الامتثال التنظيمي لمنصات الترميز
تشغيل منصة ترميز في دول الخليج يتطلب التزاماً صارماً بمتطلبات تنظيمية متعددة. هذا الدليل يوفر خارطة طريق عملية لبناء برنامج امتثال شامل.
أركان الامتثال الأساسية#
الهيكل التنظيمي#
هيكل الامتثال في منصة الترميز:
┌─────────────────────────────────────────────────────────┐
│ مجلس الإدارة │
│ (المسؤولية النهائية عن الامتثال) │
├─────────────────────────────────────────────────────────┤
│ الرئيس التنفيذي │
├──────────┬──────────┬──────────┬───────────────────────┤
│ │ │ │ │
│ مسؤول │ مسؤول │ مسؤول │ مسؤول │
│ الامتثال │ MLRO │ حماية │ أمن المعلومات │
│ (CCO) │ │ البيانات │ (CISO) │
├──────────┴──────────┴──────────┴───────────────────────┤
│ فريق العمليات │
│ ┌─────────────────────────────────────────────────┐ │
│ │ KYC │ مراقبة المعاملات │ التقارير │ التدريب │ │
│ └─────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────┘
السياسات الأساسية المطلوبة#
| السياسة | الوصف | المراجعة |
|---|---|---|
| AML/CFT | مكافحة غسل الأموال وتمويل الإرهاب | سنوياً |
| KYC/CDD | التعرف على العميل والعناية الواجبة | سنوياً |
| سلوك السوق | منع التلاعب والتداول الداخلي | سنوياً |
| تضارب المصالح | إدارة التضاربات | سنوياً |
| حماية البيانات | خصوصية معلومات العملاء | سنوياً |
| استمرارية الأعمال | خطة الطوارئ | نصف سنوي |
| الأمن السيبراني | حماية الأنظمة | ربع سنوي |
مكافحة غسل الأموال (AML)#
نهج قائم على المخاطر#
تقييم المخاطر:
┌────────────────────────────────────────────────────────┐
│ مخاطر العملاء │
│ ┌────────┐ ┌────────┐ ┌────────┐ ┌────────┐ │
│ │ منخفض │ │ متوسط │ │ عالي │ │ محظور │ │
│ │ 70% │ │ 20% │ │ 10% │ │ 0% │ │
│ └────────┘ └────────┘ └────────┘ └────────┘ │
├────────────────────────────────────────────────────────┤
│ مخاطر المنتجات │
│ - ترميز عقاري: متوسط │
│ - سندات مرمزة: منخفض │
│ - رموز فنية: عالي │
├────────────────────────────────────────────────────────┤
│ مخاطر جغرافية │
│ - الخليج: منخفض │
│ - أوروبا: منخفض │
│ - دول عالية المخاطر: محظور │
└────────────────────────────────────────────────────────┘
إجراءات العناية الواجبة#
CDD - Customer Due Diligence:
مستويات العناية الواجبة:
├── مبسطة (SDD) - عملاء منخفضو المخاطر
│ ├── هوية أساسية
│ ├── تحقق إلكتروني
│ └── مراقبة عادية
├── معيارية (CDD) - عملاء متوسطو المخاطر
│ ├── هوية + عنوان
│ ├── مصدر الأموال العام
│ └── مراقبة دورية
└── معززة (EDD) - عملاء عاليو المخاطر
├── تحقق موسع
├── مصدر الثروة بالتفصيل
├── موافقة إدارة عليا
└── مراقبة مكثفة
EDD للأشخاص المعرضين سياسياً (PEPs):
| المتطلب | الإجراء |
|---|---|
| التحديد | فحص ضد قوائم PEP |
