يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:
كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.
ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.
مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.
Effective from Oct 11 2022 - Oct 10 2022 To view other versions open the versions tab on the right
المبدأ
يجب أن تتضمن معايير منع الاحتيال في المنظمات الأعضاء ضوابط مُصممة لمنع الاحتيال الداخلي.
متطلبات الرقابة
أ.
يجب على المنظمة العضو أن تدرج في معايير منع الاحتيال الخاصة بها ضوابط للتخفيف من حدة مخاطر حدوث الاحتيال الداخلي، بما في ذلك على سبيل المثال لا الحصر:
1.
مطالبة الموظفين بالالتزام بمدونة قواعد السلوك.
2.
إلزام جميع الموظفين بأخذ إجازة يُحظر خلالها التواصل معهم لا تقل عن 10 أيام عمل متواصلة كل عام.
3.
الفصل بين الواجبات في عمليات الدفع والإنجاز بدعم من مصفوفات الترخيص الموثقة.
4.
الضوابط المزدوجة أو الفحص الثانوي لعملية المراقبة، مع مراجعة إضافية أو عملية الموافقة على المعاملات التي تتجاوز الحدود التي تضعها المنظمة العضو (على سبيل المثال، قيمة المعاملة أو المدفوعات لمورد جديد) أو المعاملات ذات المخاطر العالية (على سبيل المثال، الوصول إلى الحسابات الخاملة) .
5.
تقييد الوصول إلى تفاصيل العميل السرية لجميع الموظفين (على سبيل المثال، بيانات الاعتماد عبر الإنترنت، ورسائل كلمات المرور لمرة واحدة).
6.
تقييد الوصول إلى بيانات حساب العميل السرية (مثل رصيد الحساب ومبلغ القرض) حيث لا يكون الاطلاع مطلوبًا في الدور الوظيفي (مثل موظفي تقنية المعلومات). عندما يكون الوصول مطلوبًا، يجب تسجيل النشاط وتخزينه بشكل آمن (انظر متطلبات الرقابة 5.3.ب).
7.
متطلبات التعامل المناسب مع البيانات السرية.
8.
ضوابط الوصول إلى الشيكات والنقد.
9.
ضوابط لحماية الأمن المادي للأصول (على سبيل المثال، اشتراط تحديد هوية الموظفين في جميع الأوقات، وتأمين المعدات وتتبعها، وتقييد الوصول إلى الأصول الحساسة).
ب.
يجب على المنظمات الأعضاء مراعاة متطلبات التحكم في إدارة الهوية والوصول المتعلقة بإدارة وصول المستخدم وإدارة الوصول المميز الموضحة في إطار الأمن السيبراني.
ج.
يجب على المنظمات الأعضاء التأكد أن الأفراد المسؤولين عن تشغيل ضوابط الاحتيال الداخلي مستقلون بشكل كافٍ عن الأفراد الذين يراقبونهم.
د.
يجب على المنظمات الأعضاء وضع العمليات والضوابط المناسبة لردع وتجنب حالات تضارب المصالح ومعاملات الأطراف ذات الصلة لمديريها ومسؤوليها وموظفيها والشركات الخارجية والمتعاقدين، بما في ذلك على سبيل المثال لا الحصر:
1.
وضع سياسة تحدد بوضوح السلوك المحظور.
2.
الحد من تدفق المعلومات بين الإدارات الداخلية والموظفين من خلال حواجز المعلومات.
3.
تقديم الإرشادات والتعليمات والأمثلة حول تجنب تضارب المصالح.
4.
المطالبة بالكشف الفوري عن أي حالات تضارب أو حالات تضارب محتملة.
