2. أنواع الاحتيال الجديدة والناشئة التي تم تحديدها بواسطة أنظمة كشف الاحتيال أو محققي الاحتيال أو إدارة مكافحة الاحتيال المالي.
3. الرؤى من إدارات الدعم (مثل المراجعة الداخلية والامتثال وأحداث الأمن السيبراني وإدارة الحوادث).
4. مصادر خارجية موثوقة وذات صلة بشأن توجهات الاحتيال محليًا وعالميًا (على سبيل المثال، الوكالات الحكومية، ومنتديات وأحداث الاحتيال، وموردي أنظمة مكافحة الاحتيال المالي، والمعلومات مفتوحة المصدر، ومصادر الاشتراك).
و. يجب على المؤسسات المالية، إلى الحد الذي لا يحظره القانون أو الشروط التعاقدية، أن تتعاون في تبادل معلومات مكافحة الاحتيال المالي بما في ذلك أنواع الاحتيال الناشئة، ومعلومات تهديدات الاحتيال حول المجموعات التي قد ترتكب عمليات الاحتيال، وأساليب وتقنيات وإجراءات الاحتيال الشائعة وتوجهات السوق مع البنك المركزي والمؤسسات الأخرى في القطاع.
ز. يجب على المؤسسات المالية مشاركة معلومات تسجيل الدخول لحالات الاحتيال المؤكدة (على سبيل المثال، معرف الهاتف المحمول أو معرف الجهاز، عنوان بروتوكول الإنترنت) من خلال اللجنة القطاعية لمكافحة الاحتيال.
ح. يجب على المؤسسات المالية إجراء تحليل لمعلومات تسجيل الدخول التي تشاركها المؤسسات المالية الأخرى لتقييم مستوى التعرض لعملائها وتسجيل الإجراءات المكتملة في ورقة سجل التحليل التي قد تخضع لمراجعة مستقلة.
2.1.4 تقييم مخاطر الاحتيال
المبدأ
يجب على المؤسسات المالية إجراء تقييم لمخاطر الاحتيال لتحديد مخاطر الاحتيال التي يتعرضون لها أو يتعرض لها عملاؤها وتقييم فعالية الضوابط المعمول بها للتخفيف من حدة المخاطر.
متطلبات الرقابة
أ. يجب على المؤسسة المالية إجراء تقييم لمخاطر الاحتيال على مستوى المؤسسة كجزء من برنامجها لمكافحة الاحتيال المالي.
ب. يجب أن يستند تقييم مخاطر الاحتيال إلى منهجية موثقة لتقييم مخاطر الاحتيال.
ج. كحد أدنى، يجب أن تتضمن منهجية تقييم مخاطر الاحتيال ما يلي:
1. تحديد مخاطر الاحتيال الكامنة التي تتعرض لها المؤسسة المالية وعملائها.
2. تقييم احتمالية حدوث المخاطر الكامنة وأثرها على المؤسسة المالية وعملائها في حالة وقوع المخاطر الكامنة.
3. اختبار فعالية الضوابط المعمول بها لمنع المخاطر الكامنة التي تم تحديدها وكشفها والاستجابة لها.
4. تحديد مخاطر الاحتيال المتبقية التي تظل المؤسسة المالية معرضة لها بعد اختبار الضوابط المطبقة.
5. وضع خطط عمل لمعالجة المخاطر المتبقية التي تقع خارج نطاق القدرة على تحمل المخاطر أو التي قد تؤدي إلى خرق اللوائح.
6. المراقبة المستمرة لخطط العمل للتحقق من أن المخاطر في حدود يمكن تحملها.
د. يجب تسجيل المخاطر التي تم تحديدها في تقييم مخاطر الاحتيال في سجل مركزي رسمي.
هـ. يجب توثيق الإجراءات الرامية إلى معالجة الفجوات التي تم تحديدها في تقييم مخاطر الاحتيال في خطة العلاج ومراجعتها للتأكد من ملاءمتها وفعاليتها للحد من المخاطر.
و. يجب أن تتم الموافقة رسميًا على نتائج تقييم مخاطر الاحتيال من جانب مسؤول العمل المعنيّ.
ز. عند تقييم مخاطر الاحتيال، يجب على المؤسسات المالية مراعاة ما يلي:
1. كل من عمليات الاحتيال التي يرتكبها أشخاص من خارج المؤسسة (احتيال خارجي) وعمليات الاحتيال التي يرتكبها أشخاص يعملون في المؤسسة أو بمساعدة منهم (احتيال داخلي).
2. مخرجات المراقبة الاستخباراتية وتقييمات التهديد.
3. حوادث الاحتيال وأحداث الخسارة.
4. نمذجة التهديدات المحتملة للمؤسسة من خلال تحليل سيناريو الاحتيال.
5. المخاطر المتعلقة بالمنتجات - المنتجات والخدمات المُقدمة وكيف يمكن استخدامها لارتكاب عمليات الاحتيال.
6. مخاطر العملاء - قاعدة عملاء المؤسسة، بما في ذلك، على سبيل المثال لا الحصر، نوع العميل (على سبيل المثال، عميل فرد أو شركة أو جهة خاضعة للتنظيم)؛ عدد العملاء مستوى الوعي بالاحتيال؛ والتعرض للاحتيال.
7. مخاطر قناة التنفيذ - القنوات التي يمكن للعميل استخدامها للتواصل مع المؤسسة المالية أو الوصول إلى منتجاتها وخدماتها، مع مراعاة خاصة لمخاطر التفاعل عن بُعد مع زيادة التحول الرقمي للمنتجات.
8. مخاطر المعاملات - طرق إجراء المعاملات أو استلام الأموال أو تحويل القيمة.
9. مخاطر الولاية القضائية - المخاطر الإضافية التي يمكن فيها استخدام المنتجات والخدمات في بلد أجنبي.
10. مخاطر الأطراف الخارجية - الاستعانة بأطراف خارجية لتقديم الخدمات إلى المؤسسة أو عملائها.
11. المخاطر الأمنية لنقطة النهاية للدفع بالجملة - مخاطر مدفوعات الجملة الشاملة، بما في ذلك التواصل (المؤسسة المالية مع مؤسسة مالية أخرى، والمؤسسة المالية مع النظام)؛ الأنظمة (محطة العمل)؛ الموظفين والعمليات.
ح. يجب على المؤسسات المالية ضمان مراعاة تقييم مخاطر الاحتيال للاحتيال عبر الإنترنت، بما في ذلك التفاعل مع نموذج إدارة مخاطر الأمن السيبراني الخاص بالمؤسسة المالية.
ط. يجب إجراء تقييم مخاطر الاحتيال على الأقل على أساس سنوي.
ي. علاوة على ذلك، يجب على المؤسسات المالية تحديث تقييم مخاطر الاحتيال الخاص بها ليشمل التغييرات في بيئة مخاطر الاحتيال الداخلية أو الخارجية. تشمل هذه التغييرات، على سبيل المثال لا الحصر، ما يلي:
1. تحديد فجوة أو نقطة ضعف جديدة في بيئة الرقابة.
2. المتطلبات التنظيمية الجديدة.
3. المنتجات والخدمات الجديدة.
4. القنوات الجديدة للتسويق والمنصات الرقمية الجديدة.
5. عمليات الاستحواذ التجارية الجديدة.
6. بيع أو التصرف في أجزاء من أعمال المؤسسة المالية.
7. التغييرات في البيئة الداخلية (مثل الهيكل التنظيمي).
8. الحصول على معلومات جديدة في المراقبة الاستخباراتية للاحتيال.
3.1.4 القدرة على تحمل المخاطر
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتطبيق قابلية مخاطر الاحتيال عند تصميم وتنفيذ أنظمة وضوابط مكافحة الاحتيال المالي.
متطلبات الرقابة
أ. يجب تحديد مدى استعداد المؤسسة المالية لقابلية مخاطر الاحتيال لتحديد مستوى مخاطر الاحتيال التي ترغب المؤسسة المالية في تحملها.
ب. يجب أن تستند قدرة المؤسسة المالية في قابلية مخاطر الاحتيال إلى نتائج تقييم مخاطر الاحتيال، وأن تتماشى مع القدرة العامة على تحمل المخاطر في المؤسسة.
ج. عند تحديد قابلية مخاطر الاحتيال، يجب على المؤسسات المالية وضع تدابير ذات عتبات وحدود مرتبطة بها تعالج التأثير على كل من:
1. المؤسسة المالية (على سبيل المثال، خسائر الاحتيال، والإضرار بالسمعة)؛
2. وعملائها (على سبيل المثال، خسائر العملاء، عدد ضحايا الاحتيال، الإزعاج).
د. في حالة انتهاك حد قابلية مخاطر الاحتيال مما يؤثر على العملاء، يجب على المؤسسة المالية التصعيد إلى الإدارة العليا والبدء في عملية إدارة الأزمات التي ينبغي أن:
1. إشراك الرئيس التنفيذي وكبار المسؤولين الآخرين في المؤسسة المالية.
2. اشتراط عقد اجتماعات أسبوعية على الأقل حتى يتم حل المشكلة ويعود الإجراء إلى مستوى مقبول.
هـ. يجب مراجعة قابلية مخاطر الاحتيال على أساس سنوي على الأقل واعتمادها رسميًا من قبل مجلس الإدارة.
و. يجب مراقبة قابلية مخاطر الاحتيال وتحديثها لإجراء تغييرات جوهرية على نموذج أعمال المؤسسة المالية.
4.1.4 مؤشرات المخاطر الرئيسية
المبدأ
يجب على المؤسسات المالية تحديد مؤشرات المخاطر الرئيسية والموافقة عليها ومراقبتها لقياس وتقييم الموقف وفق قابلية مخاطر الاحتيال المتفق عليها وتقديم إشارة مبكرة إلى زيادة التعرض لمخاطر الاحتيال.
متطلبات الرقابة
أ. يجب أن تستند مؤشرات المخاطر الرئيسية التي تحددها المؤسسة المالية إلى منهجية موثقة تتطلب ما يلي:
1. ترصد مؤشرات المخاطر الرئيسية التعرض للمخاطر المحددة في تقييم مخاطر الاحتيال.
2. تنظر مؤشرات المخاطر الرئيسية في المخاطر التي تتعرض لها المؤسسة (على سبيل المثال، خسائر الاحتيال، والتأثير على السمعة، والإدارة التشغيلية لتنبيهات الاحتيال) وعملائها (على سبيل المثال، خسائر العملاء).
3. تعتمد لجنة الحوكمة المختصة بمكافحة الاحتيال مؤشرات المخاطر الرئيسية، أو لجنة المخاطر الأوسع التي تدير برنامج مكافحة الاحتيال المالي بما يتماشى مع المتطلبات المدرجة في المجال الفرعي 1.3.
4. لكل مؤشر مخاطر رئيسي مالك معتمد يتحمل المسؤولية عن مراقبة المؤشر واتخاذ الإجراءات المبكرة إذا تجاوز التعرض للمخاطر قابلية مخاطر الاحتيال.
5. سيتم الإبلاغ بشكل دوري عن مؤشرات المخاطر الرئيسية إلى الإدارة العليا وأصحاب المصلحة المعنيين (على الأقل، كل ربع سنوي).
6. يجب مراجعة مؤشرات المخاطر الرئيسية وتحديثها على الأقل على أساس سنوي وبوتيرة أعلى استجابة للتغيرات المادية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ب. يجب أن تكون مؤشرات المخاطر الرئيسية تطلعية، وتقدم إشارة مبكرة لزيادة التعرض لمخاطر الاحتيال بدلاً من مجرد قياس حجم الاحتيال أو الخسائر (على سبيل المثال، الضوابط المصنفة على أنها غير فعالة في اختبار الرقابة؛ أو فشل الموظفين في إكمال التدريب الإلزامي على الاحتيال؛ أو تنبيهات الاحتيال التي لم تتم مراجعتها ضمن اتفاقيات مستوى الخدمة المحددة).
ج. عند إعداد مؤشرات المخاطر الرئيسية، يجب على المؤسسات المالية وضع الحدود التي تسمح لها بتحديد ما إذا كانت النتيجة الفعلية للقياس أقل من أو عند أو أعلى من موضع القدرة على تحمل المخاطر المستهدف.
د. يجب على المؤسسات المالية التأكد من أن المقاييس المرتبطة بمؤشرات المخاطر الرئيسية كاملة ودقيقة، ويتم إعدادها في الوقت المناسب.
2.4 العناية الواجبة
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ معايير لتقييم مخاطر الاحتيال المرتبطة بالموظفين والعملاء والأطراف الخارجية لمنع إنشاء علاقات خارج نطاق القدرة على تحمل مخاطر الاحتيال وإدارة مخاطر الاحتيال طوال مدة العلاقة.
متطلبات الرقابة
أ. يجب تحديد معايير العناية الواجبة وتعميمها وتنفيذها.
ب. يجب أن تتم الموافقة على معايير العناية الواجبة من جانب الأفراد ذوي المسؤولية المناسبة (على سبيل المثال، العناية الواجبة للموظفين في الموارد البشرية).
ج. يجب أن تراعي معايير العناية الواجبة الموظفين والعملاء والأطراف الخارجية.
د. يجب أن تتماشى معايير العناية الواجبة مع المخاطر المحددة في تقييم مخاطر الاحتيال.
هـ. يجب على المؤسسات المالية مراجعة وتحديث معايير العناية الواجبة على أساس دوري واستجابة للتغيرات المادية في مشهد الاحتيال، أو تقييم مخاطر الاحتيال في المؤسسة المالية، أو مجموعات العملاء التي تخدمها المؤسسة المالية، أو التغييرات في المنتجات أو الخدمات التي تقدمها.
و. يجب قياس مدى فعالية معايير العناية الواجبة الخاصة بالاحتيال وتقييمها بشكل دوري.
ز. يجب أن تشمل معايير العناية الواجبة ما يلي:
1. فحوصات ومتطلبات العناية الواجبة التي يجب إجراؤها لتقديم فهم مستنير لمخاطر الاحتيال.
2. عندما يجب إجراء العناية الواجبة.
3. الدور (الأدوار) الوظيفي المسؤول عن إجراء العناية الواجبة والموافقة عليها.
4. العلامات الحمراء أو العلامات التحذيرية التي قد تشير إلى زيادة خطر الاحتيال وتؤدي إلى ضرورة التصعيد أو استكمال عمليات التحقق الإضافية.
5. العلامات الحمراء أو العلامات التحذيرية التي تشير إلى أن الموظف أو العميل أو الطرف الخارجي خارج نطاق القدرة على تحمل المخاطر، ويجب رفض العلاقة أو إنهاؤها.
6. الخطوات الواجب اتخاذها لإنهاء العلاقات خارج نطاق القدرة على تحمل المخاطر.
1.2.4 العناية الواجبة للموظفين
المبدأ
يجب على المؤسسات المالية التأكد من إجراء فحوصات خلفية للموظفين، بما في ذلك المتعاقدين، لتقليل التعرض لمخاطر الاحتيال الداخلي والإضرار بالسمعة الناتج عن تصرفات موظفي المؤسسة المالية.
