Politici de management al riscului privind operatiunile cu carduri

CAPITOLUL I1.1. Generalitati :

Cadrul general

Politicile de risc reglementeaza modul de administrare a riscurilor privind operatiunile cu carduri in cadrul bancii, atat la nivel de emitere cat si la nivel de acceptare. Aceste politici au totodata caracter de norma si se impune respectarea lor de catre personalul implicat in operatiunile cu carduri . Nerespectarea acestor politici de administrare a riscului, cu privire la operatiunile cu carduri, atrage raspunderea angajatului / angajatilor Bancii care a / au incalcat-o. 1.2. Derogari: Orice exceptie de derogare de la aceste politici de risc se solicita in scris (sub forma unui e-mail sau adrese scrise) coordonatorului Departamentului de Management al Riscului si Control al Fraudei pe Carduri. Acesta va supune derogarea aprobarii directorului Directiei de Management al Riscului, respectiv Comitetului de Adminsitrare a Riscurilor, in functie de competente. Comunicarea solutiei aprobate catre solicitant se va face in scris de catre coordonatorul Departamentului de Management al Riscului si Control al Fraudei. 1.3. Strategii privind pierderile asumate de catre Banca : Pierderile financiare provenite din operatiunile cu carduri acceptate de CA al Bancii, raportate la un exercitiu financiar sunt : pentru cardurile de debit - cel mult 1% din volumul veniturilor din activitatea de carduri inregistrate de Banca aferent exercitiului financiar.

2

-

pentru cardurile de credit cel mult 3% din volumul veniturilor din activitatea de carduri inregistrate de Banca aferent exercitiului financiar.

1.4. Raportari Saptamanal, coordonatorul DMR&CF-C, va inainta catre directorul DMR un raport de informare si analiza cu privire la cazurile cu potential risc identificate, fraudele inregistrate, stadiul litigiilor pe rol cu alte banci aferent saptamanii in curs. Trimiestrial, coordonatorul DMR&CF-C din cadrul DMR, va efectua un raport de analiza si informare a volumului fraudelor, a riscurilor identificate precum si a pierderilor inregistrate de Banca in fiecare trimestru. Pierderile Bancii, provenite din fraude / exceptii, vor fi raportate la volumul veniturilor din carduri inregistrate de catre Banca, aferent trimestrului precedent. Acest raport, insotit de avizul directorul DRM, va fi supus aprobarii CAR. Orice inregistrare a depasirii pragurilor asumate de Banca (paragraful 1.3) determina adaugarea in raportul trimestrial de catre corodonatorul DMR&CF-C a unor propuneri de solutii cu privire la administrarea eficienta a riscului si reducerea volumului pierderilor din fraude, solutii avizate de directorul DMR si supuse aprobarii CAR. 1.5. Informari si analize a cazurilor Orice situatie generatoare de riscuri, definite in aceste politici, va fi adusa imediat la cunostinta coordonatorului DRM&CF-C de catre personalul cu atributii in administrarea lor din Sucursala, Serviciul Operatiuni Carduri, Directia Vanzari Carduri, Directia IT, DRM&CF C. Acesta, cu avizul directorului DRM, va asigura analiza cazului / cazurilor cu identificarea pierderilor, a masurilor nerespectate si a modului de recuperare a pierderilor. Analiza cazului / cazurilor va fi supusa spre aprobare CAR, DRM&CF-C fiind mandatat cu ducerea la indeplinire a masurilor aprobate.

3

CAPITOLUL II

Politici de administrare a riscurilor la nivelul sucursalelor Bancii

2.1. Administrarea riscurilor la nivelul activitatii de emitere a cardurilor 2.1.1. La momentul completarii cererii contract de emitere card Identificarea si definirea riscului: riscul aparitiei unor date false sau incomplete cu privire la persoana clientului solicitant al cardului. Posibile consecinte / pierderi financiare : constituie premisa solicitarii emiterii cardului pentru o persoana a carei identitate este diferita de cea reala. Ulterior poate genera utilizarea istrumentului de plata cu prejudicierea financiara a Bancii. Angajatul sucursalei Bancii cu atributii in operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: 1. Clientul solicitant al cardului trebuie sa fie identificat de catre personalul Bancii in baza unor acte de identitate. 2. Cererea - contract de card, trebuie completata integral si semnata atat de catre client, cat si de catre personalul sucursalei, inaintea transmiterii ei catre Serviciul Operatiuni Carduri. Personalul sucursalei trebuie sa se asigure de corectitudinea datelor de identificare a clientului si a datelor contabile (numarul de cont), trecute in cerereacontract de card. Orice cerere care nu este completata integral sau cuprinde neconcordante nu va fi acceptata in vederea emiterii cardului de catre Serviciul Operatiuni Carduri. Nu pot fi emise carduri pentru persoane care nu au completat anterior o cerere-contract de emitere a cardului. 3. Sa nu accepte completarea unei cereri contract de emitere card de catre o persoana care nu este eligibila conform conditiilor generale de emitere a cardului.

