4.6. معالجة الاحتيال

إطلاق تجريبي

يعتبر دخولك واستخدامك لكتيب قواعد الإطار التنظيمي للبنك المركزي السعودي ومحتواه قبولاً وإقراراً منك دون أي قيد أو شرط للالتزام والموافقة على الآتي:

كتيب قواعد الإطار التنظيمي للبنك المركزي السعودي هو منصة تهدف إلى مساعدة الجهات الخاضعة لرقابة البنك المركزي على الوصول إلى المحتوى التنظيمي للبنك المركزي السعودي بسهولة وكفاءة. لا يزال كتيب قواعد الإطار التنظيمي في مرحلة التطويروالإطلاق التجريبي. البنك المركزي السعودي غير مسؤول عن محتوياته ولا يضمن بأن (الخدمات المتعلقة بالمنصة أو المعلومات أو المواد المعروضة) خالية من أي سهو أو أخطاء. لا يتحمل البنك المركزي السعودي أي مسؤولية عن أي خسارة أو مطالبة أو ضرر ناتج عن أي استخدام للمنصة، وأي قرارات أو إجراءات يتم اتخاذها بناء على المعلومات الواردة في المنصة أو الناتجة عنها.

ليس لكتيب القواعد أي أثر قانوني ولا يهدف إلى تعديل أو إلغاء أي أحكام قانونية. كما أنه لايزال يحتوي على وثائق هي قيد المراجعة بما فيها الوثائق المترجمة. وفي هذا الشأن؛ يؤكد البنك المركزي على كافة المؤسسات المالية المشمولة برقابته وإشرافه؛ ضرورةَ الالتزام دوماً بما يصدر عن البنك المركزي من تعليمات، ومتابعة التحديثات لهذه التعليمات، وعدم الاعتماد على ما هو منشور على المنصة.

مع عدم الإخلال بشروط استخدام موقع البنك المركزي السعودي، فإنك تقر بأن أي استخدام غير قانوني أو غير مصرح به و/أو أي خرق لأي من هذه الأحكام قد يؤدي إلى اتخاذ إجراءات قانونية ضدك.

4.6. معالجة الاحتيال

الرقم: 44021528

التاريخ (م): 2022/10/11 | التاريخ (هـ): 1444/3/16

Effective from Oct 11 2022 - Oct 10 2022
To view other versions open the versions tab on the right

المبدأ
يجب على المنظمات الأعضاء تحديد واعتماد وتنفيذ والحفاظ على عملية لتحديد السبب الجذري لحادث الاحتيال، وتحديد أي دروس مستفادة واتخاذ الإجراءات التصحيحية لمنع تكرار الحوادث.
متطلبات الرقابة
أ.	يجب على المنظمات الأعضاء تحديد واعتماد وتنفيذ والحفاظ على عملية لتحديد السبب الجذري لحادث الاحتيال في نهاية التحقيق. كحد أدنى، يجب أن تتضمن العملية ما يلي:
	1.	فهم نقطة الثغرة (على سبيل المثال، القناة التي تم استخدامها لارتكاب عملية الاحتيال أو السيطرة على الحساب).
	2.	تحديد ما إذا كان من الممكن أن تكون أطراف أخرى متورطة في عملية الاحتيال (على سبيل المثال، موظفين إضافيين من خلال التواطؤ أو أشخاص معروفين للعميل).
	3.	مراجعة ما إذا كانت المراقبة الوقائية قد فشلت أو قد تجاوزها الموظف.
	4.	تقييم ما إذا كان الاحتيال قد تم تحديده بشكل استباقي من خلال مراقبة المباحث أو الاعتماد على إشعار العميل التفاعلي.
ب.	بعد تحديد السبب الجذري، يجب على المنظمات الأعضاء تحديد واعتماد وتنفيذ عملية لتحديد الدروس المستفادة وتوجيه الإجراءات التصحيحية لمنع تكرارها. كحد أدنى، يجب أن تتضمن العملية ما يلي:
	1.	تجميع البيانات التي قد تدعم تحليل الأنماط في حالات الاحتيال، بما في ذلك على سبيل المثال لا الحصر، عناوين بروتوكولات الإنترنت المُستخدمة وحسابات المستفيدين ومعرفات الأجهزة ذات الصلة.
	2.	تقييم ما إذا كانت هناك فجوة في إطار الرقابة الحالي.
	3.	تحديد ما إذا كانت الإدارات الأخرى في المنظمة العضو تعاني من نفس الثغرة الأمنية.
	4.	تقييم ما إذا كانت المشكلة يمكن أن تؤثر على المنظمات الأعضاء الأخرى ومشاركة المعلومات ذات الصلة التي قد تمنع تكرارها (على سبيل المثال، المواقع المزيفة التي تنتحل صفة جهات حكومية أو حسابات وسائل التواصل الاجتماعي).
	5.	توثيق الإجراءات التصحيحية لمعالجة السبب الجذري ومنع تكراره.
ج.	يجب على المنظمات الأعضاء اتخاذ إجراءات تصحيحية لمعالجة السبب الجذري و/أو تأثير حادث الاحتيال، وقد تشمل تلك الإجراءات على سبيل المثال لا الحصر:
	1.	تنفيذ عنصر رقابة جديد أو تحسين عنصر رقابة قائم.
	2.	توفير التدريب أو تقديم مواد توعوية جديدة لتعزيز وعي الموظفين أو العملاء أو الطرف الخارجي.
	3.	إعادة ضحية الاحتيال إلى الوضع الذي كانت عليه قبل وقوع الحادث (على سبيل المثال، تعويض الأموال المسروقة، رد المبالغ المدفوعة، استرداد دفعة احتيال، سداد المدفوعات للطرف الخارجي).
	4.	تقديم الدعم لضحية الاحتيال (على سبيل المثال، إبلاغه بالخطوات التالية، وتوفير بطاقة جديدة، وتوعية الضحية).
	5.	محاولة استرداد الأموال أو الأصول.
	6.	إنهاء العلاقة مع العميل أو الطرف الخارجي إذا تبين أنه مرتكب عملية الاحتيال.
	7.	الإجراءات التأديبية الداخلية حيث يتم تحديد الاحتيال الداخلي.
	8.	التواصل مع سلطات إنفاذ القانون.
د.	يجب أن يتم تتبع قبول الإجراءات التصحيحية وتنفيذها من قبل إدارة مكافحة الاحتيال، مع التصعيد إلى لجنة الحوكمة المختصة بمكافحة الاحتيال حيث يتم رفض الإجراءات من الشركة أو تأخير الإجراء الإصلاحي.