متطلبات الرقابة
أ. يجب أن تعكس إجراءات العناية الواجبة للموظفين مخاطر الاحتيال الداخلي الذي يؤثر على المؤسسة المالية.
ب. يجب أن تهدف العناية الواجبة للموظفين إلى تحديد هوية الموظف ونزاهته والتحقق من أوراق اعتماده، مما يمكّن المؤسسة المالية من تحديد ما إذا كان مناسبًا للمنصب.
ج. يجب أن تتكون العناية الواجبة للموظفين من التحقق والفحوصات الخلفية للموظف، بما في ذلك على سبيل المثال لا الحصر:
1. تأكيد الهوية.
2. فحص الخلفية الجنائية.
3. فحص تضارب المصالح.
4. التحقق من صحة المؤهلات المزعومة.
5. فحوصات التوظيف السابقة.
د. يجب أن تكون العناية الواجبة للموظفين:
1. يجب إجراؤها كجزء من عملية التوظيف.
2. يجب إعادة التقييم عندما ينتقل موظف حالي إلى دور جديد.
3. يتم إعادة تنفيذها بشكل دوري وفقًا لنهج قائم على المخاطر (على سبيل المثال، إعادة إجراء فحص السلوك الإجرامي أو الاحتيالي للتحقق من أن الموظفين ما زالوا مناسبين للمنصب).
هـ. يجب على المؤسسات المالية تقييم الأدوار التي تمثل خطرًا كبيرًا للاحتيال وتوثيق أي فحوصات معززة مطلوبة.
و. يجب الاحتفاظ بنتائج فحوصات العناية الواجبة للموظفين بما يتماشى مع سياسات إدارة سجلات المؤسسة المالية فيما يتعلق بالمعلومات الشخصية.
2.2.4 العناية الواجبة تجاه العملاء
المبدأ
يجب على المؤسسات المالية وضع ضوابط لتسجيل هويات العملاء والتحقق من صحتها لتقليل التعرض لخسائر الاحتيال الخارجي.
متطلبات الرقابة
أ. عند إنشاء علاقة جديدة مع العميل، يجب على المؤسسات المالية التأكد من هوية العميل والتحقق منها للتأكد بشكل معقول من عدم تعرضه لمخاطر الاحتيال.
ب. يجب أن تتماشى العناية الواجبة تجاه العملاء مع سياسات المؤسسة المالية بشأن مكافحة غسل الأموال ومكافحة تمويل الإرهاب.
ج. يجب إجراء العناية الواجبة تجاه العملاء كجزء من عملية الإلحاق وفي الأوقات المناسبة في العلاقة المستمرة مع العميل (على سبيل المثال، إضافة منتج ائتماني جديد).
د. يجب تعزيز العناية الواجبة تجاه العملاء من خلال فحوصات إضافية للعملاء ذوي المخاطر العالية أو استجابة لتهديد الاحتيال المتزايد (على سبيل المثال، في حالة الاشتباه في انتحال الشخصية أو كان هناك قلق بشأن صحة أو شرعية المستندات المقدمة لإثبات الهوية أو إثبات التاريخ المالي) .
هـ. عندما تبدأ علاقة مع العملاء عن بُعد (على سبيل المثال، عبر الإنترنت)، يجب على المؤسسات المالية تقييم مخاطر انتحال الشخصية وإنشاء حسابات وهمية، وتنفيذ الضوابط المناسبة للتخفيف من المخاطر، بما في ذلك على سبيل المثال لا الحصر:
1. التأكد من ربط رقم الهاتف أو الهوية الوطنية/الإقامة بتطبيق عميل واحد فقط. في حالة تحديد استثناء (على سبيل المثال، أحد أفراد الأسرة المُعالين)، يجب إجراء فحوصات العناية الواجبة الإضافية للتحقق من صحة التطبيق ويجب إعداد حالات استخدام المراقبة.
2. المصادقة على طلب فتح الحساب عبر البوابة الوطنية لتسجيل الدخول الموحد باستخدام المصادقة البيومترية (على سبيل المثال، التعرف على الوجه من جهة وطنية موثوقة).
3. التحقق من أن ملكية رقم الهاتف مسجلة لنفس المستخدم من خلال جهة موثوقة (أي مطابقة اسم صاحب الحساب وبطاقة الهوية الوطنية).
4. بما في ذلك آلية كلمة المرور لمرة واحدة التي توضح أنه يتم فتح حساب جديد كشكل من أشكال التحقق. يجب إرسال كلمة المرور لمرة واحدة إلى رقم الهاتف الذي تم التحقق منه.
5. يجب إرسال إشعار استكمال فتح الحساب إلى رقم الهاتف الذي تم التحقق منه والمسجل للحساب وكذلك إلى رقم الهاتف المسجل في البوابة الوطنية لتسجيل الدخول الموحد.
6. يتطلب استخدام العنوان الوطني المسجل.
7. عندما يتم توفير البطاقة المادية، يجب أن تكون:
أ. يتم إرسالها إلى العنوان الوطني المسجل للعميل فقط؛
ب. أو يتم استلامها من جهاز الصّراف الآلي مع التحقق من العميل باستخدام المصادقة البيومترية.
8. بعد الإعداد الأولي، يجب وضع قيود على الحساب (على سبيل المثال، الحد المخفض لقيمة المعاملة) حتى الوقت الذي تتحقق فيه المؤسسة المالية من أن العميل حقيقي (على سبيل المثال، استخدام آلية المصادقة البيومترية من خلال التعرف على الوجه من طرف وطني موثوق به بشكل دوري، التواجد الفعلي في فرع أو كشك مدعوم بالقياسات البيومترية، ونمط منتظم لنشاط الحساب على مدى فترة من الزمن).
9. إعداد حالات استخدام شاملة لتحديد الحسابات الوهمية المحتملة بشكل استباقي وتنفيذ مراقبة حالات الاستخدام من خلال برامج الكشف (على سبيل المثال، قيمة الأموال الواردة، وارتفاع وتيرة المعاملات، وأنماط المعاملات التي لا تتناسب مع السلوكيات المتوقعة، والزيادة المفاجئة في النشاط بعد السكون).
10. القياس والتقييم الدوري لفعالية الضوابط للتخفيف من حدة مخاطر انتحال الشخصية وإنشاء حسابات وهمية.
3.2.4 العناية الواجبة تجاه الأطراف الخارجية
المبدأ
يجب على المؤسسات المالية التأكد من إجراء العناية الواجبة المتناسبة مع الأطراف الخارجية لفهم مخاطر الاحتيال المرتبطة بالعلاقات التجارية والتأكد من إدارة الأطراف الخارجية بشكل مناسب للتخفيف من المخاطر.
متطلبات الرقابة
أ. يجب أن تتكون العناية الواجبة تجاه الأطراف الخارجية من عمليات فحص وإجراءات فحص بناءً على نهج قائم على المخاطر للسماح بتقييم مخاطر الاحتيال التي تمثلها العلاقة.
ب. يجب إجراء العناية الواجبة تجاه الأطراف الخارجية قبل الدخول في الالتزام بعلاقة جديدة
ج. يجب مراجعة العناية الواجبة تجاه الأطراف الخارجية دوريًا أو بعد وجود سبب يشير إلى زيادة خطر الاحتيال (على سبيل المثال، المخاوف بشأن سلوك طرف خارجي أو موظفيه؛ أو المقالات الإعلامية السلبية).
د. يجب تعزيز العناية الواجبة تجاه الطرف الخارجي من أجل:
1. الأطراف الخارجية ذات المخاطر العالية أو ممثليهم
2. الأطراف الخارجية التي تقدم خدمات حيوية للمؤسسة المالية.
هـ. يجب أن تتضمن عمليات التحقق من العناية الواجبة المعززة تجاه الطرف الخارجي خطوات إضافية لتقييم مخاطر الاحتيال التي تمثلها العلاقة (على سبيل المثال، الفحص الإضافي أو تقييم نهج الطرف الخارجي لإدارة مخاطر الاحتيال).
و. عندما تقوم إحدى المؤسسات المالية بالاستعانة بمصادر خارجية لتنفيذ الخدمات لصالح مؤسسة خارجية، يجب على هذا الطرف الخارجي الالتزام بسياسة مكافحة الاحتيال المالي الخاصة بالمؤسسة المالية أو تطبيق نهج مماثل.
3.4 التدريب والتوعية
المبدأ
يجب تحديد برنامج للتوعية بالاحتيال والموافقة عليه وتنفيذه للموظفين والعملاء والأطراف الخارجية في المؤسسة المالية.
متطلبات الرقابة
أ. يجب تحديد برنامج التوعية بالاحتيال والموافقة عليه وتنفيذه لتعزيز الوعي بمخاطر الاحتيال والتوعية بشأن منع الاحتيال المحتمل وكشفه والاستجابة له وإرساء ثقافة إيجابية لمكافحة الاحتيال المالي.
ب. يجب أن يتضمن برنامج التوعية بالاحتيال تغطية ما يلي:
1. الموظفين في المؤسسة المالية.
2. عملاء المؤسسة المالية.
3. الأطراف الخارجية التي لها علاقات مع المؤسسة المالية.
ج. يجب أن يتكون برنامج التوعية بالاحتيال من مواد تدريبية وتعليمية وتوعوية ترتبط ارتباطًا مباشرًا بالمخاطر والتهديدات المحددة في تقييم مخاطر الاحتيال.
د. يجب أن يتضمن برنامج التوعية بالاحتيال ما يلي:
1. تحديد طبيعة وحجم ونطاق التدريب والتعليم الذي سيتم تقديمه.
2. أن يكون مصممًا ليناسب الفئات المستهدفة المختلفة.
3. تنفيذه عبر قنوات متعددة.
هـ. يجب أن تتم أنشطة برنامج التوعية بالاحتيال بشكل دوري وعلى مدار العام.
و. يجب على المؤسسات المالية التأكد من تحديث البرنامج سنويًا على الأقل لمراعاة التغييرات في مشهد تهديدات الاحتيال أو استجابة لتهديدات الاحتيال الجديدة المُحددة في المراقبة الاستخباراتية.
ز. عندما يؤثر نوع الاحتيال الجديد أو الناشئ على المؤسسة المالية وعملائها، يجب على المؤسسات المالية اتخاذ إجراءات فورية لتوعية الموظفين والعملاء والأطراف الخارجية ذات الصلة بالتهديد والتدابير الوقائية التي يتعين اتخاذها (حيثما ينطبق ذلك).
ح. يجب على المؤسسات المالية مراقبة وتقييم فعالية برنامج التوعية بالاحتيال وتنفيذ التحسينات عند الاقتضاء.
1.3.4 تدريب الموظفين وتوعيتهم بشأن الاحتيال
المبدأ
يجب على المؤسسات المالية تحديد وتقديم برنامج تدريب وتوعية للموظفين حول الاحتيال لتمكين الموظفين من التعرف على الاحتيال والإبلاغ عنه على الفور.
متطلبات الرقابة
أ. يجب أن يمكَّن التدريب على مكافحة الاحتيال المالي الموظفين من اكتساب فهم ومعرفة واضحة عن سياسات وإجراءات مكافحة الاحتيال المالي في المؤسسة المالية ومسؤولياتهم الشخصية فيما يتعلق بمنع الاحتيال واكتشافه.
ب. يجب تقديم التدريب لجميع الموظفين أثناء عملية الإعداد أو بعدها بفترة قصيرة وتحديثها على فترات منتظمة.
ج. يجب أن يكون برنامج التدريب والتوعية بشأن الاحتيال في المؤسسة المالية قائمًا على المخاطر، بما في ذلك متطلبات تزويد بعض الموظفين بتدريب متخصص اعتمادًا على مخاطر الاحتيال المرتبطة بدورهم الوظيفي (على سبيل المثال، المديرين الذين يشغلون مناصب السلطة، والموظفين الذين يتعاملون مع العملاء في الفروع، والموظفين الذين ينفذون ضوابط مكافحة الاحتيال المالي والمحققين في حوادث الاحتيال).
د. يجب أن يتضمن التدريب على مكافحة الاحتيال المالي اختبار معرفة لتقييم ما إذا كان الموظف قد فهم المحتوى. يجب أن يُطلب من الموظفين الذين لم يجتازوا اختبار المعرفة إعادة التدريب ويجب مراقبة معدلات النجاح، مع اتخاذ الإجراء في حالة حدوث إخفاقات متكررة (على سبيل المثال، إعادة التدريب عبر طريقة أخرى أو إلغاء سلطة الرقابة على مكافحة الاحتيال المالي حتى اجتياز التدريب).
هـ. يجب تدريب أعضاء مجلس الإدارة والإدارة العليا في المؤسسات المالية على مكافحة الاحتيال بما يتناسب مع أهمية أدوارهم الوظيفية (على سبيل المثال، الوعي بالاحتيال، ووضع الثقافة والحوكمة المناسبة).
و. يجب تعزيز التدريب المُقدم رسميًا من خلال نشاط تثقيف الموظفين المستمر للحفاظ على الوعي العام بالاحتيال لدى الموظفين (على سبيل المثال، إصدار تذكيرات وتعميمات حول المؤشرات المحتملة للاحتيال وأنواع الاحتيال الشائعة).
ز. يجب على المؤسسات المالية حفظ سجلات التدريب على مكافحة الاحتيال المُقدم للموظفين وأنشطة التوعية التي تم إجراؤها.
ح. يجب أن يكون لدى المؤسسات المالية عملية موثقة لإدارة الموظفين غير الملتزمين بمتطلبات التدريب الخاصة بأدوارهم الوظيفية.
2.3.4 توعية العملاء بعمليات الاحتيال
المبدأ
يجب على المؤسسات المالية تحديد وتنفيذ برنامج نشاط لتوعية العملاء بالاحتيال لزيادة فهم العملاء لمخاطر الاحتيال؛ ومساعدة العملاء على التعرف على محاولات الاحتيال ومقاومتها؛ وإبلاغهم بكيفية الإبلاغ عن الاحتيال.
متطلبات الرقابة
أ. يجب أن يقدم نشاط التوعية بالاحتيال للعملاء التعريف المناسب بالوقت المناسب علاوة على تعزيز الوعي بالاحتيال.
ب. يجب أن يتضمن النشاط الذي يتم تقديمه من خلال برنامج التوعية بالاحتيال للعملاء على ما يلي كحد أدنى:
1. معلومات عن تهديدات الاحتيال وعمليات النصب التي قد يتعرض لها العملاء.
2. مسؤوليات العملاء حول مكافحة الاحتيال.
3. كيف يمكن للعملاء منع أنفسهم من التحول لضحايا احتيال.
4. كيفية إبلاغ المؤسسة المالية إذا كان العميل يعتقد أنه وقع ضحية للاحتيال.
ج. يجب أن يكون نشاط توعية العملاء بالاحتيال مصممًا خصيصًا لتوجهات الاحتيال الحالية التي تؤثر على المؤسسة المالية وقطاعها، بما في ذلك على سبيل المثال لا الحصر، أنواع الاحتيال التي تمت ملاحظتها ونقطة الثغرة التي أدت إلى الاحتيال (على سبيل المثال، الرسائل النصية القصيرة والبريد الإلكتروني ووسائل التواصل الاجتماعي).