4

Fluxul operatiunii in vederea evitarii acestui risc:Solicitare pentru emitere card

Client

Consilier clientela / Referent Carduri

-

Verificare identitate client Verificarea conditiilor de eligibilitate ale clientului Verificarea completarii corecte si in totalitate a cererii- contract

Controlul riscului:

Acest risc este unul semnificativ, operational, controlabil. Controlul riscului se va realiza: la nivelul sucursalelor Bancii : - respingerea cereriicontract care nu respecta aceste cerinte. la nivelul Serviciului Operatiuni Carduri Referent Introducere Date : neprelucrarea cererilorcontract incomplete in vederea emiterii cardului, informarea Coordonatorului Departamentului de Management al Riscului si Control al Fraudei pe Carduri, retransmiterea cereriicontract in sucursala pentru corectii. Raspunderea pentru pierderi va reveni consilierului de clientela din sucursala sau referentului carduri pentru neverificarea sau verificarea eronata a identitatii clientului si a conditiilor de eligibilitate ale acestuia. 2.1.2. La momentul transmiterii cererilor-contract catre Serviciul Operatiuni Carduri, in vederea emiterii (in cazul cardurilor de credit, cererile contract vor fi transmise direct catre Directia Vanzari Carduri si Dezvoltare Produse) Identificarea si definirea riscului: riscul interceptarii unor date sensibile (date de identificare a clientului, date cu caracter confidential) de catre persoane neautoriate, respectiv riscul pierderii unor date sensibile.

5

Posibile consecinte / pierderi financiare: constituie premisa folosirii de catre persoane neautorizate a unor date sensibile in vederea obtinerii unor foloase necuvenite. Angajatul sucursalei Bancii, cu atributii in ceea ce priveste operatiunile cu carduri, trebuie sa asigure cel putin urmatoarele: 1. Cererile-contract de card vor fi transmise prin intermediul serviciilor de posta speciala (prioripost), fiind insotite de un borderou centralizator care sa cuprinda numele clientului, tipul de card solicitat, numarul de cont si semnatura angajatului Bancii care intocmeste acest borderou. Fluxul operatiunii in vederea evitarii acestui risc:Consilier clientela/ Referent CarduriTransmiterea pe posta speciala

Serviciul Operatiuni CarduriVerificarea primirii complete a actelor

Controlul riscului: Acest risc este unul operational, semnificativ, Managementul Bancii. Minimizarea acestor riscuri se realizeaza prin controlul : la nivelul Serviciului Operatiuni Carduri Referent Introducere Date : prin verificarea faptica a concordantei intre cererilecotract si borderoul centralizator. la nivelul sucursalei, prin verificarea cu Serviciul Operatiuni Carduri a primirii complete a actelor, in cazul intarzierilor nejustificate de emitere a cardurilor. 2.1.3. La momentul primirii cardurilor si PIN-urilor Identificarea si definirea riscului: riscul interceptarii de catre persoane neautorizate a cardurilor si PIN-urilor in vederea utilizarii neautorizate. Posibile consecinte / pierderi financiare : constituie premisa utilizarii si dispunerii de fonduri din partea unor persoane neautorizate, putand genera pierderi financiare in sarcina Bancii. necontrolabil, asumat de catre

6

In functie de politica comerciala a Bancii, transmiterea cardurilor si PIN-urilor poate sa se realizeze: a) prin transmiterea de catre Serviciul Operatiuni Carduri a cardurilor la sucursale pe servicii de posta speciala, respectiv separat in urmatoarea zi a PIN-urilor in acelasi conditii. b) prin transmiterea cardurilor de catre Serviciul Operatiuni Carduri direct clientilor la adresa mentionata in cererea de card, respectiv transmiterea PIN-urilor de catre Serviciul Operatiuni Carduri in ziua urmatoare la sucursale pe servicii de posta speciala. In situatia prevazuta la paragraful a) personalul Bancii din sucursala, mandat cu atributii in ceea ce priveste operatiunile cu carduri, trebuie sa asigure urmatoarele: 1 Depozitarea cardurilor primite de la Serviciul Operatiuni Carduri in seif / dulap metalic inchis. Cheia acestui dulap se afla exclusiv la persoana Bancii mandata cu aceste atributii. O copie a cheii seifului / dulapului metalic se afla in plic sigilat la seful ierarhic. Transmiterea cheii de la o persoana la alta se face doar limitativ si numai in baza unui proces verbal in care se mentioneaza perioada pentru care se face aceasta transmitere si motivul transmiterii. Procesul verbal se avizeza obligatoriu de seful ierarhic si se arhiveaza intr-un dosar dedicat. 2. Verificarea faptica a borderoului insotitor transmis de catre Serviciul Operatiuni Carduri si retransmiterii acestuia semnat catre Serviciul Operatiuni Caduri Referent Expeditie in ziua primirii. In cazul in care exista neconcordante anuntati imediat Serviciul Operatiuni Carduri si Departamentul de Management al Riscului si Control al Fraudei - Carduri pentru furnizarea de solutii in vederea evitarii unor situatii generatoare de risc / pierderi. In cazul existentei unor neconcordante se instiinteaza urgent Serviciul Operatiuni Carduri. 3. Depozitarea PIN-urilor primite se face in aceleasi conditii prevazute la paragraful precedent, in seif / dulap metalic distinct fata de cel in care se depoziteaza cardurile. 4. Verificarea faptica a borderoului insotitor transmis de catre Serviciul Operatiuni Carduri si retransmiterii acestuia semnat catre Serviciul Operatiuni Caduri Referent Expeditie in ziua primirii. In cazul in care exista neconcordante anuntati imediat cel putin

