2.1.4 تقييم مخاطر الاحتيال
| الرقم: 44021528 | التاريخ (م): 2022/10/11 | التاريخ (هـ): 1444/3/16 | الحالة: نافذ |
هذه النسخة مترجمة و قد يطرأ عليها تعديلات لاحقا. يجب الاستناد على التعليمات الواردة في الوثيقة الأصلية
Effective from Oct 11 2022 - Oct 10 2022
To view other versions open the versions tab on the right
| المبدأ | ||||
| يجب على المؤسسات المالية إجراء تقييم لمخاطر الاحتيال لتحديد مخاطر الاحتيال التي يتعرضون لها أو يتعرض لها عملاؤها وتقييم فعالية الضوابط المعمول بها للتخفيف من حدة المخاطر. | ||||
| متطلبات الرقابة | ||||
| أ. | يجب على المؤسسة المالية إجراء تقييم لمخاطر الاحتيال على مستوى المؤسسة كجزء من برنامجها لمكافحة الاحتيال. | |||
| ب. | يجب أن يستند تقييم مخاطر الاحتيال إلى منهجية موثقة لتقييم مخاطر الاحتيال. | |||
| ج. | كحد أدنى، يجب أن تتضمن منهجية تقييم مخاطر الاحتيال ما يلي: | |||
| 1. | تحديد مخاطر الاحتيال الكامنة التي تتعرض لها المؤسسة المالية وعملائها. | |||
| 2. | تقييم احتمالية حدوث المخاطر الكامنة وأثرها على المؤسسة المالية وعملائها في حالة وقوع المخاطر الكامنة. | |||
| 3. | اختبار فعالية الضوابط المعمول بها لمنع المخاطر الكامنة التي تم تحديدها وكشفها والاستجابة لها. | |||
| 4. | تحديد مخاطر الاحتيال المتبقية التي تظل المؤسسة المالية معرضة لها بعد اختبار الضوابط المطبقة. | |||
| 5. | وضع خطط عمل لمعالجة المخاطر المتبقية التي تقع خارج نطاق الرغبة في المخاطرة أو التي قد تؤدي إلى خرق اللوائح. | |||
| 6. | المراقبة المستمرة لخطط العمل للتحقق من أن المخاطر في حدود يمكن تحملها. | |||
| د. | يجب تسجيل المخاطر التي تم تحديدها في تقييم مخاطر الاحتيال في سجل مركزي رسمي. | |||
| هـ. | يجب توثيق الإجراءات الرامية إلى معالجة الفجوات التي تم تحديدها في تقييم مخاطر الاحتيال في خطة العلاج ومراجعتها للتأكد من ملاءمتها وفعاليتها للحد من المخاطر. | |||
| و. | يجب أن تتم الموافقة رسميًا على نتائج تقييم مخاطر الاحتيال من جانب مسؤول العمل المعنيّ. | |||
| ز. | عند تقييم مخاطر الاحتيال، يجب على المؤسسات المالية مراعاة ما يلي: | |||
| 1. | كل من عمليات الاحتيال التي يرتكبها أشخاص من خارج المؤسسة (احتيال خارجي) وعمليات الاحتيال التي يرتكبها أشخاص يعملون في المؤسسة أو بمساعدة منهم (احتيال داخلي). | |||
| 2. | مخرجات المراقبة الاستخباراتية وتقييمات التهديد. | |||
| 3. | حوادث الاحتيال وأحداث الخسارة. | |||
| 4. | نمذجة التهديدات المحتملة للمؤسسة من خلال تحليل سيناريو الاحتيال. | |||
| 5. | المخاطر المتعلقة بالمنتجات - المنتجات والخدمات المُقدمة وكيف يمكن استخدامها لارتكاب عمليات الاحتيال. | |||
| 6. | مخاطر العملاء - قاعدة عملاء المؤسسة، بما في ذلك، على سبيل المثال لا الحصر، نوع العميل (على سبيل المثال، عميل فرد أو شركة أو جهة خاضعة للتنظيم)؛ عدد العملاء مستوى الوعي بالاحتيال؛ والتعرض للاحتيال. | |||
| 7. | مخاطر قناة التنفيذ - القنوات التي يمكن للعميل استخدامها للتواصل مع المؤسسة المالية أو الوصول إلى منتجاتها وخدماتها، مع مراعاة خاصة لمخاطر التفاعل عن بُعد مع زيادة التحول الرقمي للمنتجات. | |||
| 8. | مخاطر المعاملات - طرق إجراء المعاملات أو استلام الأموال أو تحويل القيمة. | |||
| 9. | مخاطر الولاية القضائية - المخاطر الإضافية التي يمكن فيها استخدام المنتجات والخدمات في بلد أجنبي. | |||
| 10. | مخاطر الأطراف الخارجية - الاستعانة بأطراف خارجية لتقديم الخدمات إلى المؤسسة أو عملائها. | |||
| 11. | المخاطر الأمنية لنقطة النهاية للدفع بالجملة - مخاطر مدفوعات الجملة الشاملة، بما في ذلك التواصل (المؤسسة المالية مع مؤسسة مالية أخرى، والمؤسسة المالية مع النظام)؛ الأنظمة (محطة العمل)؛ الموظفين والعمليات. | |||
| ح. | يجب على المؤسسات المالية ضمان مراعاة تقييم مخاطر الاحتيال للاحتيال عبر الإنترنت، بما في ذلك التفاعل مع نموذج إدارة مخاطر الأمن السيبراني الخاص بالمؤسسة المالية. | |||
| ط. | يجب إجراء تقييم مخاطر الاحتيال على الأقل على أساس سنوي. | |||
| ي. | علاوة على ذلك، يجب على المؤسسات المالية تحديث تقييم مخاطر الاحتيال الخاص بها ليشمل التغييرات في بيئة مخاطر الاحتيال الداخلية أو الخارجية. تشمل هذه التغييرات، على سبيل المثال لا الحصر، ما يلي: | |||
| 1. | تحديد فجوة أو نقطة ضعف جديدة في بيئة الرقابة. | |||
| 2. | المتطلبات التنظيمية الجديدة. | |||
| 3. | المنتجات والخدمات الجديدة. | |||
| 4. | القنوات الجديدة للتسويق والمنصات الرقمية الجديدة. | |||
| 5. | عمليات الاستحواذ التجارية الجديدة. | |||
| 6. | بيع أو التصرف في أجزاء من أعمال المؤسسة المالية. | |||
| 7. | التغييرات في البيئة الداخلية (مثل الهيكل التنظيمي). | |||
| 8. | الحصول على معلومات جديدة في المراقبة استخباراتية للاحتيال. | |||