د. يجب أن يغطي نشاط توعية العملاء بالاحتيال مدة دورة العمل مع العميل (على سبيل المثال، الإلحاق والتغييرات في مقتنيات المنتج والمعاملات والتسويات).
هـ. يجب على المؤسسات المالية تقديم مواد توعية للعملاء من خلال جميع قنوات التواصل المقدمة للعميل (على سبيل المثال، موقع الويب، وتطبيق الهاتف المحمول، والبريد الإلكتروني، والبريد، والرسائل النصية القصيرة).
و. يجب على المؤسسات المالية تقديم تعليم إضافي حول الحماية من الاحتيال للعملاء الذين قد يكونون عرضة لعملية احتيال أو كانوا ضحايا لها (على سبيل المثال، الدعم عبر الهاتف أو المواد الإضافية عبر البريد الإلكتروني أو البريد).
3.3.4 توعية الأطراف الخارجية بالاحتيال
المبدأ
يجب على المؤسسات المالية تحديد وتقديم برنامج متناسب لتوعية الأطراف الخارجية بالاحتيال مع تحديد التوقعات فيما يتعلق بنشاط مكافحة الاحتيال المالي والإبلاغ الفوري عن الأنشطة المشبوهة.
متطلبات الرقابة
أ. يجب توثيق متطلبات الوعي بالاحتيال لدى الأطراف الخارجية والاتفاق عليها في الترتيبات التعاقدية حيثما ينطبق ذلك.
ب. يجب على المؤسسات المالية تقديم مواد توعية بشأن الاحتيال على أساس المخاطر إلى الأطراف الخارجية في بداية العلاقة وتحديثها دوريًا حسب الحاجة.
ج. يجب أن تتضمن متطلبات توعية الأطراف الخارجية بالاحتيال كحد أدنى ما يلي:
1. إرساء ثقافة إيجابية لمكافحة الاحتيال المالي.
2. أدوار ومسؤوليات الطرف الخارجي فيما يتعلق بالاحتيال.
3. توافق الرسائل المخصصة مع مخاطر الاحتيال في الخدمات التي يقدمها الطرف الخارجي.
4. آليات الإبلاغ المتاحة للطرف الخارجي.
4.4. المصادقة
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على معيار للمصادقة على بيانات اعتماد وتعليمات العملاء والموظفين والأطراف الخارجية لضمان حماية المعلومات ومنع الوصول أو الإجراءات غير المصرح بها. يجب أن يكون هذا قائمًا على المخاطر ويستخدم المصادقة متعددة العوامل.
متطلبات الرقابة
أ. يجب على المؤسسة المالية تحديد معيار المصادقة والموافقة عليه وتنفيذه والحفاظ عليه مع مدخلات من إدارة مكافحة الاحتيال المالي وفريق الأمن السيبراني.
ب. يجب أن يراعي معيار المصادقة الخاص بالمؤسسة المالية المخاطر المحددة في تقييم مخاطر الاحتيال وتقييم مخاطر الأمن السيبراني.
ج. يجب أن يراعي معيار المصادقة وصول العملاء إلى المنتجات والخدمات، ووصول الموظفين والأطراف الخارجية إلى أنظمة المؤسسات المالية.
د. عند تحديد معيار المصادقة، يجب على المؤسسات المالية أن تراعي متطلبات الرقابة التالية الموضحة في الدليل التتنظيمي لأمن المعلومات:
1. 5.3.3 إدارة الهوية والوصول
2. 13.3.3 الخدمات المصرفية الإلكترونية
هـ. يجب أن يغطي معيار المصادقة الخاص بالمؤسسة المالية القنوات الرقمية (مثل الخدمات عبر الإنترنت وتطبيقات الهاتف المحمول) والقنوات غير الرقمية (مثل الهاتف وأجهزة الصّراف الآلي والفروع).
و. يجب على المؤسسات المالية أن تتبنى نهجًا قائمًا على المخاطر في المصادقة مع تعليمات أو أنشطة ذات مخاطر أعلى تخضع للمصادقة متعددة العوامل قبل اتخاذ إجراء بشأنها.
ز. يجب ألا تتألف المصادقة متعددة العوامل التي تجريها المؤسسات المالية لتحديد الهوية أو التحقق من المعاملة من كلمات مرور لمرة واحدة يتم إرسالها عبر الرسائل النصية القصيرة فقط. يجب على المؤسسات المالية تنفيذ عوامل إضافية، بما في ذلك على سبيل المثال لا الحصر:
1. الموافقة على المعاملات من خلال تطبيق الهاتف المحمول (على سبيل المثال، إرسال إشعار دفع إلى تطبيق الهاتف المحمول على جهاز موثوق به).
2. خصائص الجهاز (على سبيل المثال، جهاز محمول موثوق به/معروف).
3. تحديد الموقع الجغرافي (على سبيل المثال، التحقق من الموقع أو عنوان بروتوكول الإنترنت أو التحقق من شبكة الهاتف المحمول).
4. السمات السلوكية (على سبيل المثال، الاختلافات في حجم المعاملة المعتادة و/أو القيمة و/أو الوتيرة و/أو العملة).
5. السمات السلوكية البيومترية (على سبيل المثال، تحديد التغييرات في الطريقة التي يستخدم بها العميل أو الموظف المتصفح أو الجهاز).
ح. عند إرسال كلمة مرور لمرة واحدة عبر الرسائل النصية القصيرة، يجب تحديد الغرض والمبلغ واسم التاجر بوضوح بما يتماشى مع نماذج الإشعارات المعتمدة من البنك المركزي.
ط. يجب أن تكون كلمات المرور لمرة واحدة المُرسلة عبر الرسائل النصية القصيرة باللغة التي يحددها العميل في الحساب (على سبيل المثال، العربية أو الإنجليزية).
ي. يجب على المؤسسات المالية تحديد التعليمات أو الأنشطة عالية المخاطر في معيار المصادقة، التي يجب أن تتضمن، على سبيل المثال لا الحصر، ما يلي:
1. عملية التسجيل للوصول إلى المنتج عبر الإنترنت أو تطبيق الهاتف المحمول.
2. تفعيل رمز مميز (token) على جهاز جديد أو إضافي.
3. إضافة بطاقة ائتمان/خصم إلى المحفظة الرقمية على جهاز محمول.
4. إعادة تعيين بيانات اعتماد الأمان بعد المحاولات الفاشلة للوصول إلى الهاتف أو الإنترنت أو المرافق البعيدة.
5. تسجيل الدخول إلى المنتجات الرقمية من جهاز أو موقع غير معروف مسبقًا.
6. المدفوعات إلى المحفظة الإلكترونية أو المحفظة الرقمية.
7. المعاملات أو عمليات السحب أو تحويل الأموال عالية المخاطر (على سبيل المثال، تجاوز الحدود/العتبات المحددة مسبقًا، أو التحويلات الكبيرة نسبيًا مقارنة بالرصيد الإجمالي أو التحويلات/التحويلات الدولية).
8. إضافة أو تعديل المستفيدين.
9. تغيير بيانات صاحب الحساب (مثل العنوان أو بيانات التواصل).
10. تغيير اللغة المُستخدمة في الحساب (على سبيل المثال، من العربية إلى الإنجليزية).
11. إعادة تعيين كلمة المرور أو رقم التعريف الشخصي.
12. إصدار وتفعيل بطاقة خصم/ائتمان الجديدة.
13. إعادة تنشيط الحسابات الخاملة أو الخدمات المحظورة.
14. مجموعة من الأنشطة التي قد تشير إلى الاحتيال أو الاستيلاء على الحساب (على سبيل المثال، درجة المخاطر المجمعة بعد محاولات تسجيل الدخول الفاشلة، أو شراء بطاقات الهدايا، أو استخدام جهاز جديد أو تحديد الموقع الجغرافي الجديد).
ك. يجب أن تطلب المؤسسات المالية عامل مصادقة خارجيًا (على سبيل المثال، مكالمة هاتفية إلى الرقم الموجود في الحساب الذي يتطلب التحقق من المعلومات الآمنة، أو زيارة فعلية إلى أحد الفروع، أو إنشاء رمز مميز (token) بكلمة مرور مؤقتة مرتبطة بجهاز، أو كلمة مرور لمرة واحدة) للتحقق من صحة تعليمات عندما:
1. يتم اكتشاف محاولة تسجيل دخول المستخدم إلى خدمات الهاتف المحمول والإنترنت كجلسة شاذة (على سبيل المثال، يختلف معرف الجهاز أو الموقع عن معايير تسجيل الدخول المعروفة مسبقًا أو يتم وضع علامة على عنوان بروتوكول الإنترنت باعتباره خطرًا).
2. يتم توجيه المعاملة من جهاز غير موثوق به إلى مستفيد تمت إضافته حديثًا.
3. تجاوز معدل تحويل غير طبيعي (على سبيل المثال، خمس عمليات تحويل في الساعة لعميل تجزئة).
ل. يجب على المؤسسات المالية تقييد النشاط إذا تم تحديد جلسة شاذة على المعاملات ذات المستوى المنخفض حتى تتمكن المؤسسة من مصادقة الطلب الصادر من العميل الحقيقي ويمكنها جعل الجهاز موثوقًا به.
1. يجب أن تحدد المؤسسة المالية المعاملات ذات المستوى المنخفض في معايير منع الاحتيال (راجع 6.4).
5.4. الاحتيال والجرائم المالية والمواءمة السيبرانية
المبدأ
يجب على المؤسسات المالية التأكد من توافق القدرات التشغيلية لفريق الأمن السيبراني ومكافحة الاحتيال المالي والجرائم المالية لردع الاحتيال.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد وتنفيذ عملية لمواءمة القدرات التشغيلية لفريق مكافحة الاحتيال المالي والأمن السيبراني والجرائم المالية، التي ينبغي أن تشمل على الأقل ما يلي:
1. تحديد أدوار ومسؤوليات واضحة بين فرق إدارة مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني.
2. التدريب المتبادل بين فرق إدارة مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني.
3. إجراء اتصالات متعددة التخصصات بين إدارات الجرائم الإلكترونية والمالية ومكافحة الاحتيال لتبادل المعرفة بانتظام.
4. تطوير فرق عمل مشتركة بين إدارات مكافحة الاحتيال المالي والجرائم المالية والأمن السيبراني لمواءمة ممارسات العمل وإشراك المؤسسة بشكل جماعي.
5. عقد ورش عمل مشتركة لتقييم التهديدات أو تحليل سيناريوهات الاحتيال مع وحدات الأعمال لتحديد التهديدات بشكل جماعي وتبادل الرؤى من المراقبة الاستخباراتية.
6. تخزين معلومات التهديدات ذات الصلة في مستودع مركزي، مع تقييد الوصول إلى أصحاب المصلحة المعنيين.
7. تحديد الفرص لتوحيد أنظمة وأدوات منع الاحتيال والكشف السيبراني (على سبيل المثال، توفير البيانات حول مراقبة المستخدم أو موقع العميل من خلال عنوان بروتوكول الإنترنت).
8. مواءمة نهج الاستجابة لحوادث الجرائم الإلكترونية والمالية والاحتيال حيث تقع الحوادث عبر القدرات.
9. تنسيق الإجراءات التصحيحية لتعطيل المجموعات المنظمة التي تنظم عمليات الاحتيال (على سبيل المثال، إزالة مواقع الويب المزيفة التي تم إعدادها للحصول على بيانات العملاء).
10. إجراء تدريبات مشتركة للدروس المستفادة بأثر رجعي في أعقاب حوادث الاحتيال المتعلقة بالبيانات والأنظمة والعمليات والضوابط التي تشمل مكافحة الاحتيال المالي والجرائم المالية والقدرات السيبرانية.
6.4. معايير منع الاحتيال
المبدأ
يجب أن تكون المؤسسات المالية قد حددت ووافقت ونفذت وحافظت على معايير منع الاحتيال التي يجب أن تتماشى مع مخاطر الاحتيال التي تؤثر على المؤسسة وعملائها.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد المعايير والموافقة عليها وتنفيذها وحفظها للمساعدة في منع الاحتيال ومعالجة مخاطر الاحتيال الداخلي ومخاطر الاحتيال الخارجي التي تؤثر على المؤسسة.
ب. يجب على المؤسسات المالية مراجعة وتحديث معايير منع الاحتيال على أساس دوري واستجابة للتغيرات الجوهرية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ج. يجب مراقبة الامتثال لمعايير منع الاحتيال.
د. يجب قياس فعالية معايير منع الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
هـ. يجب استخدام نتائج تقييم مخاطر الاحتيال لتحديد أين يتم تركيز نشاط الوقاية، ويجب أن تكون الضوابط متناسبة مع قدرة المؤسسة على تحمل المخاطر.
و. قد تكون معايير منع الاحتيال يدوية أو آلية، ويجب أن تتضمن على الأقل ما يلي:
1. الضوابط المُطبقة لمنع الاحتيال (على سبيل المثال، الفصل بين الواجبات، والموافقة والتصعيد، وتدريب الموظفين، والقيود على الوصول، والعناية الواجبة والتحقق من النزاهة، والإخطار بتغييرات الحساب، وحدود المعاملات، وشيكات الاكتتاب).
2. الأنظمة والتقنيات المُستخدمة لمنع الاحتيال (مثل إدارة الهوية والوصول، والمصادقة، وإصدار كلمات المرور لمرة واحدة، والقياسات البايومترية).
3. الأدوار والمسؤوليات المتعلقة بمنع الاحتيال (على سبيل المثال، مراجعة طلبات العملاء عند الإلحاق، وتصميم التدريب، والعناية الواجبة، واختبار النظام).
4. الأساس المنطقي الذي يوضح سبب ملاءمة ضوابط الوقاية للمخاطر التي تواجهها المؤسسة.
ز. يجب على المؤسسات المالية أن تحدد النهج المتبع في وضع حدود وعتبات للضوابط الوقائية (حيثما ينطبق ذلك) في معايير منع الاحتيال، مع مراعاة ما يلي:
1. نتائج تقييم مخاطر الاحتيال.
2. حوادث الاحتيال والخسائر الناجمة.
3. قابلية مخاطر الاحتيال.
1.6.4 الاحتيال الداخلي
المبدأ
يجب أن تتضمن معايير منع الاحتيال في المؤسسات المالية ضوابط مُصممة لمنع الاحتيال الداخلي.
متطلبات الرقابة
أ. يجب على المؤسسة المالية أن تدرج في معايير منع الاحتيال الخاصة بها ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الداخلي، بما في ذلك على سبيل المثال لا الحصر:
1. مطالبة الموظفين بالالتزام بمدونة قواعد السلوك.
2. إلزام جميع الموظفين بأخذ إجازة يُحظر خلالها التواصل معهم لا تقل عن 10 أيام عمل متواصلة كل عام.
3. الفصل بين الواجبات في عمليات الدفع والإنجاز بدعم من مصفوفات الترخيص الموثقة.
4. الضوابط المزدوجة أو الفحص الثانوي لعملية المراقبة، مع مراجعة إضافية أو عملية الموافقة على المعاملات التي تتجاوز الحدود التي تضعها المؤسسة المالية (على سبيل المثال، قيمة المعاملة أو المدفوعات لمورد جديد) أو المعاملات ذات المخاطر العالية (على سبيل المثال، الوصول إلى الحسابات الراكدة).