7

Serviciul Operatiuni Carduri si Departamentul de Management al Riscului si Control al Fraudei - Carduri pentru furnizarea de solutii in vederea evitarii unor situatii generatoare de risc / pierderi. Fluxul operational in vederea evitarii acestui risc: Ziua T :Transmiterea cardurilor pe curierat special in sucursala

Serviciul Operatiuni Carduri-

Consilier clientela Sucursala/ Referent Carduri

Verificarea concordantei faptice cu borderoul centralizator Transmiterea borderourilor de confirmare a primirii Depozitarea cardurilor in seifuri inchise

Ziua T+1:Transmiterea Pin-urilor in sucursala

Serviciul Operatiuni Carduri-

Consilier clientela Sucursala/ Referent Carduri

Verificarea concordantei faptice cu borderoul centralizator Transmiterea borderourilor de confirmare a primirii Depozitarea PIN-urilor in seifuri (distinct decat cele in care se depoziteaza cardurile)

Controlul riscului: Acest risc este unul operational, semnificativ si controlabil. Controlul riscului se realizeaza: La nivelul Serviciului Operatiuni Carduri prin transmiterea cardurilor si PIN-urilor in zile diferite si corespondente diferite. Orice solicitare de derogare de la aceasta, se transmite in scris Coordonatorului Departamentului de Management al Riscului si Control al Fraudei - Carduri La nivelul sucursalei prin verificarea faptica a concordantei fizice intre carduri / PINuri si borderourile centralizatoare. Orice neconcordanta se sesizeaza Coordonatorului Departamentului de Management al Riscului si Control al Fraudei Carduri.

8

Raspunderea pentru pierderi: In astfel de situatii, Coordonatorul Departamentului de Management al Riscului si Control al Fraudei Carduri, cu avizul Directorului Directiei Managementul Riscului va propune solutii de recuperare / acoperire a fraudelor in baza unor contracte de asigurare incheiate de Banca in acest scop, respectiv prin propunerea de recuperare de la prestatorul de servicii, in cazul in care se dovedeste responsabilitatea acestuia. In situatia prevazuta la paragraful 2.1.3. b) personalul Bancii, mandatat cu atributii in ceea ce priveste activitatea de carduri, trebuie sa asigure cel putin urmatoarele: 1. Depozitarea PIN-urilor primite de la Serviciul Operatiuni Carduri in seif / dulap metalic inchis. Cheia acestui dulap se afla exclusiv la persoana Bancii mandatata cu aceste atributii. O copie a cheii seifului / dulapului metalic se afla in plic sigilat la seful ierarhic. Transmiterea cheii de la o persoana la alta se face doar limitativ si numai in baza unui proces verbal in care se mentioneaza perioada pentru care se face aceasta transmitere si motivul transmiterii. Procesul verbal se avizeza obligatoriu de seful ierarhic si se arhiveaza intr-un dosar dedicat . 2. Verificarea faptica a borderoului insotitor transmis de catre Serviciul Operatiuni Carduri si retransmiterea acestuia semnat catre Serviciul Operatiuni Caduri Referent Expeditie in ziua primirii. In cazul existentei unor neconcordante se instiinteaza urgent Serviciul Operatiuni Carduri. Fluxul operational cu privire la evitarea acestui risc:Transmiterea Pin-urilor in sucursala

Serviciul Operatiuni Carduri-

Consilier clientela Sucursala/ Referent Carduri

Verificarea concordantei faptice cu borderoul centralizator Transmiterea borderourilor de confirmare a primirii Depozitarea PIN-urilor in seifuri (distinct decat cele in care se depoziteaza cardurile)