| الموافقة | إدارة عليا مطلوبة |
| مصدر الثروة | توثيق تفصيلي |
| المراقبة | مكثفة ومستمرة |
| المراجعة | سنوياً كحد أدنى |
مراقبة المعاملات#
قواعد المراقبة:
├── حدود المبالغ
│ ├── معاملة فردية > $10,000 → مراجعة
│ ├── تراكمي يومي > $25,000 → تنبيه
│ └── شهري > $100,000 → EDD
├── أنماط مشبوهة
│ ├── تجزئة المعاملات (Structuring)
│ ├── تغيير مفاجئ في النشاط
│ ├── معاملات دائرية
│ └── عدم تطابق الملف الشخصي
└── جغرافية
├── دول عقوبات → حظر
├── دول عالية المخاطر → تصعيد
└── مناطق نزاع → مراجعة
تقارير المعاملات المشبوهة (STR)#
عملية STR:
┌─────────────────────────────────────────────┐
│ تحديد نشاط مشبوه │
│ ↓ │
│ تجميد المعاملة (إن لزم) │
│ ↓ │
│ تحقيق داخلي (24-48 ساعة) │
│ ↓ │
│ قرار MLRO │
│ ↙ ↘ │
│ عادي مشبوه │
│ ↓ ↓ │
│ استئناف تقديم STR │
│ العمليات للوحدة المالية │
│ (3-5 أيام) │
└─────────────────────────────────────────────┘
التعرف على العميل (KYC)#
متطلبات التسجيل#
للأفراد:
وثائق الأفراد:
├── إثبات الهوية (إلزامي)
│ ├── جواز السفر ساري
│ ├── الهوية الوطنية
│ └── رخصة القيادة (بعض الدول)
├── إثبات العنوان (إلزامي)
│ ├── فاتورة خدمات (< 3 أشهر)
│ ├── كشف حساب بنكي
│ └── عقد إيجار
├── التحقق من الوجه (إلزامي)
│ ├── Selfie مع الهوية
│ └── Video verification
└── مصدر الأموال (للمبالغ الكبيرة)
├── كشوف الراتب
├── عقود بيع
└── إثبات ميراث
للشركات:
وثائق الشركات:
├── الكيان القانوني
│ ├── شهادة التأسيس
│ ├── النظام الأساسي
│ └── سجل المساهمين
├── الملاك النهائيون (UBO)
│ ├── من يملك > 25%
│ ├── KYC كامل لكل UBO
│ └── هيكل الملكية كاملاً
├── المفوضون بالتوقيع
│ ├── تفويض رسمي
│ └── KYC لكل مفوض
└── البيانات المالية
├── آخر سنتين
└── مدققة إن أمكن
التحقق الإلكتروني#
مزودو خدمات eKYC:
| المزود | التغطية | الميزات |
|---|---|---|
| Jumio | عالمية | AI، Liveness |
| Onfido | أوروبا + خليج | سريع، دقيق |
| Sumsub | واسعة | شامل، مرن |
| Veriff | عالمية | واجهة ممتازة |
إعادة التحقق#
جدول إعادة التحقق:
├── منخفض المخاطر: كل 3 سنوات
├── متوسط المخاطر: كل سنتين
├── عالي المخاطر: سنوياً
└── PEPs: كل 6 أشهر
فحص العقوبات#
قوائم العقوبات#
القوائم الإلزامية:
├── OFAC (أمريكا)
├── UN Consolidated List
├── EU Sanctions
├── UK Sanctions
├── قوائم محلية (الإمارات، السعودية)
└── قوائم PEP
آلية الفحص#
عملية فحص العقوبات:
┌────────────────┐
│ بيانات العميل │
└───────┬────────┘
↓
┌─────────────────────────────────┐
│ محرك فحص العقوبات │
│ - مطابقة الاسم (Fuzzy Match) │
│ - مطابقة تاريخ الميلاد │
│ - مطابقة الجنسية │
└─────────────────────────────────┘
↓
┌───────────────┴───────────────┐
↓ ↓
┌──────────┐ ┌──────────┐
│ لا تطابق │ │ تطابق │
│ → قبول │ │ محتمل │