5. تقييد الوصول إلى تفاصيل العميل السرية لجميع الموظفين (على سبيل المثال، بيانات الاعتماد عبر الإنترنت، ورسائل كلمات المرور لمرة واحدة).
6. تقييد الوصول إلى بيانات حساب العميل السرية (مثل رصيد الحساب ومبلغ القرض) حيث لا يكون الاطلاع مطلوبًا في الدور الوظيفي (مثل موظفي تقنية المعلومات). عندما يكون الوصول مطلوبًا، يجب تسجيل النشاط وتخزينه بشكل آمن (انظر متطلبات الرقابة 3.5.ب).
7. متطلبات التعامل المناسب مع البيانات السرية.
8. ضوابط الوصول إلى الشيكات والنقد.
9. ضوابط لحماية الأمن المادي للأصول (على سبيل المثال، اشتراط تحديد هوية الموظفين في جميع الأوقات، وتأمين المعدات وتتبعها، وتقييد الوصول إلى الأصول الحساسة).
ب. يجب على المؤسسات المالية مراعاة متطلبات التحكم في إدارة الهوية والوصول المتعلقة بإدارة وصول المستخدم وإدارة الوصول المميز الموضحة في الدليل التنظيمي لأمن المعلومات.
ج. يجب على المؤسسات المالية التأكد أن الأفراد المسؤولين عن تشغيل ضوابط الاحتيال الداخلي مستقلون بشكل كافٍ عن الأفراد الذين يراقبونهم.
د. يجب على المؤسسات المالية وضع العمليات والضوابط المناسبة لردع وتجنب حالات تضارب المصالح ومعاملات الأطراف ذات الصلة لمديريها ومسؤوليها وموظفيها والشركات الخارجية والمتعاقدين، بما في ذلك على سبيل المثال لا الحصر:
1. وضع سياسة تحدد بوضوح السلوك المحظور.
2. الحد من تدفق المعلومات بين الإدارات الداخلية والموظفين من خلال حواجز المعلومات.
3. تقديم الإرشادات والتعليمات والأمثلة حول تجنب تضارب المصالح.
4. المطالبة بالكشف الفوري عن أي حالات تضارب أو حالات تضارب محتملة.
2.6.4 الاحتيال الخارجي
المبدأ
يجب أن تتضمن معايير منع الاحتيال في المؤسسات المالية ضوابط مُصممة لمنع الاحتيال الخارجي.
متطلبات الرقابة
أ. يجب على المؤسسة المالية أن تدرج في معايير منع الاحتيال الخاصة بها، ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الخارجي، بما في ذلك على سبيل المثال لا الحصر:
1. الخط الساخن متاح على مدار 24 ساعة للإبلاغ عن حالات الاحتيال المشتبه بها واتخاذ إجراءات فورية للرد على عمليات الاحتيال (على سبيل المثال، حظر الوصول إلى الحساب أو البطاقات).
2. توفير إمكانية الخدمة الذاتية للتوقف في حالات الطوارئ للعملاء لتجميد حساباتهم على الفور وحظر المزيد من المعاملات إذا اشتبهوا في تعرض حساباتهم للخطر.
3. ضوابط هوية العميل وإدارة الوصول للحسابات عبر الإنترنت / الهاتف المحمول والمنتجات الرقمية.
4. استخدام القوائم السوداء لفحص وحظر المعاملات أو توفير البطاقات أو الوصول إلى الأشخاص ذوي المخاطر العالية المحددة:
أ. الحسابات
ب. عناوين بروتوكولات الإنترنت
ج. عناوين البريد الإلكتروني
د. الأجهزة المُخترقة أو تلك التي تم استخدامها سابقًا للاحتيال (على سبيل المثال، تطبيق الهاتف المحمول المُسجل في حساب تم استخدامه لإجراء الاحتيال).
5. القدرة على حظر المعاملات بسرعة من حسابات/بطاقات العملاء، مع وجود ضمانات محددة لإلغاء الحظر.
6. مطالبة مستخدمي خدمات الإنترنت والهاتف المحمول بالموافقة على تفعيل نظام تحديد المواقع العالمي (GPS) أثناء جلسة نشطة للسماح للمؤسسة بمراقبة الموقع.
7. قدرة تطبيقات الهاتف المحمول على كشف الاستخدام على الأجهزة التي خضعت لكسر الحماية أو التجذير، ومن ثم، حظر استخدام التطبيق أو تقييد الوصول إلى البيانات أو الميزات الحساسة.
8. حظر استخدام خدمات الشبكة الخاصة الافتراضية عند الوصول إلى خدمات الإنترنت أو الهاتف المحمول.
9. تسجيل الجهاز الذي يسمح للمستخدمين بتسجيل الأجهزة الموثوقة لإدارة الوصول.
10. وضع قيود على عمليات تسجيل الدخول المتزامنة إلى تطبيق الهاتف المحمول، أو قيود على عدد الأجهزة التي يمكن تثبيت تطبيق الهاتف المحمول عليها والوصول إليها.
11. تحديد الحسابات غير المشروعة (على سبيل المثال، الحسابات التي تم إنشاؤها لتلقي الأموال التي تم الحصول عليها عن طريق الاحتيال وغسل عائدات الجريمة).
12. ملفات تعريف سلوك المستخدم التي تسمح بتنفيذ القواعد لمنع الوصول إلى حسابات العملاء في حالة تحديد سلوك غير عادي.
13. مراقبة عدم نشاط المنتج وسكونه، خاصة عندما يتم إعادة تنشيط المنتجات.
14. يتم إرسال إشعار للعميل عند إجراء تغييرات على البيانات الثابتة إلى التفاصيل السابقة والجديدة.
15. الدفع عبر الإنترنت والهاتف المحمول والهاتف:
أ. إرسال كلمة مرور لمرة واحدة للتحقق من جميع المدفوعات الموجهة (المستفيدين الجدد والحاليين)، بما في ذلك المعاملات من خلال حسابات التحويلات.
ب. إشعار العميل بإضافة المستفيدين الجدد (على سبيل المثال، الرسائل النصية القصيرة، معاودة الاتصال).
ج. وضع حد افتراضي للمعاملات الفردية واليومية التي يجب مراجعتها وتحديثها دوريًا عند الحاجة (على سبيل المثال، مراجعة ملفات تعريف العملاء وسلوكياتهم، وحالات الاحتيال الفعلية / خسائر العملاء).
د. إعلام العميل في حالة زيادة حد المعاملة الافتراضية (على سبيل المثال، إذا تمت ترقية نوع حساب العميل).
هـ. الخيار أمام العملاء لتقليل الحد الافتراضي للمعاملة الواحدة.
و. خيار للعملاء لتقليل الحد الافتراضي للمعاملات اليومية.
ز. الحظر الفوري على المزيد من المعاملات إذا تم الوصول إلى حد المعاملة إما من خلال المدفوعات الفردية أو المتكررة سواء لمستفيد واحد أو عدة مستفيدين.
ح. عمليات التحقق الإضافية للمصادقة:
i. المعاملات غير العادية (على سبيل المثال، المعاملات بعد فترة من سكون الحساب، والتغييرات في سلوكيات العملاء).
ii. أنماط غير عادية من المعاملات (على سبيل المثال، دفعات متعددة لنفس المستفيد في فترة قصيرة).
iii. المعاملات التي تتجاوز حد القيمة المحددة.
iv. طلبات زيادة حد المعاملات الفردية أو اليومية.
v. المعاملات الأولية بعد التسجيل في الخدمات المصرفية عبر الإنترنت أو خدمات الهاتف المحمول، أو تسجيل جهاز جديد.
ط. يجب أن تتضمن عمليات التحقق الإضافية، على سبيل المثال لا الحصر، واحدًا أو أكثر مما يلي:
i. معاودة الاتصال الآلي.
ii. معاودة الاتصال اليدوي.
iii. الرسائل النصية القصيرة إلى رقم الهاتف المحمول المسجل.
iv. المصادقة عبر القياسات البايومترية على الجهاز المحمول المسجل.
16. بطاقات الائتمان والخصم:
أ. الالتزام بجميع قواعد نظام البطاقة (على سبيل المثال، قواعد أعمال مدى، رمز Visa CVV2، رمز Mastercard CVC2).
ب. استخدام كلمات المرور لمرة واحدة للموافقة على المعاملات عبر الإنترنت.
ج. بالنسبة للمعاملات عالية المخاطر، استخدام تدابير مصادقة إضافية بالإضافة إلى كلمات مرور لمرة واحدة أو الموافقة من تطبيقات الهاتف المحمول (على سبيل المثال، معاودة الاتصال الآلي برقم الهاتف الموجود في الحساب).
د. التحقق من العنوان/الرمز البريدي لمدفوعات البطاقة عبر الإنترنت.
هـ. تم إصدار بطاقات جديدة تتطلب التنشيط قبل الاستخدام.
17. ضوابط التحقق لضمان صحة الشيكات والأدوات المماثلة.
18. الفحص الدوري لأجهزة الصراف الآلي بحثًا عن أي نشاط مشبوه أو أجهزة يمكن أن تهدد أمن البطاقة.
19. إزالة الروابط في جميع رسائل البريد الإلكتروني والرسائل النصية القصيرة المُرسلة إلى العملاء.
ب. يجب على المؤسسات المالية أيضًا تنفيذ الضوابط الوقائية التالية بالنهج القائم على المخاطر:
1. تأخير في التنشيط عندما يطلب العميل زيادة في حدود المعاملات عبر الإنترنت/الهاتف المحمول.
2. آليات الوقاية الروبوتية قبل تعليمات الدفع لتخفيف حدة مخاطر نشاط الروبوت الآلي.
3. إتاحة وظيفة للعملاء لطلب إشعار فوري بجميع معاملات الحساب والبطاقة على أجهزتهم المحمولة المُسجلة.
4. السياج الجغرافي عندما تحدث المعاملات في موقع خارج المنطقة الرئيسية للعملاء (على سبيل المثال، استخدام بيانات الموقع الجغرافي للجهاز المحمول للمطالبة بالتحقق إذا حاول المستخدم الوصول إلى المنتجات والخدمات أثناء وجوده في بلد أجنبي، وهو ما لا يتماشى مع ملف تعريف سلوك المستخدم).
5. إجراءات احتجاز التحويلات المشبوهة إلى البلدان المصنفة على أنها عالية المخاطر في نموذج المخاطر الخاص بالولاية القضائية للمؤسسة.
6. تأخير في المدفوعات المطلوبة للمستفيدين الجدد الذين تمت إضافتهم عبر خدمات الإنترنت/الهاتف المحمول حتى الانتهاء من التحقق الإضافي.
7. التأخير قبل تفعيل رمز مميز (token) جديد على جهاز محمول.
8. إخطار العميل بتسجيل جهاز جديد وتحديد الخدمات المهمة (على سبيل المثال، توفير البطاقة، إضافة المستفيدين الجدد) التي يجب تعطيلها لفترة بعد تسجيل الجهاز الجديد.
ج. يجب على المؤسسات المالية التي تقدم منتجات الإقراض والائتمان أن تدرج في معايير منع الاحتيال، ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الخارجي، بما في ذلك على سبيل المثال لا الحصر:
1. مراجعة الطلبات/المقترحات للتحقق من احتمالية الاحتيال في الطلب (على سبيل المثال، التلاعب بالتفاصيل أو تحريف الوضع المالي لمقدم الطلب).
2. التحقق من المستندات المزورة أو المزيفة المقدمة لغرض التعريف أو كضمان على الإقراض.
3. ضوابط إدارة الهيئة للوكلاء والوسطاء وجهات التقييم والأطراف الخارجية الأخرى.
5. الكشف
من الضروري لأمن وحماية العملاء التعرف بسرعة على الاحتيال الفعلي أو محاولة الاحتيال إذا كانت الضوابط الوقائية غير كافية أو غير فعالة. تُعد أنظمة وضوابط الكشف عن الاحتيال بمثابة تدابير قائمة على المخاطر لتحديد الاحتيال من خلال البحث عن مؤشرات في سلوكيات العملاء ومعلومات المعاملات وغير المعاملات. يتيح الكشف الفعال عن الاحتيال اتخاذ إجراءات متناسبة في الوقت المناسب لتقليل الخسائر التنظيمية والأثر على العملاء. يمكن أن تكون ضوابط الكشف يدوية، ولكن نظرًا لحجم النشاط في المؤسسات المالية والطبيعة الرقمية للمنتجات والخدمات، تعتمد عادةً على التقنيات لإجراء المراقبة الآلية.
الشكل 6 - مجال (الكشف)
1.5. معايير كشف الاحتيال
المبدأ
يجب أن تكون المؤسسات المالية قد حددت معايير كشف الاحتيال ووافقت عليها ونفذتها وحافظت عليها، ويجب أن تتماشى المعايير مع مخاطر الاحتيال التي تؤثر على المؤسسة وعملائها.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد معايير كشف الاحتيال والموافقة عليها وتنفيذها والحفاظ عليها، حيث تعالج المعايير مخاطر الاحتيال الداخلي ومخاطر الاحتيال الخارجي التي تؤثر على المؤسسة.
ب. يجب على المؤسسات المالية مراجعة وتحديث معايير كشف الاحتيال على أساس دوري واستجابة للتغيرات الجوهرية في مشهد الاحتيال أو تقييم مخاطر الاحتيال في المؤسسة المالية.
ج. يجب مراقبة الامتثال لمعايير الكشف عن الاحتيال.
د. يجب قياس فعالية معايير كشف الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
هـ. يجب استخدام مخرجات تقييم مخاطر الاحتيال لتحديد موضع تركيز نشاط الكشف، ويجب أن تكون الضوابط متناسبة مع مدى قددرة المؤسسة على تحمل المخاطر.
و. عند تقييم المخاطر المتأصلة للاحتيال على أنها مرتفعة يجب أن تتطلب معايير الكشف عن الاحتيال ضوابط كشف إضافية (على سبيل المثال، المراقبة في الوقت الفعلي، أو مصادر بيانات إضافية أو نماذج التعلم الآلي) أو معايير حد كشف أكثر صرامة (على سبيل المثال، حدود نقدية أقل قبل التنبيه).
ز. يجب أن تتضمن معايير كشف الاحتيال كحد أدنى على ما يلي:
1. مصادر البيانات المستخدمة لكشف الأنشطة المشبوهة والاحتيال (على سبيل المثال، سجلات العملاء الأساسية، وأنظمة المعاملات/الدفع، وإدارة الهوية والوصول، وقواعد البيانات الخارجية).
2. الضوابط المُطبقة للكشف عن الأنشطة الاحتيالية المشتبه بها (على سبيل المثال، تصعيد الأحداث والمعاملات عالية المخاطر، والفحص الثانوي، والتسويات، والإبلاغ عن الاستثناءات، والتدريب الداخلي).