9

Controlul riscului: Acest risc este unul operational, semnificativ si controlabil. Controlul riscului se realizeaza: La nivelul sucursalei verificarea faptica a concordantei fizice intre PIN-uri si borderourile centralizatoare. Orice neconcordanta se sesizeaza Coordonatorului Departamentului de Management al Riscului si Control al Fraudei Carduri. Raspunderea pentru pierderi: In astfel de situatii, coordonatorul DMR&CF-C, cu avizul directorului DMR, va propune solutii de recuperare / acoperire a fraudelor in baza unor contracte de asigurare incheiate de catre Banca in acest scop, respectiv prin propunerea de recuperare de la prestatorul de servicii, in cazul in care se dovedeste responsabilitatea acestuia. 2.1.4. La momentul eliberarii cardurilor si PIN-urilor catre client Identificarea si definirea riscului: riscul eliberarii cardului si PIN-ului catre persoane neautorizate. Posibile consecinte / pierderi financiare : constituie premisa utilizarii si dispunerii de fonduri din partea unor persoane neautorizate, putand genera pierderi financiare in sarcina Bancii. Angajatul sucursalei Bancii cu atributii in ceea ce priveste operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: A) In conditiile prevazute la paragraful 2.1.3 litera a) cand atat cardurile cat si PIN-urile se transmit sucursalei pentru distribuire, personalul Bancii din sucursala are obligatia predarii cardului si PIN-ului catre client in urmatoarele conditii: 1. Verificarea identitatii persoanei cu actul de identitate. Cardul si PIN-ul nu se elibereaza decat titularului. 2. Asigurarea semnarii de catre titular al cardului pe panel-ul de semnatura (pe verso cardului) si semnarea cererii -contract de card. Instruirea clientului de a memora PINul si a distruge suportul de hartie pe care este tiparit, de posibilitatea schimbarii imediate a PIN-ului de la orice ATM al Bancii, de a anunta imediat pierderea / furtul

10

cardului, informarea privind serviciile non-stop customer support cu indicarea numarului de telefon. 3. Eliberarea catre client, impreuna cu cardul si PIN-ul, a unui exemplar din cerereacontract, arhivarea unui exemplar la dosarul de cont curent al clientului din sucursala, transmiterea unui exemplar catre Serviciul Operatiuni Carduri Referent Expeditie. Fluxul operational in vederea evitarii acestui risc:Verificarea identitatii clientului

Consilier clientela Sucursala / Referent Cardurisemnarea cardului si a cererii -contract

Client

Controlul riscului:

eliberarea cardului, Pin-ului si cererii-contract catre client transmiterea unui exemplar din cererea-contract catre Serviciul Operatiuni Carduri

Acest risc este unul operational, semnificativ si controlabil. Controlul riscului se realizeaza: La nivelul sucursalei, prin verificarea identitatii clientului, in vederea predarii cardului. In astfel de situatii, pentru pierderea financiara este responsabil personalul sucursalei care a realizat eliberarea cardului si PIN-ului catre o persoana neautorizata. In cazul in care se dovedeste ca predarea s-a efectuat cu respectarea prezentelor prevederi, raspunderea financiara revine integral clientului Bancii, coordonatorul DMR&CF-C putand propune directorului DMR, in cazul in care se constata reaua credinta a clientului, retragerea cardului si inchiderea contului de card. B) In conditiile prevazute la paragraful 2.1.3 litera b) cand cardurile se trimit direct clientului, iar PIN-urile sucursalei, personalul Bancii are obligatia predarii PIN-ului catre client in urmatoarele conditii: Raspunderea pentru pierderi:

11

1. verificarea identitatii persoanei cu actul de identitate. PIN-ul nu se elibereaza decat titularului. 2. Asigurarea semnarii de catre titular al cardului pe panel-ul de semnatura (pe verso cardului) si semnarea cererii-contract de card. Instruirea clientului de a memora PIN-ul si a distruge suportul de hartie pe care este tiparit, de posibilitatea schimbarii imediate a PIN-ului de la orice ATM al Bancii, de a anunta imediat pierderea / furtul cardului, informarea privind serviciile non-stop customer support cu indicarea numarului de telefon. 3. Eliberarea catre client, impreuna cu PIN-ul, a unui exemplar din cererea contract, arhivarea unui exemplar la dosarul de cont curent al clientului din sucursala, transmiterea unui exemplar catre Serviciul Operatiuni Carduri Referent Expeditie. Fluxul operational in vederea evitarii acestui risc:Verificarea identitatii clientului

Consilier clientela Sucursala/Referent Cardurisemnarea cardului si cererii -contract

Client

-

eliberarea Pin-ului transmiterea unui exemplar din cererea-contract catre Serviciul Operatiuni Carduri

-

Controlul riscului: Acest risc este unul operational, semnificativ si controlabil. Controlul riscului se realizeaza la nivelul sucursalei, prin verificarea identitatii clientului, in vederea predarii cardului. Raspunderea pentru pierderi: In astfel de situatii, pentru pierderea financiara este responsabil personalul sucursalei care a realizat eliberarea cardului si PIN-ului catre o persoana neautorizata. In cazul in care se dovedeste ca predarea s-a efectuat cu respectarea prezentelor prevederi, raspunderea financiara revine integral clientului Bancii, coordonatorul DMR&CF-C 12

putand propune directorului DMR, in cazul in care se constata reaua credinta a clientului, retragerea cardului si inchiderea contului de card.