└──────────┘ └────┬─────┘
↓
┌──────────────┐
│ مراجعة يدوية│
└──────┬───────┘
↓
┌──────────────┴──────────────┐
↓ ↓
┌────────────┐ ┌────────────┐
│ False +ve │ │ True +ve │
│ → قبول │ │ → رفض │
└────────────┘ └────────────┘
سلوك السوق#
منع التلاعب#
أنواع التلاعب الممنوعة:
| النوع | الوصف | العقوبة |
|---|---|---|
| Wash Trading | بيع وشراء من نفس الطرف | جسيمة |
| Spoofing | أوامر وهمية للتأثير على السعر | جسيمة |
| Pump & Dump | تضخيم مصطنع ثم بيع | جسيمة |
| Front Running | استغلال معلومات الأوامر | جسيمة |
| Insider Trading | تداول بمعلومات داخلية | جنائية |
أنظمة الكشف:
مؤشرات التلاعب:
├── تركز التداول (عميل واحد > 30%)
├── أنماط متكررة بين حسابات
├── تقلبات سعرية غير مبررة
├── حجم تداول غير طبيعي
└── توقيت مشبوه للأوامر
حماية البيانات#
متطلبات PDPL (الإمارات)#
مبادئ حماية البيانات:
├── المشروعية: أساس قانوني للمعالجة
├── الشفافية: إعلام العميل بالاستخدام
├── تحديد الغرض: استخدام للغرض المعلن فقط
├── تقليل البيانات: جمع الضروري فقط
├── الدقة: تحديث البيانات
├── الاحتفاظ المحدود: حذف عند انتهاء الغرض
└── الأمان: حماية من الاختراق
حقوق العملاء#
- الوصول: الحصول على نسخة من بياناتهم
- التصحيح: تعديل البيانات غير الدقيقة
- الحذف: "الحق في النسيان"
- الاعتراض: على أنواع معينة من المعالجة
- النقل: تحويل البيانات لمنصة أخرى
الأمن السيبراني#
متطلبات VARA#
ضوابط الأمن السيبراني:
├── الحوكمة
│ ├── سياسة أمن معلومات
│ ├── CISO معين
│ └── تقارير دورية للإدارة
├── الحماية
│ ├── جدران نارية
│ ├── تشفير البيانات
│ ├── MFA إلزامي
│ └── إدارة الصلاحيات
├── الكشف
│ ├── SIEM
│ ├── مراقبة 24/7
│ └── Penetration Testing
└── الاستجابة
├── خطة استجابة للحوادث
├── فريق استجابة
└── تمارين دورية
التقارير التنظيمية#
جدول التقارير#
| التقرير | التكرار | المهلة |
|---|---|---|
| STRs | فوري | 3-5 أيام |
| CTRs | شهري | 15 يوم |
| التقرير السنوي | سنوي | 90 يوم |
| حوادث أمنية | فوري | 24-72 ساعة |
| تغييرات جوهرية | حسب الحدث | 14 يوم |
بناء برنامج الامتثال#
الخطوات العملية#
المرحلة 1: التأسيس (شهر 1-3)
- تعيين CCO و MLRO
- كتابة السياسات الأساسية
- اختيار أنظمة KYC/AML
- تدريب الفريق الأولي
المرحلة 2: التنفيذ (شهر 4-6)
- تشغيل أنظمة المراقبة
- بناء workflows العمليات
- اختبار الأنظمة
- تدريب موسع
المرحلة 3: التحسين (مستمر)
- مراجعة دورية للسياسات
- تحديث تقييم المخاطر
- تدريب مستمر
- تدقيق داخلي وخارجي
الخلاصة#
الامتثال التنظيمي ليس عبئاً، بل ميزة تنافسية تبني الثقة مع العملاء والمنظمين. في سوق الأصول الرقمية سريع التطور، المنصات الممتثلة هي التي ستستمر وتنمو.
مصادر إضافية#
تنويه: هذا المحتوى تعليمي. استشر متخصصين في الامتثال قبل تطبيق أي برنامج.