3. الضوابط المُطبقة لكشف أي نشاط احتيالي مشتبه به يتعلق بأمن نقطة نهاية الدفع بالجملة (على سبيل المثال، مراقبة سلوك المدفوعات والتقارير خارج النطاق، وإعداد قائمة مسموح بها للأطراف المقابلة، وتتبع الدفعات الغريبة، وحظر المدفوعات في الوقت الفعلي) .
4. الأنظمة والتقنية المُطبقة لكشف الاحتيال المحتمل (على سبيل المثال، برمجيات كشف الاحتيال، والتنبيهات بشأن الأحداث أو المعاملات ذات القيمة العالية، ومراقبة الوصول، وتحليل الروابط).
5. الأدوار والمسؤوليات المتعلقة بكشف الاحتيال (على سبيل المثال، معايرة النظام، ومراجعة إحالات الاحتيال اليدوية، وفرز التنبيهات وإدارتها، ونقطة التصعيد للحوادث المحتملة المهمة، والإشراف والرقابة).
6. الأساس المنطقي الذي يوضح سبب ملاءمة أنظمة الكشف والضوابط للمخاطر التي تواجهها المؤسسة.
ح. يجب على المؤسسات المالية أن تراعي مجالات النشاط التالية عند توثيق متطلبات الأشخاص والعمليات والتقنية لكشف الاحتيال:
1. بيانات نشاط الموظف (مثل الوصول إلى النظام والفواتير والمدفوعات والموافقات).
2. نشاط حساب العميل (مثل المعاملات والمدفوعات والتسويات).
3. الوصول إلى حساب العميل وإدارته (على سبيل المثال، تحديد الموقع الجغرافي لتسجيل الدخول، واستخدام الجهاز، والتغييرات في البيانات الثابتة).
4. بيانات نشاط الطرف الخارجي (على سبيل المثال، الوصول إلى أنظمة أو بيانات المؤسسة المالية واستخدامها، والتعليمات نيابة عن العملاء، والإحالات من الوكلاء).
ط. عندما تقرر مؤسسة مالية أن هناك حاجة إلى مراقبة يدوية (على سبيل المثال، بسبب حجم المؤسسة المالية، أو نقص الأنظمة أو التحليلات، أو تغطية المنتجات والقنوات)، فيجب مراجعة طبيعة مخاطر الاحتيال لتقييم عدد الموظفين والمهارات المطلوبة لتوفير التغطية اليدوية الكافية.
ي. يجب أن يكون لدى المؤسسات المالية موارد كافية لإدارة مخرجات الكشف اليدوي والآلي عن الاحتيال (على سبيل المثال، عدد كافٍ من الموظفين لعمل التنبيهات، والمهارات المناسبة والتدريب للموظفين لاستكمال التحقيقات، ونظام سير العمل لتخصيص التنبيهات).
2.5. أنظمة كشف الاحتيال
المبدأ
يجب على المؤسسات المالية تنفيذ وصيانة أنظمة كشف الاحتيال لتحديد الحالات الشاذة في بيانات المعاملات وغير المعاملات، وسلوك العملاء أو الموظفين الذي قد يكون من مؤشرات الاحتيال.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تنفيذ وصيانة أنظمة كشف الاحتيال لمراقبة منتجات وخدمات العملاء، والأنظمة الداخلية للمعاملات أو السلوكيات التي قد تشير إلى الاحتيال.
ب. يجب أن تعمل أنظمة كشف الاحتيال على مدار الساعة طوال أيام الأسبوع مع توفر الموارد المناسبة لإدارة المخرجات في الوقت المناسب.
ج. يجب على المؤسسات المالية تطوير مصادر شاملة وحديثة للبيانات لاستخدامها في كشف الأنشطة المشبوهة والاحتيال، بما في ذلك على الأقل:
1. منتجات وخدمات العملاء المُقدمة في جميع مجالات الأعمال.
2. جميع قنوات الاتصال (على سبيل المثال، الإنترنت، الهاتف المحمول، الهاتف).
3. المعلومات الخارجية (مثل البيانات المرجعية الائتمانية، والقوائم السوداء، ومجموعات البيانات المقدمة من المورد).
4. الرؤى التي تم جمعها من المراقبة الاستخباراتية (انظر القسم الفرعي 1.1.4).
5. بيانات المعاملات أو التسوية (على سبيل المثال، قيم الدفع داخل أو خارج الحسابات، ومستلمو الدفع المضافون، وسلطة تعليمات الدفع، والتحويل من الوصي على الأموال).
6. البيانات غير المتعلقة بالمعاملات (على سبيل المثال، سلوك الموظف، والوصول إلى الإنترنت، واستخدام الجهاز، والموقع الجغرافي، والتغييرات في البيانات الثابتة).
د. يجب على المؤسسات المالية تنفيذ الضوابط (مثل حوكمة البيانات، وإلغاء التكرار، وتنبيهات جودة البيانات، والتدقيق المنتظم، واختبار التكامل، واختبار التراجع لإدارة التغيير) للتأكد من أن البيانات الأساسية هي:
1. قد قُدِمت في الوقت المناسب لنظام الكشف بوتيرة مناسبة بناءً على معدل التغيير ومدى الأهمية الملحة للمعلومات (على سبيل المثال، يجب أن تكون بيانات الدفع في الوقت الفعلي للسماح بالتدخل قبل تحويل الأموال، في حين قد يتم تحديث المنتجات الجديدة المباعة يوميًا، ويتم تحديث المعلومات الخارجية عند تغيير القوائم).
2. كاملة - تشمل جميع البيانات المطلوبة من جميع الأنظمة ذات الصلة المحددة في معايير الكشف عن مكافحة الاحتيال المالي (على سبيل المثال، يجب التحقق من صحة تعيين البيانات من النظام المصدر إلى نظام الكشف).
3. دقيقة - ذات جودة كافية لتمكين المراقبة الفعالة (على سبيل المثال، محدثة وتم اختبارها لضمان جودة البيانات).
هـ. يجب على المؤسسات المالية التأكد من أن قدرة نظام كشف الاحتيال تشمل كحد أدنى ما يلي:
1. تحليل البيانات المُنظمة (البيانات بتنسيق موحد ومُنظم).
2. مراقبة حسابات العملاء والحسابات الداخلية.
3. تحديد أنماط سلوك المستخدم في ملفات التعريف التي تسمح بتحديد الانحرافات عن النشاط العادي (على سبيل المثال، الوتيرة المتوقعة أو قيمة المعاملات).
4. تعريف مكتبة القواعد المستندة إلى أنواع الاحتيال المعروفة لتحديد النشاط الذي يمكن أن يشير إلى الاحتيال (على سبيل المثال، أنماط وصول الموظفين، موقع العميل غير المعروف أو البعيد، زيادة وتيرة المعاملات، نوع المعاملة الجديد، المبلغ ذو القيمة العالية، المعاملات المتكررة سواء كانت مستفيدًا واحدًا أو عدة مستفيدين، مصدر تحويل واحد لعدة حسابات).
5. تقسيم مجموعات العملاء لتمكين تصميم القواعد (على سبيل المثال، تعديل القواعد والحدود بناءً على السلوكيات المتوقعة المختلفة لعميل الخدمات المصرفية الخاصة من ذوي الثروات الكبيرة مقابل العميل الفرد القياسي أو حساب جديد مفتوح عبر الإنترنت مقابل عميل مُدار بعلاقة راسخة).
6. تطبيق ترجيح للقواعد بناءً على المستوى المُقدر لمخاطر الاحتيال وتعيين درجات المخاطر لتحديد النشاط الذي قد يشير إلى الاحتيال.
7. تجميع درجات المخاطر لتقييم أنماط نشاط المعاملات وغير المعاملات عبر قنوات متعددة والتي عند دمجها قد تكون مؤشرات على الاحتيال.
8. ربط المخرجات (مثل التنبيهات والحالات لمزيد من التحقيق) بنظام إدارة الحالات.
و. يجب على المؤسسات المالية استخدام مخرجات المراقبة الاستخباراتية والمعلومات من جميع أنحاء المؤسسة في تحليلات البيانات لإجراء تحليل عميق للوضع الراهن والتنبؤ بتهديدات الاحتيال المستقبلية واتخاذ إجراءات استباقية لمنع الاحتيال. يجب أن تستخدم التحليلات مصادر بيانات متعددة، بما في ذلك على سبيل المثال لا الحصر، التوجهات السابقة والحالية وبيانات العملاء والمعاملات والأنشطة غير المتعلقة بالمعاملات.
ز. عند تحديد خطر أعلى للاحتيال في تقييم مخاطر الاحتيال أو عندما تحدث حالات احتيال أعلى، يجب على المؤسسات المالية، بالإضافة إلى ذلك، تنفيذ قدرة النظام على:
1. استخراج البيانات الضخمة لتسهيل التحليلات المتقدمة على كميات كبيرة من البيانات المُنظمة وغير المُنظمة، مع التنسيق المرتبط بها لإنشاء مستودع بيانات مركزي (على سبيل المثال، استخدام خوارزميات تحسين البيانات ومقارنتها لإجراء استعلامات على كميات كبيرة جدًا من البيانات، والتخزين في مستودع البيانات).
2. الأدوات والقدرات التحليلية لتعزيز المراقبة القائمة على القواعد (على سبيل المثال، تحليل التوجهات، وتحليل الكلمات الرئيسية، والتحليلات التنبؤية، وكشف الحالات الشاذة).
3. تراكب الذكاء الاصطناعي وخوارزميات التعلم الآلي (مثل مخطط انسيابي قراري (decision trees) أو مجموعة مخططات انسيابية قرارية(random forests) أو الشبكات العصبية(neural networks)) من أجل:
أ. تعزيز القدرة على اتخاذ القرار في النظام.
ب. التنبؤ باحتمالية الاحتيال.
ج. التعلم من الأنماط السابقة ومعرفة السلوك الاحتيالي والسلوك المشروع.
4. تصور الشبكة/تحليلات الارتباط أو تحليل الكيان للكشف عن الاتصالات المخفية أو غير المعروفة سابقًا وتحديد الشبكات عبر مصادر بيانات مختلفة (على سبيل المثال، تحديد الاتصالات من الأجهزة أو عناوين بروتوكول الإنترنت المعروفة بأنها تم استخدامها لأغراض احتيالية والربط مع نقاط بيانات أخرى لإعداد درجة تهديد مرتبطة بالشبكة، من خلال النظر في الموقع، وبطاقات الدفع المُستخدمة، والمستفيدين وما إلى ذلك).
5. تحليل البيانات الخارجية الإضافية غير المُنظمة (مثل وثائق العملاء الممسوحة ضوئيًا) لتوسيع مصادر البيانات.
ح. عند تحديد انحراف عن أنماط سلوك المستخدم الأساسية، يجب على المؤسسات المالية إما:
1. تتطلب المزيد من المصادقة للمستخدم أو تعليماتهم.
2. إنشاء تنبيه لإجراء مزيد من التحقيقات لتحديد ما إذا كان قد حدث احتيال.
ط. لضمان فعالية وتحسين أنظمة كشف الاحتيال، يجب على المؤسسات المالية:
1. معايرة واختبار سيناريوهات الكشف للتحقق من العمل وفق التصميم وتمكين المراقبة وفقًا لقدرة المؤسسات على تحمل المخاطر (على سبيل المثال، مراجعة منطق القواعد، واختبار الحد، واختبار الدقة والاستدعاء).
2. تنفيذ حلقات الملاحظات والتعقيبات لرصد وتعزيز أداء الأنظمة وفعالية السيناريوهات والمعايير من خلال مراجعة الإيجابيات والسلبيات الزائفة والتنبيهات التي حددت الاحتيال.
3. مراجعة السيناريوهات والمعايير دوريًا للتأكد من أنها تظل مناسبة في ضوء الرؤى التي تم جمعها في مراقبة الاستخبارات و/أو نتائج تقييم مخاطر الاحتيال.
4. اختبار فعالية الأنظمة دوريًا، من خلال تدابير الضبط والمعايرة المستمرة مثل تخطيط البيانات والتحقق من صحة المدخلات، والتحقق من صحة النموذج، واختبار فعالية السيناريو وإعداد التقارير.
5. تحديث أنماط وقواعد سلوك المستخدم لمراعاة أحدث التهديدات وأنواع الاحتيال.
6. الاحتفاظ بسجل موثق للتغييرات التي تم إجراؤها على التكوين أو القواعد والأساس المنطقي للقرار.
7. مراقبة التغييرات غير المصرح بها على النظام (على سبيل المثال، التلاعب بالقواعد أو تعطيل المراقبة).
ي. يجب أن تتضمن أنظمة كشف الاحتيال القدرة على مراقبة المقاييس والمعلومات الإدارية والإبلاغ عنها فيما يتعلق بما يلي:
1. سلامة البيانات.
2. فعالية القاعدة والسيناريو (على سبيل المثال، المعدل الإيجابي الزائف).
3. الأداء التشغيلي.
3.5. المراقبة لكشف الاحتيال
المبدأ
يجب على المؤسسات المالية تصميم وتنفيذ ضوابط لمراقبة الأنشطة والسلوك من أجل كشف المؤشرات المحتملة للاحتيال الخارجي والاحتيال الداخلي.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تصميم وتنفيذ ضوابط لمراقبة منتجات وخدمات العملاء بحثاً عن السلوكيات التي قد تشير إلى الاحتيال الخارجي. كحد أدنى، يجب أن يعالج ذلك المخاطر الناجمة عن:
1. احتيال الطرف الأول - حيث يقوم أحد عملاء المؤسسة المالية بتحريف هويته أو تقديم معلومات كاذبة لارتكاب عملية احتيال باستخدام حسابه الخاص أو طلب القرض أو أي منتج آخر.
2. الاحتيال من طرف ثانٍ - حيث يقدم العميل أو الفرد معلوماته الشخصية عن عمد أو يسمح باستخدام هويته لارتكاب عمليات احتيال.
3. الاحتيال من طرف ثالث - عندما يحصل شخص ليس من عملاء المؤسسة المالية على تفاصيل العميل دون موافقته أو علمه، ثم يستخدم المعلومات لارتكاب الاحتيال.
ب. يجب على المؤسسات المالية تصميم وتنفيذ ضوابط لمراقبة الموظفين في الأدوار التي تم تحديدها في تقييم مخاطر الاحتيال على أنها تمثل خطر الاحتيال الداخلي، بما في ذلك على سبيل المثال لا الحصر:
1. مسار تدقيق وصول الموظفين إلى الأنظمة الأساسية للمؤسسة المالية.
2. سجل منهجي لنشاط الموظفين لجميع أنظمة وقواعد بيانات المحاسبة المالية والعملاء (على سبيل المثال، تسجيل مسار تدقيق لموظف يقوم بإجراء تغييرات على عنوان العميل، وإضافة المستفيد، وتوجيه الدفع، والتفويض بالسحب).
3. مراقبة السلوكيات أو الأنشطة غير العادية (على سبيل المثال، المعاملات خارج ساعات العمل، أو استثناءات العمليات أو التجاوزات المكتملة دون الحصول على الموافقات المناسبة).
4. تسوية وترتيب الأنظمة المالية والحسابات المصرفية الداخلية للمؤسسة.
5. تعزيز الرقابة على المدفوعات لحسابات موظفي المؤسسة المالية.