2.2. Administrarea riscurilor la nivelul gestionarii cardurilor emise 2.2.1. Gestionarea cardurilor emise, depozitate in sucursale si neridicate de clienti Identificarea si definirea riscului: riscul interceptarii de persoane neautorizate a cardurilor si PIN-urilor ne-eliberate catre clientul solicitant. Posibile consecinte / pierderi financiare : constituie premisa utilizarii si dispunerii de fonduri din partea unor persoane neautorizate, putand genera pierderi financiare in sarcina Bancii. Angajatul sucursalei Bancii, cu atributii in ceea ce priveste operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: A) In conditiile prevazute la paragraful 2.1.3 litera a) cand atat cardurile cat si PIN-urile se transmit sucursalei pentru distribuire, in cazul neprezentarii in vederea ridicarii cardului si PIN-ului de catre clienti in termen de 60 zile calendaristice de la data primirii lor in sucursala, personalul din sucursala mandat cu activitatea de carduri are obligatia: 1. Sa procedeze la distrugerea acestor carduri prin taierea lor verticala sau gaurirea benzii magnetice. Distrugerea se face sub control dual persoana Bancii care se ocupa de operatiunile cu carduri si seful ierarhic. Distrugerea PIN-ului aferent prin tocarea lui. Confirmarea acestei operatiuni prin incheierea proces verbal semnat de partile implicate in care se va mentiona cardurile distruse si motivul distrugerii. 2. Transmiterea catre Serviciul Operatiuni Carduri a acestor carduri distruse si a procesului verbal de distrugere in vederea inchiderii acestor carduri si a conturilor de card aferente. B) In conditiile prevazute la paragraful 2.1.3 litera b) cand cardurile se trimit direct clientului, iar PIN-urile sucursalei, in cazul neprezentarii in vederea ridicarii PIN-ului

13

de catre clienti in termen de 60 zile calendaristice de la data primirii lor in sucursala, personalul din sucursala mandatat cu activitatea de carduri are obligatia: 1. Sa procedeze la distrugerea PIN-ului aferent prin tocarea lui. Distrugerea se face sub control dual persoana Bancii care se ocupa de operatiunile cu carduri si seful ierarhic. Confirmarea acestei operatiuni prin incheierea proces verbal semnat de partile implicate in care se va mentiona cardurile aferent carora s-a operat ditrugerea PIN-urillor si motivul distrugerii. 2. card aferente. Controlul riscului: Acest risc este unul operational, semnificativ si controlabil. Controlul riscului se realizeaza: la nivelul sucursalei, prin asigurarea distrugerii sub control dual al cardurilor depozitate la nivelul Serviciului Operatiuni Carduri, prin asigurarea verificarii faptice si inchiderii si ne-eliberate catre client in termenul prevazut. conturilor si cardurilor aferente. Raspunderea pentru pierderi: In astfel de situatii, pentru pierderea financiara este responsabil personalul sucursalei care nu a asigurat distrugerea conform procedurii si in termenele prevazute. 2.2.2. Gestionarea re-emiterii cardurilor A) Re-emiterea cardurilor expirate Identificarea si definirea riscului: riscul utilizarii concomitente a cardurilor in uz (pentru care se solicita inlocuirea), respectiv a celor nou emise. Posibile consecinte / pierderi financiare : constituie premisa utilizarii si dispunerii de fonduri din partea unor persoane neautorizate, cu generarea de pierderi financiare in sarcina Bancii. Angajatul sucursalei Bancii cu atributii in ceea ce priveste operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: Transmiterea catre Serviciul Operatiuni Carduri a acestor procesului verbal de distrugere in vederea inchiderii acestor carduri si a conturilor de

14

1.

Cardurile re-emise ca urmare a expirarii lor

se transmit de catre Serviciul

Operatiuni Carduri sucursalelor in vedere distribuirii lor. Sucursala va respecta aceleasi conditii de depozitare si confirmare a primirii lor prevazute la capitolul 2.1.3.. 2. Distribuirea acestora catre client la nivelul sucursalei se face astfel: se solicita clientului, titular al cardului, sa se legitimeze, sa semneze cardul pe se procedeaza la distrugerea cardului in fata clientului, prin taierea acestuia pe

verso, si sa predea cardul vechi. verticala, distrugere ce se consemneza intr-un proces verbal semnat de catre angajatul Banca si client. 3. Se transmite cardul distrus impreuna cu procesul verbal de distrugere catre Serviciul Operatiuni Carduri in vederea arhivarii. Fluxul operational in vederea evitarii acestui risc:

Consilier clientela Sucursala/Referent Carduri

Verificarea identitatii clientului Distrugerea cardului expirat

Client

Predarea cardului expirat Semnarea noului card Semnarea procesului verbal de distrugere a cardului expirat

Controlul riscului: Acest risc este unul operational, semnificativ si controlabil. Controlul riscului se realizeaza la nivelul sucursalei, prin verificarea identitatii clientului, in vederea predarii cardului. Raspunderea pentru pierderi: In cazul eliberarii cardului catre o persoana neautorizata, pentru pierderea financiara este responsabil personalul sucursalei care a realizat eliberarea cardului catre o persoana neautorizata. In cazul in care se dovedeste ca predarea s-a efectuat cu respectarea prezentelor prevederi, raspunderea financiara revine integral clientului Bancii, corodonatorul DMR&CF-C putand 15

propune directorului DMR, in cazul in care se constata reaua credinta a clientului, retragerea cardului si inchiderea contului de card. A) Re-emiterea cardurilor declarate furate / pierdute Identificarea si definirea riscului: riscul utilizarii concomitente a cardurilor in uz (pentru care se solicita inlocuirea), respectiv a celor nou emise. Posibile consecinte / pierderi financiare : constituie premisa utilizarii si dispunerii de fonduri din partea unor persoane neautorizate, cu generarea de pierderi financiare in sarcina Bancii. Angajatul sucursalei Bancii, cu atributii in ceea ce priveste operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: Declararea cardurilor furate / pierdute trebuie sa se realizeze telefonic, de catre personalul Bancii din sucursala imediat ce clientul a anuntat pierderea / furtul cardului sau direct de catre client, catre personalul customer support Serviciul Operatiuni Carduri. Re-emiterea noului card se realizeza la Serviciul Operatiuni Carduri in baza cererii de re-emitere completate de client la nivelul sucursalelor Bancii. Cardurile re-emise ca urmare a declararii lor pierdute / furate se transmit de catre Serviciul Operatiuni Carduri sucursalelor in vedere distribuirii. Sucursala va respecta aceleasi conditii de depozitare si confirmare a primirii lor prevazute la capitolul 2.1.3.. Distribuirea acestora catre client la nivelul sucursalei se face doar catre titularul cardului prin legitimarea acestuia . Anterior eliberarii cardului personalul Bancii din sucursala, va solicita semnarea cardului pe panel-ul de semnatura de catre client. Fluxul operational in vederea evitarii acestui risc:

Consilier clientela Sucursala / Referent Carduri

Verificarea identitatii clientului

ClientPredarea cardului re-emis Semnarea noului card

Controlul riscului: Acest risc este unul operational, semnificativ si controlabil.

16

Controlul riscului se realizeaza la nivelul sucursalei, prin: - blocarea telefonica a cardului imediat la solicitarea clientului - verificarea identitatii clientului, in vederea predarii cardului.

Raspunderea pentru pierderi: - La momentul blocarii cardului : Orice tranzactii autorizate la plata anterior anuntarii blocarii cardului la Serviciul Operatiuni Carduri atrag raspunderea clientului. Orice tranzactii autorizate la plata ulterior blocarii cardului atrag raspunderea personalului din sucursala Bancii, in cazul in care acesta nu a transmis solicitarea de blocare sau a transmis-o ulterior realizarii tranzactiilor, respectiv personalul customer support in cazul in care desi a fost anuntat, acesta nu a realizat blocarea sau a realizat-o necorespunzator. - La momentul eliberarii cardului : In cazul eliberarii cardului catre o persoana neautorizata, pentru pierderea financiara este responsabil personalul sucursalei care a realizat eliberarea cardului catre o persoana neautorizata. In cazul in care se dovedeste ca predarea s-a efectuat cu respectarea prezentelor prevederi, raspunderea financiara revine integral clientului Bancii, corodonatorul DMR&CF-C putand propune directorului DMR, in cazul in care se constata reaua credinta a clientului, retragerea cardului si inchiderea contului de card. B) Re-emiterea cardurilor demagnetizate / ca urmare a modificarii starii civile