6. المراقبة والحصول على الموافقة ذات الصلة على استخدام بطاقة الشركة ومطالبات النفقات.
7. مراقبة شكاوى الموظفين وخطوط الإبلاغ المجهولة.
4.5. الإبلاغ عن المخالفات
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتمكين الموظفين المعنيين والأطراف الخارجية من الإبلاغ عن انتهاكات الاحتيال المحتملة دون الخوف من العواقب أو التداعيات السلبية.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية الإبلاغ عن المخالفات عبر قنوات متعددة للموظفين والأطراف الخارجية للإبلاغ عن انتهاكات الاحتيال المحتملة.
ب. يجب أن تتوافق هذه العملية مع سياسة الإبلاغ عن المخالفات لدى المؤسسات المالية (سياسة الإبلاغ عن المخالفات) الصادرة عن البنك المركزي.
ج. يجب على المؤسسات المالية عدم اتخاذ أي إجراء ضد المبلغين عن أي إفصاحات عن انتهاكات الاحتيال المحتملة التي تم الإبلاغ عنها بحسن نية.
6. الاستجابة
تُعد الاستجابة الفعالة في الوقت المناسب لحوادث الاحتيال الفعلية أو المشتبه فيها أمرًا أساسيًا لتقليل الخسائر وزيادة فرص التعافي. في حالة الاشتباه في الاحتيال أو كشفه، يلزم وجود خطة قوية للاستجابة للاحتيال تتضمن إجراءات واضحة لإدارة الاستجابة، مما يتيح إجراء تحقيق فعال؛ وتنفيذ حل سريع وعادل؛ واتخاذ الإجراءات التصحيحية عند الاقتضاء. بعد الحل، من المهم تقييم السبب الجذري للحادث وتقييم فعالية أطر التحكم لتجنب تكراره.
الشكل 7 - مجال الاستجابة
1.6. خطة الاستجابة للاحتيال
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على خطة الاستجابة للاحتيال لمعرفة الاستجابة التنظيمية لحادث احتيال فعلي أو مشتبه به.
متطلبات الرقابة
أ. يجب وضع خطة الاستجابة للاحتيال والموافقة عليها وتنفيذها وحفظها ومواءمتها مع عملية إدارة حوادث المؤسسة حيثما كان ذلك مناسبًا.
ب. يجب مراقبة الامتثال لخطة الاستجابة للاحتيال.
ج. يجب قياس فعالية خطة الاستجابة للاحتيال والضوابط ذات الصلة وتقييمها بشكل دوري.
د. يجب أن تتطلب خطة الاستجابة للاحتيال تقييمًا سريعًا ومختصًا، والتحقيق، وحل جميع حالات الاحتيال المشتبه فيها أو التي تم تحديدها.
هـ. يجب أن تتضمن خطة الاستجابة للاحتيال كحد أدنى ما يلي:
1. الطرق التي يتم من خلالها تنبيه المؤسسة المالية إلى حالات الاحتيال المشتبه فيها أو المحددة، بما في ذلك قنوات الإبلاغ المتاحة للعملاء والموظفين والأطراف الخارجية.
2. الأدوار والمسؤوليات للأفراد والفرق المطلوبة للرد على الاحتيال المحتمل.
3. سلطة اتخاذ القرار وإجراءات الإحالة للتصعيد داخل وخارج المؤسسة المالية (على سبيل المثال، الإحالة إلى المتخصصين في الحالات المعقدة، والإدارة العليا في حالات الاحتيال المادي المحتملة، والاستشارة الخارجية إذا كانت هناك مخاوف قانونية).
4. اتفاقيات مستوى الخدمة للرد على تقارير الاحتيال الأولية.
5. إجراءات الاستجابة السريعة لحالات الاحتيال المحتملة التي تحددها المؤسسة المالية، والتي أبلغها العميل أو أبلغتها المؤسسات الأخرى. ويجب أن يشمل ذلك تدابير احترازية لتجميد الأموال الواردة حتى يتم التحقق من سلامة المصدر إذا كان هناك شك في أن المعاملات الواردة هي نتيجة للاحتيال.
6. الإجراءات التي ستتخذها المؤسسة المالية عند الاشتباه في الاحتيال أو تحديده، بما في ذلك على سبيل المثال لا الحصر:
أ. تنسيق الموارد المناسبة لإدارة حجم التنبيهات والحالات.
ب. تسجيل وإجراء تقييم أولي لجميع التنبيهات أو التقارير المُقدمة رسميًا عن الاحتيال.
ج. عند تقييم التنبيه أو الإحالة على أنها لا تتطلب مزيدًا من التحقيق، يجب تسجيل الأساس المنطقي الذي يشرح القرار.
د. التحقيق في جميع الحالات التي يشتبه في ارتكاب عمليات احتيال فيها أو تم تحديدها.
هـ. الاحتفاظ بسجل شامل لجميع الأدلة والتحقيقات المتعلقة بالاحتيال المحتمل والفعلي لفترة محددة في جدول الاحتفاظ بالسجلات الخاص بالمؤسسة المالية وبما يتوافق مع المادة 12 من نظام مكافحة غسل الأموال.
7. العملية الواجب اتباعها في حالة اكتشاف حادث احتيال محتمل خارج ساعات العمل العادية للمؤسسة المالية.
8. شرط الشروع في استجابة فورية عند تحديد عملية احتيال محتملة لأمن نقاط النهاية للدفع بالجملة.
9. عندما يتعلق الاحتيال الفعلي أو المحتمل بالخدمات المُقدمة للعميل أو الدفع إلى/من مؤسسة مالية أو عميل، يجب أن تتطلب خطة الاستجابة للاحتيال من المؤسسات المالية ما يلي:
أ. تحديد ما إذا كانت المعاملة الاحتيالية المحتملة قد اكتملت أو أنها في طور الاكتمال.
ب. إذا لم تكتمل المعاملة: اتخاذ إجراء فوري لمنع المعاملة أو تعليقها والتنسيق بشكل استباقي مع أي من المؤسسات المالية المعنية لاتخاذ الإجراءات المطلوبة مع الأخذ في الاعتبار دور غرفة المشاركة - مركز العمليات.
ج. الاستجابة الاستباقية للطلبات المتعلقة بالمعاملات الاحتيالية المشتبه بها عند تلقي إخطار من مؤسسة مالية أخرى بناءً على البروتوكولات المتفق عليها لغرفة المشاركة - مركز العمليات.
د. حظر المنتج أو تجميده (أو أي خدمات مرتبطة به مثل بطاقات الائتمان أو بطاقات الخصم المُخترقة) لمنع المزيد من المعاملات حتى اكتمال التحقيق، وعند الضرورة تتم إعادة تعيين بيانات اعتماد الأمان أو إصدار بطاقة جديدة.
هـ. منع أي معاملات أخرى من أو إلى أي أرقام حسابات مصرفية دولية خارج المؤسسة المالية والتي تم استخدامها لارتكاب عملية الاحتيال ومشاركة رقم الحساب المصرفي الدولي مع المؤسسة الخارجية لتجميد الحساب.
و. التعاون مع المؤسسات الأخرى في حال تلقي طلب تجميد منتج، وكانت هناك مبررات للاشتباه.
ز. إذا اكتملت المعاملة وأثبت التحقيق أن المعاملة احتيالية: إلغاء المعاملة أو طلب استرداد الأموال حيثما أمكن ذلك.
ح. الاتصال بالعميل أو الطرف الخارجي لإبلاغه بالإجراءات المُتخذة والخطوات التالية.
ط. التحقق من هوية العميل قبل إعادة تفعيل الخدمات بعد تجميد الحساب بسبب تعرضه لعملية احتيال.
2.6. التنبيه وإدارة الحالات
المبدأ
يجب على المؤسسات المالية تنفيذ وصيانة نظام إدارة الحالات لإدارة الاستجابة للاحتيال. من شأن ذلك أن يسهّل تسجيل ورصد وتخزين البيانات المتعلقة بالتقييم والتحقيق وتسوية حالات الاحتيال المشتبه فيها والمحددة.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تنفيذ وحفظ نظام إدارة الحالات لإدارة الاستجابة للاحتيال والعمل كقاعدة بيانات لبيانات حالات الاحتيال.
ب. يجب استخدام نظام إدارة الحالات لتسجيل ومراقبة تنبيهات الاحتيال المشتبه بها والتقارير الداخلية والخارجية والتحقيقات في الحالات بدءًا من التقييم الأوليّ وحتى الحل.
ج. يجب أن يتمتع نظام إدارة الحالات بالقدرة على:
1. تقييد وصول المستخدم إلى الأفراد والأدوار المصرح لهم.
2. إعداد مسار عمل يتماشى مع النموذج التشغيلي الخاص بالمؤسسة المالية.
3. قابلية التهيئة للتكيف مع التغييرات في النموذج التشغيلي للمؤسسة المالية أو خطة الاستجابة للاحتيال.
4. إسناد الحالات إلى المسؤولين عنها.
5. تصنيف حالات الاشتباه بالاحتيال للاسترشاد بذلك في إعداد التقارير وتحليل التوجهات.
6. تتبع الحالة من التنبيه الأوليّ أو الإبلاغ إلى الحل.
7. تسجيل خطوات التحقيق المتبعة.
8. العمل كمستودع لجميع المعلومات المطلوبة للتحقيق في قضية الاحتيال وحلها (على سبيل المثال، معلومات الأطراف ذات الصلة، ومذكرات الحالات، والأدلة الوثائقية، واتصالات العملاء، والأساس المنطقي لاتخاذ القرار).
9. تسجيل النتيجة عند حل القضية، بما في ذلك أي خسائر وإجراءات تصحيحية.
10. حفظ السجلات بما يتماشى مع جدول الاحتفاظ بالسجلات الخاص بالمؤسسة المالية.
د. يجب أن يتطلب نظام إدارة الحالات تسجيل المعلومات الإدارية والسماح باستخراجها للإبلاغ عن حالات الاحتيال، بما في ذلك على سبيل المثال لا الحصر:
1. تنبيه المعرَّف الفريد (حيثما ينطبق ذلك).
2. المعرَّف الفريد لمعاملة الاحتيال.
3. تاريخ التنبيه أو الإخطار الأوليّ.
4. تاريخ ووقت المعاملات الاحتيالية.
5. اسم العميل ورقم الحساب.
6. وضع الحالة.
7. مصدر الحادث (على سبيل المثال، الموقع الإلكتروني أو حساب على وسائل التواصل الاجتماعي أو رقم الهاتف الذي يستخدمه المحتال).
8. القناة المُستخدمة في المعاملات الاحتيالية.
9. الأطراف ذات الصلة.
10. معلومات عن المحتال (على سبيل المثال، عنوان بروتوكول الإنترنت، ومعرف الجهاز، وتحديد الموقع الجغرافي).
11. نتيجة التحقيق.
12. الإجراءات التصحيحية.
13. قيمة الاحتيال.
14. الخسائر (التجارية وغير التجارية).
15. الأساليب المُستخدمة لمعرفة الاحتيال/نوع الاحتيال (على سبيل المثال، كيفية ارتكاب الاحتيال، وأين تم تحويل الأموال في حالة فقدانها).
3.6. التحقيق في الاحتيال
المبدأ
يجب على المؤسسات المالية تحديد معيار التحقيق في الاحتيال والموافقة عليه وتنفيذه وحفظه لتوجيه نهج ثابت للتحقيق في الاحتيال.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد معيار التحقيق في الاحتيال والموافقة عليه وتنفيذه وحفظه.
ب. يجب مراقبة الامتثال لمعايير التحقيق في الاحتيال.
ج. يجب قياس فعالية معيار التحقيق في الاحتيال والضوابط ذات الصلة وتقييمها دوريًا.
د. يجب أن يوجه معيار التحقيق في الاحتيال نهجًا متسقًا للتحقيق في الاحتيال، بما في ذلك على سبيل المثال لا الحصر:
1. إسناد الحالة لفرد أو فريق يتمتع بالمهارات والخبرة المطلوبة.
2. تقييم حساسية الوقت فيما يتعلق بعملية الاحتيال أو الاحتيال المحتمل (على سبيل المثال، هل ستزداد الخسائر إذا لم يتم حل القضية، أو هل تُرِك العميل دون إمكانية الحصول على أمواله).
3. تقييم الأهمية الجوهرية للاحتيال أو الاحتيال المحتمل (على سبيل المثال، عدد العملاء المتأثرين، والخسائر المحتملة، والتهديد النظامي).
4. جمع وتحليل المعلومات لمراجعة الاشتباه في الاحتيال (على سبيل المثال، معلومات المعاملة، وعناوين بروتوكولات الإنترنت المُستخدمة، وتسجيلات الهاتف، ولقطات الدوائر التلفزيونية المغلقة).
5. التعاون مع الخبراء المتخصصين الداخليين المعنيين وأصحاب المصلحة (مثل الشؤون القانونية والسيبرانية والموارد البشرية والجرائم المالية) وتشكيل فريق تحقيق متعدد التخصصات عند الاقتضاء.
6. تقييم المهارات المطلوبة لإجراء التحقيق في الحالات الأكثر تعقيدًا (مثل المحاسبة الجنائية، وتحليل البيانات).
7. التواصل مع العميل أو الأطراف الخارجية للحصول على مزيد من المعلومات.
8. التنسيق مع المؤسسات المالية الأخرى لتبادل المعلومات.
9. توثيق خطوات التحقيق المُتخذة.
10. إدارة وحفظ المعلومات التي تم جمعها.
11. تقييم ما إذا كان قد حدث احتيال وانتهاء التحقيق أو إغلاقه.
12. تسجيل نتيجة التحقيق.
13. إعداد تقرير حالة والإبلاغ داخليًا عن نتائج التحقيق عند الاقتضاء.
14. اتخاذ الإجراءات التصحيحية عند انتهاء التحقيق.
15. تحديد الإخطارات الخارجية المطلوبة (على سبيل المثال، الاتصال بسلطات إنفاذ القانون، وإخطار وكالات الائتمان المرجعية، وإبلاغ البنك المركزي، وإبلاغ الإدارة العامة للاستخبارات المالية إذا كان لدى المؤسسة المالية أي شك يصل إلى المستوى المنصوص عليه في المادة 15 من نظام مكافحة غسل الأموال والمادة 17 من نظام مكافحة جرائم الإرهاب وتمويله).
16. تحديد السبب الجذري لحوادث الاحتيال والأخطاء الوشيكة.
17. استخلاص الدروس المستفادة وتقديم التعقيبات إلى:
أ. إدارة مكافحة الاحتيال.
ب. الفريق المسؤول عن تطوير وصيانة أنظمة مكافحة الاحتيال.
ج. مسؤولو الأعمال بشأن المعايير والعمليات والضوابط التي يتم فيها تحديد الثغرة الأمنية.
د. المراقبة الاستخباراتية.
هـ. يجب أن يتطلب معيار التحقيق في الاحتيال اتخاذ الإجراءات التصحيحية عند الاقتضاء عند إنجاز التحقيق في الاحتيال.
4.6. معالجة الاحتيال
المبدأ
يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتحديد السبب الجذري لحادث الاحتيال، وتحديد أي دروس مستفادة واتخاذ الإجراءات التصحيحية لمنع تكرار الحوادث.
متطلبات الرقابة
أ. يجب على المؤسسات المالية تحديد واعتماد وتنفيذ والحفاظ على عملية لتحديد السبب الجذري لحادث الاحتيال في نهاية التحقيق. كحد أدنى، يجب أن تتضمن العملية ما يلي:
1. فهم نقطة الثغرة (على سبيل المثال، القناة التي تم استخدامها لارتكاب عملية الاحتيال أو السيطرة على الحساب).
2. تحديد ما إذا كان من الممكن أن تكون أطراف أخرى متورطة في عملية الاحتيال (على سبيل المثال، موظفين إضافيين من خلال التواطؤ أو أشخاص معروفين للعميل).
3. مراجعة ما إذا كانت المراقبة الوقائية قد فشلت أو قد تجاوزها الموظف.
4. تقييم ما إذا كان الاحتيال قد تم تحديده بشكل استباقي من خلال مراقبة المباحث أو الاعتماد على إشعار العميل التفاعلي.
ب. بعد تحديد السبب الجذري، يجب على المؤسسات المالية تحديد واعتماد وتنفيذ عملية لتحديد الدروس المستفادة وتوجيه الإجراءات التصحيحية لمنع تكرارها. كحد أدنى، يجب أن تتضمن العملية ما يلي:
1. تجميع البيانات التي قد تدعم تحليل الأنماط في حالات الاحتيال، بما في ذلك على سبيل المثال لا الحصر، عناوين بروتوكولات الإنترنت المُستخدمة وحسابات المستفيدين ومعرفات الأجهزة ذات الصلة.
2. تقييم ما إذا كانت هناك فجوة في إطار الرقابة الحالي.
3. تحديد ما إذا كانت الإدارات الأخرى في المؤسسة المالية تعاني من نفس الثغرة الأمنية.
4. تقييم ما إذا كانت المشكلة يمكن أن تؤثر على المؤسسات المالية الأخرى ومشاركة المعلومات ذات الصلة التي قد تمنع تكرارها (على سبيل المثال، المواقع المزيفة التي تنتحل صفة جهات حكومية أو حسابات وسائل التواصل الاجتماعي).
5. توثيق الإجراءات التصحيحية لمعالجة السبب الجذري ومنع تكراره.
ج. يجب على المؤسسات المالية اتخاذ إجراءات تصحيحية لمعالجة السبب الجذري و/أو تأثير حادث الاحتيال، وقد تشمل تلك الإجراءات على سبيل المثال لا الحصر:
1. تنفيذ عنصر رقابة جديد أو تحسين عنصر رقابة قائم.
2. توفير التدريب أو تقديم مواد توعوية جديدة لتعزيز وعي الموظفين أو العملاء أو الطرف الخارجي.
3. إعادة ضحية الاحتيال إلى الوضع الذي كانت عليه قبل وقوع الحادث (على سبيل المثال، تعويض الأموال المسروقة، رد المبالغ المدفوعة، استرداد دفعة احتيال، سداد المدفوعات للطرف الخارجي).
4. تقديم الدعم لضحية الاحتيال (على سبيل المثال، إبلاغه بالخطوات التالية، وتوفير بطاقة جديدة، وتوعية الضحية).
5. محاولة استرداد الأموال أو الأصول.
6. إنهاء العلاقة مع العميل أو الطرف الخارجي إذا تبين أنه مرتكب عملية الاحتيال.
7. الإجراءات التأديبية الداخلية حيث يتم تحديد الاحتيال الداخلي.
8. التواصل مع سلطات إنفاذ القانون.
د. يجب أن يتم تتبع قبول الإجراءات التصحيحية وتنفيذها من قبل إدارة مكافحة الاحتيال، مع التصعيد إلى لجنة الحوكمة المختصة بمكافحة الاحتيال حيث يتم رفض الإجراءات من الشركة أو تأخير الإجراء الإصلاحي.
الملاحق
الملحق أ - المصطلحات المُحددة
فيما يلي مصطلحات مُحددة لغرض هذا الدليل.
المصطلح المُحدد التعريف إدارة الوصول عملية منح المستخدمين المصرح لهم الحق في استخدام الخدمة، مع منع الوصول إلى المستخدمين غير المصرح لهم. جلسة شاذة جلسات تسجيل الدخول إلى خدمات الهاتف المحمول أو عبر الإنترنت التي تحتوي على معايير تسجيل دخول مختلفة عن تلك التي استخدمها العميل مسبقًا، على سبيل المثال، معرف الجهاز أو الموقع؛ أو عندما يتم وضع علامة على عنوان بروتوكول الإنترنت باعتباره خطرًا. كشف الحالات الشاذة اكتشاف أنماط في البيانات تختلف بشكل كبير عن السلوك المتوقع. يمكن تنفيذ اكتشاف حالات الاحتيال الشاذة كأداة استخباراتية باستخدام خوارزميات التعلم الآلي غير الخاضعة للرقابة. الذكاء الاصطناعي استخدام أنظمة الكمبيوتر لأداء المهام التي تتطلب عادةً المعرفة البشرية والقدرات المنطقية، وغالبًا ما تكون في سيناريوهات حل المشكلات. نظام الصندوق الأسود نظام معقد حيث تكون القواعد والآليات الداخلية غير مرئية أو مفهومة من جانب مالك النظام. القائمة السوداء قائمة بالأفراد أو الكيانات غير الجديرة بالثقة أو ذات المخاطر العالية والتي يجب استبعادها وتجنب التعامل معها. تُعرف أيضًا باسم قائمة الحظر. نظام إدارة الحالات نظام يُستخدم لإدارة التنبيهات وحوادث الاحتيال بدءًا من التقرير الأولي وحتى التحقيق والحل والمعالجة عند الاقتضاء. مدونة قواعد السلوك مجموعة محددة من التوقعات التي تحدد المبادئ والقيم والسلوكيات التي تعتبرها المؤسسة مهمة لعملياتها ونجاحها. المتعاقد فرد أو مؤسسة متعاقدة بموجب عقد لتقديم الخدمات إلى مؤسسة ما. ثقافة مكافحة الاحتيال القيم والمعتقدات والمعرفة والمواقف والفهم المشترك بشأن مخاطر الاحتيال داخل المؤسسة. في ظل ثقافة مكافحة الاحتيال القوية، يقوم الأشخاص بتحديد مخاطر الاحتيال ومناقشتها وتحمل المسؤولية عنها بشكل استباقي. حوكمة مكافحة الاحتيال مجموعة من المسؤوليات والممارسات التي ينفذها مجلس الإدارة والإدارة التنفيذية والإدارة العليا بهدف توفير التوجيه الاستراتيجي لمكافحة الاحتيال، وضمان تحقيق أهداف مكافحة الاحتيال، والتأكد من إدارة مخاطر الاحتيال بشكل مناسب والتحقق من استخدام موارد المؤسسة بمسؤولية. لجنة الحوكمة المختصة بمكافحة الاحتيال مجموعة تضم الأفراد المكلفين بتوفير الإشراف والتوجيه، والتأكد من أن قدرات المؤسسة المشتركة لمكافحة الاحتيال تسير بشكل مناسب وفعال. نضج مكافحة الاحتيال مدى استغلال موارد المؤسسة بشكل فعال لغرض مكافحة الاحتيال مقارنة بالمعايير المقبولة عالميًا وأفضل الممارسات. سياسة مكافحة الاحتيال مجموعة معايير لتنفيذ أنشطة مكافحة الاحتيال. وتحدد الالتزام والأهداف لمكافحة الاحتيال، وتوثق المسؤوليات. برنامج مكافحة الاحتيال مجموعة من السياسات والعمليات والمبادئ التوجيهية ونُهُج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات المستخدمة لحماية المؤسسة المالية وعملائها من تهديدات الاحتيال الداخلية والخارجية. استراتيجية مكافحة الاحتيال خطة عامة، تتألف من مشاريع ومبادرات، لتخفيف حدة مخاطر الاحتيال مع الالتزام بالمتطلبات القانونية والتشريعية والتعاقدية والمقررة داخليًا. إدارة مكافحة الاحتيال إدارة أو فريق مخصص تم تشكيله لغرض إدارة تنفيذ أهداف مكافحة الاحتيال في المؤسسة. الخدمات الحيوية الخدمات التي يقدمها طرف خارجي وقد يؤدي الإخفاق بها أو تعطلها إلى عدم تمكن المؤسسة المالية من خدمة عملائها أو الوفاء بالتزاماتها التنظيمية. الأمن السيبراني يُعرّف الأمن السيبراني بأنه مجموعة الأدوات والسياسات والمفاهيم الأمنية والضمانات الأمنية والمبادئ التوجيهية ونهج إدارة المخاطر والإجراءات والتدريب وأفضل الممارسات والضمانات والتقنيات التي يمكن استخدامها لحماية أصول المعلومات الخاصة بالمؤسسة المالية من التهديدات الداخلية والخارجية. العناية الواجبة التحقيق مع موظف أو عميل أو طرف خارجي للتأكد من الحقائق وأنها كما قُدِمت. التوقف في حالات الطوارئ إمكانية الخدمة الذاتية للعملاء لتجميد حساباتهم على الفور وحظر المزيد من المعاملات إذا اشتبهوا في تعرض حساباتهم للاختراق. الموظف يشمل الموظفون أعضاء مجلس الإدارة ولجانه والمسؤولين التنفيذيين والموظفين الدائمين والموظفين بعقود والاستشاريين والموظفين العاملين من خلال طرف خارجي. قرار الجهة عملية لتحديد سجلات البيانات في مصدر بيانات واحد أو عبر مصادر بيانات متعددة تشير إلى نفس الجهة الفعلية وربط السجلات معًا. الاحتيال الخارجي حدث احتيالي يقوم به أي أشخاص من "خارج" المؤسسة، أي لا يعملون لدى المؤسسة. الجريمة المالية الأنشطة الإجرامية لتوفير منفعة اقتصادية، بما في ذلك غسل الأموال؛ وتمويل الإرهاب؛ والرشوة والفساد؛ وإساءة استخدام السوق والتداول من الداخل. الاحتيال أي فعل يهدف إلى الحصول على منفعة غير مشروعة أو التسبب في خسارة لطرف آخر. ويمكن أن يكون ذلك بسبب استغلال الوسائل الفنية أو الوثائقية، أو العلاقات أو الوسائل الاجتماعية، أو استخدام القوى الوظيفية، أو الإهمال المتعمد أو استغلال نقاط الضعف في الأنظمة أو المعايير، بشكل مباشر أو غير مباشر. قضية احتيال حدث فردي للاحتيال تقر به المؤسسة. مشهد الاحتيال/مشهد التهديد تهديدات الاحتيال والتوجهات والتطورات في المنظومة السياسية أو الاقتصادية أو الاجتماعية أو التقنية أو القانونية. خطة الاستجابة للاحتيال خطة توضح بالتفصيل الإجراءات التي يجب اتخاذها عند الاشتباه في حدوث عملية احتيال أو اكتشافها. وسيشمل ذلك بروتوكولات إعداد التقارير ومسؤوليات الفريق وتسجيل المعلومات. قابلية مخاطر الاحتيال مستوى مخاطر الاحتيال الذي تكون المؤسسة على استعداد لقبوله أو تحمله في إطار سعيها لتحقيق أهدافها. تقييم مخاطر الاحتيال عملية تهدف إلى معالجة تعرض المؤسسة للاحتيال. وسيتضمن ذلك تحديد مخاطر الاحتيال، وتقييم احتمالية حدوث مخاطر الاحتيال والتأثير الناتج، وتحديد الاستجابة المناسبة، ومراجعة إطار الرقابة. إدارة مخاطر الاحتيال العملية المستمرة لتحديد وتحليل ومراقبة والاستجابة لمخاطر الاحتيال التي تتعرض لها المؤسسة وعملائها. تحليل سيناريو الاحتيال اختبار سيناريوهات الاحتيال المُصممة بغرض تقييم القدرة الحالية لأنظمة الاحتيال داخل المؤسسة. تهديد الاحتيال أي ظرف أو حدث من المحتمل أن يتسبب في حدث احتيال. نوع الاحتيال تصنيف حدث الاحتيال بناءً على منهجيته والمواضيع المشتركة مع أحداث الاحتيال الأخرى. تحديد السياج الجغرافي تقييد الوصول إلى الخدمات عبر الإنترنت أو الهاتف المحمول بناءً على الموقع الجغرافي للمستخدم. حادثة حالة احتيال أو سلسلة من الحالات المرتبطة بها. خطر كامن مخاطر الاحتيال التي تتعرض لها العمليات التجارية المؤسسة أو عملائها في حالة عدم وجود ضوابط. المراقبة الاستخباراتية عملية المراجعة المستمرة وجمع المعلومات الاستخبارية حول تهديدات وأنواع الاحتيال الجديدة والناشئة من مجموعة شاملة من المصادر. الاحتيال الداخلي الاحتيال المُنفذ من خلال أو بمساعدة الأشخاص العاملين في المؤسسة. مؤشرات المخاطر الرئيسية مقياس يُستخدم للإشارة إلى احتمالية تجاوز النشاط أو المؤسسة لقدرتها على تحمل المخاطر. تستخدم المؤسسات مؤشرات المخاطر الرئيسية لتقديم إشارة مبكرة عن زيادة التعرض للمخاطر في مجالات مختلفة من المؤسسة. تحليل الكلمات الرئيسية تدوين القواعد لمطابقة الكلمات الرئيسية في جدول البحث مع تلك الموجودة في الحقول الرئيسية لسجل حالة الاحتيال. يمكن إضافة التعقيد إلى القواعد مثل اشتراط أن تكون الكلمات بترتيب معين أو المصطلحات عالية المخاطر التي غالبًا ما تشير إلى الاحتيال. التعلم الآلي استخدام أنظمة الكمبيوتر التي لديها القدرة على التعلم والتكيف دون تعليمات صريحة من خلال استخدام الخوارزميات أو النماذج للتحليل وبناء الأنماط والتوجهات في البيانات. معلومات الإدارة المعلومات التي يتم جمعها ثم تقديمها، غالبًا في شكل تقرير أو بيان، إلى الإدارة أو صناع القرار بغرض تحديد التوجهات وحل المشكلات و/أو التنبؤ بالمستقبل. المؤسسة المالية جميع المؤسسات المالية أو مقدمي الخدمات المالية الخاضعين لرقابة البنك المركزي. التحقق من صحة النموذج تحليل لتقييم ما إذا كانت مخرجات النظام تعمل كما هو متوقع. حسابات الاحتيال إنشاء حسابات (غالبًا عبر قنوات عن بُعد أو عبر الإنترنت) لتلقي الأموال التي تم الحصول عليها عن طريق الاحتيال وغسل عائدات الجريمة. مصادقة متعددة العوامل التحقق باستخدام وسيلتين أو أكثر لتحقيق المصادقة. تتضمن العوامل شيئًا تعرفه (على سبيل المثال، كلمة المرور/رقم التعريف الشخصي)، أو شيئًا تملكه (على سبيل المثال، جهاز تعريف التشفير، الرمز المميز «توكين»)، أو شيئًا ما (على سبيل المثال، القياسات البايومترية). الأخطاء الوشيكة حوادث الاحتيال المحتملة التي يتم كشفها ومعالجتها قبل وقوع حادث الاحتيال مما يتسبب في خسارة مالية. خرق السياسة عدم الامتثال لمتطلبات السياسة أو تجاهلها. اختبار الدقة والاسترجاع مقاييس لتقييم فعالية النماذج.