Identificarea si definirea riscului: riscul utilizarii concomitente a cardurilor in uz (pentru care se solicita inlocuirea), respectiv a celor nou emise. Posibile consecinte / pierderi financiare : constituie premisa utilizarii si dispunerii de fonduri din partea unor persoane neautorizate, cu generarea de pierderi financiare in sarcina Bancii. Angajatul sucursalei Bancii cu atributii in ceea ce priveste operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: La solicitarea re-emiterii unui card ca urmare a demagnetizarii / modificarii starii civile, personalul sucursalei

17

1. va solicita clientului sa completeze cererea de re-emitere 2. va proceda la distrugerea cardului (prin taiere pe verticala / perforare banda magnetica), va mentiona aceasta intr-un proces verbal semnat de client si personal Bancii. 3. va transmite procesul verbal impreuna cu cardul distrus si cu cererea de re-emitere catre Serviciul Operatiuni Carduri in vederea re-emiterii (in cazul re-emiterii din motive de schimbare a starii civile va fi atasata o copie a documentului care modifica starea civila sentinta judecatoresca, certificat ) Cardurile re-emise ca urmare demagnetizarii lor / modificarii starii civile se transmit de catre Serviciul Operatiuni Carduri sucursalelor in vedere distribuirii. Sucursala va respecta aceleasi conditii de depozitare si confirmare a primirii lor prevazute la capitolul 2.1.3.. Distribuirea acestora catre client la nivelul sucursalei se face de catre personalul sucursalei mandatat in acest scop, care anterior eliberarii cardului va verifica identitatea clientului si va solicita semnarea acestuia pe panel-ul de semnatura. Fluxul operational in vederea evitarii acestui risc:Consilier clientela Sucursala / Referent CarduriVerificarea identitatii clientului Distrugerea cardului demagnetizat

Client

Predarea cardului demagnetizat Semnarea noului card Semnarea procesului verbal de distrugere a cardului demagnetizat sau ca urmare a modificarii starii civile

Controlul riscului: Acest risc este unul operational, semnificativ si controlabil. Controlul riscului se realizeaza la nivelul sucursalei, prin verificarea identitatii clientului, in vederea predarii cardului. Raspunderea pentru pierderi: In cazul eliberarii cardului catre o persoana neautorizata, pentru pierderea financiara este responsabil personalul sucursalei care a realizat eliberarea cardului catre o persoana neautorizata. 18

In cazul in care se dovedeste ca predarea s-a efectuat cu respectarea prezentelor prevederi, raspunderea financiara revine integral clientului Bancii, corodonatorul DMR&CF-C putand propune directorului DMR, in cazul in care se constata reaua credinta a clientului, retragerea cardului si inchiderea contului de card. 2.2.3. Gestionarea actualizarii modificarilor de date (adrese, numere de telefon etc) Identificarea si definirea riscului: riscul de a fi in imposibilitate de a contacta / localiza clientul pentru recuperarea unor debite, pentru analiza tranzactiilor cu potential risc. Posibile consecinte / pierderi financiare : constituie premisa utilizarii frauduloase a cardului si imposibilitatea DRM&CF-C de a interveni la timp pentru a preveni sau a limita / minimiza pierderile financiare. Poate genera pierderi financiare in sarcina Bancii. Angajatul sucursalei Bancii cu atributii in ceea ce priveste operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: Personalul din Sucursale Bancii are obligatia de a transmite pe suport de hartie sau pe e-mail catre Serviciul Operatiuni Carduri orice solicitare a clientilor de modificare de date de identificare client (adresa, numere de telefon, act de identitate etc.) . Scopul acestei actualizari permanete este de a putea transmite la locatia mentionata corespondenta precum si de a identifica clientul imediat ce apar situatii cu potential risc . Fluxul operational in vederea evitarii acestui risc:Solicitarea de actualiare a datelor

Consilier clientela Sucursala / Referent Carduri

Serviciul Operatiuni CarduriActualizarea in baza de date carduri a acestor informatii

Controlul riscului: Acest risc este unul operational, semnificativ si controlabil. Controlul riscului se realizeaza la nivelul sucursalei, prin asigurarea transmiterii solicitarii de modificare a datelor catre Serviciul Operatiuni Carduri din partea clientului care adreseaza aceasta solicitare.

19

Raspunderea pentru pierderi va reveni consilierului clientela Sucursala / Referentului carduri responsabil pentru netransmiterea datelor de identificare in vederea operarii acestora.