الدقة: قدرة نموذج التصنيف على تحديد نقاط البيانات ذات الصلة فقط.
الاسترجاع: قدرة النموذج على إيجاد جميع الحالات ذات الصلة ضمن مجموعة بيانات.
التحليلات التنبؤية استخدام الإحصائيات وطرق نمذجة لتحديد النتائج أو الأداء المستقبلي. مصفوفة توزيع الصلاحيات والمسؤوليات مصفوفة توضح المنفذ والمسؤول والمستشار والمطلع ضمن الإطار التنظيمي. المخاطر المتبقية المخاطر المتبقية بعد قيام الإدارة بتنفيذ الاستجابة للمخاطر. المخاطرة مقياس لمدى تعرض lلمؤسسة لتهديد من خلال ظرف أو حدث محتمل، وعادة ما تكون في صورة: (i) الآثار السلبية التي قد تنشأ في حالة حدوث الظروف أو الحدث؛ و (ii) احتمالية الحدوث. عوامل الخطر فئات مختلفة من المخاطر التي يجب على المؤسسات مراعاتها عند إجراء تقييم مخاطر الاحتيال القواعد تستخدم القواعد المُطبقة في أنظمة منع الاحتيال وكشفه الارتباط والإحصائيات والمقارنة المنطقية للبيانات لتحديد النمط بناءً على الرؤى المكتسبة من حوادث الاحتيال المعروفة السابقة. عمليات الخداع عند خداع فرد لإجراء عملية دفع أو السماح بالدفع إلى حساب مجرم. عادةً ما يستخدم المحتالون الهندسة الاجتماعية، ويمكنهم انتحال صفة البنوك وفرص الاستثمار وشركات المرافق والهيئات الحكومية باستخدام رسائل البريد الإلكتروني والمكالمات الهاتفية والرسائل النصية القصيرة التي تبدو حقيقية. اللجنة القطاعية لمكافحة الاحتيال لجنة يديرها البنك المركزي لمكافحة الاحتيال الذي يشمل المؤسسات المالية العاملة في المملكة (مثل لجنة مكافحة الاحتيال المصرفي). الإدارة العليا أعلى مستوى للإدارة في المؤسسة (المستوى التالي لمجلس الإدارة) ومرؤوسيه المباشرين. اتفاقية مستوى الخدمة المسؤوليات المحددة للتنفيذ، عادةً ما تكون اتفاقًا بشأن التوقيت المناسب أو الجودة، على سبيل المثال فيما يتعلق بإدارة تنبيهات الاحتيال. البيانات الثابتة البيانات ذات معدل التغيير المنخفض (مثل الاسم وعنوان البريد الإلكتروني ورقم الهاتف المحمول وحقوق التوقيع وعينة التوقيعات والتوكيل). الدليل التنظيمي لأمن المعلومات الدليل التنظيمي لأمن المعلومات الصادر عن البنك المركزي. الطرف الخارجي كيان منفصل وغير مرتبط يقدم خدمة للمؤسسة. وقد يشمل ذلك الموردين ومقدمي الخدمات التقنية (مثل أبشر ونفاذ) والمتعاقدين الخارجيين والوسطاء والسماسرة والمقدمين والوكلاء. استخبارات التهديدات الاستخبارات المتعلقة بالتهديدات هي معرفة قائمة على الأدلة، بما في ذلك السياق والآليات والمؤشرات والآثار والمشورة القابلة للتنفيذ، حول التهديد أو الخطر الحالي أو الناشئ على الأصول التي يمكن استخدامها لإبلاغ القرارات المتعلقة باستجابة الشخص لذلك التهديد أو الخطر. تحليل التوجهات عملية جمع ومراجعة المعلومات لتحديد الأنماط والتنبؤ بالتوجهات المستقبلية. جهاز موثوق به الجهاز الموثوق به هو جهاز يمتلكه العميل ويتحكم في الوصول إليه ويستخدمه كثيرًا. المخالفة أي فعل أو إخفاء لأعمال الاحتيال أو الفساد أو التواطؤ أو الإكراه أو السلوك غير القانوني أو سوء السلوك أو سوء الإدارة المالية أو المخالفات المحاسبية أو تضارب المصالح أو السلوك غير المشروع أو الممارسات غير القانونية أو غير الأخلاقية أو غيرها من الانتهاكات لأي قوانين وتعليمات معمول بها. سياسة الإبلاغ عن المخالفات سياسة البنك المركزي بشأن الإبلاغ عن المخالفات للمؤسسات المالية. أمن نقطة النهاية للدفع بالجملة التدابير المتخذة فيما يتعلق بأجهزة نقطة النهاية والبرمجيات والوصول المادي والوصول المنطقي والتنظيم والعمليات في نقطة مكانية وزمنية محددة حيث يتم تبادل معلومات تعليمات الدفع بين طرفين في المنظومة. الملحق ب - أنواع الاحتيال التي قد تؤثر على المؤسسة المالية وعملائها
فيما يلي قائمة غير شاملة لأنواع الاحتيال التي يجب على المؤسسة المالية مراعاتها عندما يتعلق الأمر بمنتجاتها.
- الهندسة الاجتماعية (على سبيل المثال، الحصول على بيانات اعتماد العميل، وعمليات الاحتيال الاستثمارية، وعمليات الاحتيال في الشراء، وعمليات الاحتيال في الفواتير، وعمليات الاحتيال في الرسوم المسبقة).
- الاستيلاء على الحساب (على سبيل المثال، الوصول إلى منتج العميل أو جهازه للتحكم في الأصول أو المعاملات).
- انتحال الشخصية (على سبيل المثال، الحصول على معلومات شخصية لاستخدامها لمصلحة المنتحل الخاصة؛ وانتحال هوية شخص آخر للوصول إلى المنتجات؛ وانتحال شخصية هيئة حكومية للحصول على معلومات العملاء).
- الاحتيال الداخلي (على سبيل المثال، اختلاس الأصول؛ والاحتيال في مجال المشتريات؛ وسرقة الأصول أو النقد؛ وسرقة الملكية الفكرية؛ وتزوير المعلومات؛ ونقل المعلومات بشكل غير مصرح به إلى أطراف خارجية؛ ومطالبات بنفقات مزيفة؛ وإساءة استخدام السلطة؛ والتواطؤ؛ واستخدام أصول المؤسسة لتحقيق مكاسب خاصة؛ تحويل الأموال).
- الاحتيال المحاسبي (على سبيل المثال، الإخفاء؛ إصدار فواتير مزيفة؛ الاحتيال في كشوف المرتبات؛ الاعتراف غير المناسب بالإيرادات؛ المبالغة في تقدير الأصول؛ التقليل من الالتزامات؛ المبالغة في فواتير العملاء؛ الاحتيال في الخزانة والاستثمار).
- الاحتيال في التطبيقات (على سبيل المثال، عدم الكشف عن المعلومات؛ تزوير المعلومات؛ تقديم وثائق مزورة).
- الاحتيال الأمني لنقطة النهاية للدفع بالجملة.
- المنتجات المصرفية والدفع: الاحتيال على بطاقات الائتمان/الخصم؛ الاحتيال في الدفع عبر الإنترنت أو عبر تطبيق الهاتف المحمول؛ الاحتيال في استخدام الشيكات؛ الاحتيال في أجهزة الصراف الآلي؛ الاحتيال بالحسابات المزيفة.
- منتجات الائتمان والإقراض: الاحتيال في الرهن العقاري؛ الاحتيال في القروض.
الملحق ج - كيفية طلب تحديث على الدليل
فيما يلي رسم توضيحي لعملية طلب تحديث على الدليل.
- معلومات تفصيلية مدعمة بالإيجابيات والسلبيات حول التحديث المقترح.
- يجب أن تتم الموافقة على الطلب أولاً من جانب رئيس مكافحة الاحتيال قبل تقديمه إلى لجنة الحوكمة المختصة بمكافحة الاحتيال.
- يجب أن تتم الموافقة على الطلب من لجنة الحوكمة المختصة بمكافحة الاحتيال في المؤسسة المالية.
- يجب إرسال الطلب كتابيًا رسميًا إلى مدير "الإدارة العامة لمكافحة المخاطر السيبرانية" عبر الرئيس التنفيذي للمؤسسة المالية أو المدير العام.
- تتولى "الإدارة العامة لمكافحة المخاطر السيبرانية" تقييم الطلب وإبلاغ المؤسسة المالية.
- يظل الدليل الحالي قابلاً للتطبيق أثناء دراسة التحديث المطلوب ومعالجته والموافقة عليه ثم الشروع في تنفيذه إن أمكن.
الملحق د - نموذج طلب تحديث الدليل
طلب تحديث دليل مكافحة الاحتيال المالي
تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية في البنك المركزي.
سينظر البنك المركزي في الطلبات المُقدمة من المؤسسة المالية لتحديث دليل مكافحة الاحتيال المالي الخاص بها بناءً على المعلومات المُقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل تحديث مطلوب. وترجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة على النحو الصحيح قبل أن يبدأ البنك المركزي عملية المراجعة.
معلومات مقدم الطلب
توقيع مقدم الطلب*
xمنصب مقدم الطلب* التاريخ* اسم مقدم الطلب*
المؤسسة المالية التابع لها مقدم الطلب*
قسم الدليل*:
الغرض من التحديث المطلوب (بما في ذلك المعلومات التفصيلية عن إيجابياته وسلبياته)*:
المقترح*:
الموافقات
1. موافقة رئيس مكافحة الاحتيال في المؤسسة المالية*
التاريخ*
2. موافقة لجنة الحوكمة المختصة بمكافحة الاحتيال التابعة للمؤسسة المالية*
منصب المعتمد*
التاريخ*
3. قرار البنك المركزي
موافقة البنك المركزي
التاريخ
* تشير إلى الحقول الإلزامية
الملحق هـ – كيفية طلب الإعفاء من الدليل
فيما يلي رسم توضيحي لعملية طلب الإعفاء من الدليل.
- وصف تفصيلي حول أسباب عدم تمكن المؤسسة المالية من الوفاء بإجراء الرقابة المطلوب.
- وصف تفصيلي حول الضوابط التعويضية المتاحة أو المقترحة.
- يجب أن تتم الموافقة على طلب الإعفاء أولاً من جانب رئيس مكافحة الاحتيال قبل تقديمه إلى لجنة الحوكمة المختصة بمكافحة الاحتيال.
- يجب أن تتم الموافقة على طلب الإعفاء من أعضاء لجنة الحوكمة المختصة بمكافحة الاحتيال في المؤسسة المالية.
- يجب أن يتم توقيع طلب الإعفاء من رئيس مكافحة الاحتيال ومسؤول (الأعمال) ذي الصلة.
- يجب إصدار طلب الإعفاء كتابيًا رسميًا إلى مدير "الإدارة العامة لمكافحة المخاطر السيبرانية" عبر الرئيس التنفيذي للمؤسسة المالية أو العضو المنتدب.
- ستقوم "الإدارة العامة لمكافحة المخاطر السيبرانية" بتقييم طلب الإعفاء وإبلاغ المؤسسة المالية.
يظل الدليل الحالي قابلاً للتطبيق أثناء تقييم الإعفاء المطلوب ومعالجته، حتى لحظة منح الإعفاء.
الملحق و - نموذج طلب الإعفاء من الدليل
طلب الإعفاء من دليل مكافحة الاحتيال المالي الصادر عن البنك المركزي
تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية
سينظر البنك المركزي في طلبات الإعفاء المُقدمة من المؤسسة المالية من دليل مكافحة الاحتيال الخاص به بناءً على المعلومات المُقدمة باستخدام النموذج أدناه. يجب ملء نموذج منفصل لكل إعفاء مطلوب. يُرجى ملاحظة أنه يجب ملء جميع الحقول المطلوبة بشكل صحيح قبل أن يبدأ البنك المركزي في المراجعة.
معلومات مقدم الطلب
توقيع مقدم الطلب*
xمنصب مقدم الطلب* التاريخ* اسم مقدم الطلب*
المؤسسة المالية التابع لها مقدم الطلب*
مراقبة الدليل*:
وصف تفصيلي لسبب عدم إمكانية تنفيذ عنصر الرقابة*:
وصف تفصيلي لضوابط التعويض المتاحة أو المقترحة*:
الموافقات
1. موافقة رئيس مكافحة الاحتيال في المؤسسة المالية*
التاريخ*
2. موافقة لجنة الحوكمة المختصة بمكافحة الاحتيال التابعة للمؤسسة المالية*
منصب المعتمد*
التاريخ*
3.قرار البنك المركزي
موافقة البنك المركزي
التاريخ**
* تشير إلى الحقول الإلزامية
** مدة صلاحية هذا الإعفاء سنة واحدة. وتقع على عاتق المؤسسات المالية مسؤولية ضمان تجديد هذا الإعفاء.
الملحق ز - نموذج الإخطار الإشرافي
الإخطارات الإشرافية المتعلقة بالاحتيال المالي
تقديم الطلب إلى مدير الإدارة العامة لمكافحة المخاطر السيبرانية بالبنك المركزي.
يشترط البنك المركزي الإخطار الفوري بأنواع الاحتيال الجديدة وحوادث الاحتيال الكبيرة لتخفيف حدة مخاطر الاحتيال التي تؤثر على عملاء إضافيين أو مؤسسات أخرى أو القطاع المالي في المملكة العربية السعودية. يجب استخدام هذا النموذج لتقديم الإخطار. يُرجى ملاحظة أنه يجب تقديم جميع المعلومات المطلوبة، ولكن من المفهوم أنه قد لا تكون جميع المعلومات متاحة في وقت الإخطار. عندما لا تكون المعلومات متاحة في وقت الإخطار، يجب تقديم أي فجوات إلى البنك المركزي على الفور مع تقدم التحقيق.
معلومات مُقدم الإخطار
توقيع مُقدم الإخطار*
منصب مُقدم الإخطار*
التاريخ*
اسم مُقدم الإخطار*
المؤسسة المالية التابع لها مُقدم الإخطار*
نوع إخطار الاحتيال*
تاريخ الحادث*
☐ نوع جديد ☐ مخالفات محاسبية كبيرة ☐ عمليات احتيال داخلية كبيرة ☐ الاحتيال الأمني لنقطة نهاية الدفع بالجملة ☐ عمليات احتيال خارجية كبيرة أصل الحادثة*:
الطرق المُستخدمة*:
الأطراف ذات العلاقة (الداخلية والخارجية)*:
النتيجة (بما في ذلك الخسائر حيثما ينطبق ذلك)*:
الإجراءات التصحيحية*:
معلومات إضافية:
* تشير إلى الحقول الإلزامية
إطلاق تجريبي
يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:
كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.
ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.
مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.
يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:
كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.
ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.
مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.