2.2.4. Gestionarea operatiunilor de stonare pe conturile de card Realizarea operatiunilor de stornare a unor sume de pe contul de card nu se realizeaza decat cu avizul Serviciului Operatiuni Carduri. Aceste stornari trebuie motivate de catre sucursala. Identificarea si definirea riscului: riscul de utilizare in cuantum dublu a fondurilor financiare de catre client, concomitent cu imposibilitatea de indetificare a acestuia in vederea recuperarii debitelor generate de catre client. Posibile consecinte/ pierderi financiare : poate genera pierderi financiare in sarcina Bancii. Anterior realizarii operatiunii de stornare personalul din sucursala trebuie sa: 1. Solicite telefonic verificarea soldului existent in sistemul de autorizare Carduri. Stornarea nu poate fi realizata pe o valoare mai mare decat cea mentionata de customer support. 2. Solicite telefonic blocarea contului de card, de catre serviciul customer support 3. Transmita cererea de stornare catre Serviciul Operatiuni Carduri 4. Dupa operarea stornarii sa se asigure ca aceasta este transmisa corespunzator in fisierul de alimentari 5. Solicite in scris la sfarsitul zilei deblocarea contului de card Fluxul operational in vederea evitarii acestui risc:verificarea soldului cu personalul CustomerSupport

Consilier clientela Sucursala / Referent Carduri

si solicitarea blocarii cardului asigurarea blocarii cardului

Serviciul Operatiuni Carduri

transmiterea pe suport de hartie a cererii de stornare asigurarea transmiterii corespunzatoare a stornarii in fisierul de alimentari

20

solicitarea deblocarii cardului

Controlul riscului: Acest risc este unul operational, semnificativ si controlabil. Controlul riscului se realizeaza la nivelul sucursalei, prin asigurarea fluxului de solicitare a stornarii. Raspunderea pentru pierderi va reveni: consilierului clientela Sucursala / Referentului carduri pentru asigurarea stornarii fara personalului din sucursala care a operat stornarea in cazul in care nota contabila nu a personalului customer support, in cazul in care desi s-a solicitat blocarea cardului, nu solicitarea blocarii prealabile a cardului. fost transmisa corespunzator in sistemul carduri. au operat-o si au permis utilizarea unor fonduri necuvenite de catre client. 2.2.5. Gestionarea inchiderii cardurilor / conturilor de card Identificarea si definirea riscului: riscul realizarii unor tranzactii / plati frauduloase pe un cont de card inactiv sau pentru care s-a solicitat inchiderea. Posibile consecinte / pierderi financiare : poate genera pierderi financiare in sarcina Bancii. Inchiderea cardurilor sau a conturilor de card poate fi solicitata catre Serviciul Operatiuni Carduri: de catre client, in scris, prin depunerea unei cereri semnate in de catre Departamentul de Management al Riscului si Control al acest sens prin intermediul sucursalei Fraudei Carduri, motivat in cazurile de nerespectare de catre client a clauzelor contractuale, nerespectare care a generat riscuri / fraude. In aceste conditii, Departamentul de Management al Riscului si Control al Fraudei Carduri are obligatia de a informa ulterior sucursala clientului cu privire la decizia luata. Inchiderea contului de card / cardului nu se realizeza decat dupa ce Serviciul Operatiuni Carduri a primit adresa scrisa a unui dintre solicitantii de mai sus, si numai dupa operarea bonificatiilor / dobanzilor la sfarsit de luna.

21

Dupa operarea inchiderilor in sistemul carduri, Serviciul Operatiuni Carduri va transmite o corespondenta in sucursale, unde va solicita inchiderea acestora si la nivel de sucursala. Fluxul operational in vederea evitarii acestui risc:solicitarea inchiderii contului si cardului

Consilier clientela Sucursala / Referent Carduri / DRM&CF-C Controlul riscului:

inchiderea contului

Serviciul Operatiuni Carduri

Acest risc este unul operational, semnificativ si controlabil. Controlul riscului se realizeaza: la nivelul sucursalei / DRM&CF-C asigurarea trasmiterii solicitarii la nivelul Serviciului Operatiuni Carduri - asigurarea operarii acestor inchideri de cont si card Raspunderea pentru pierderi: - personalul din Serviciul Operatiuni Carduri cu atributii in inchiderea conturilor de card / cont care nu a facut modificarile conform solicitarilor. 2.2.6. Gestionarea datelor sensibile (numar cardului, data expirarii, CVV/CVC) la nivelul sucursalei Identificarea si definirea riscului: riscul interceptarii electronice / informatice a datelor senzitive de indentificare a cardului. Posibile consecinte / pierderi financiare : realizarea de catre persoane neautorizate a unor clonari / skimming a cardului si utilizarea in scopul platilor / retragerilor neautorizate de fonduri. Poate genera pierderi financiare in sarcina Bancii. In toate corespondentele telefonice sau scrise, personalul sucursalei trebuie sa furnizeze numarul cardului trunchiat (primele 4 cifre si ultimele 4 cifre) si sa nu utilizeze in corespondente date ca: data expirarii cardului sau CVV/CVC. Controlul riscului: Acest risc este unul operational, semnificativ si necontrolabil.

22

2.3. Administrarea riscurilor la nivelul dezvoltarii retelei Bancii de acceptare a cardurilor Acceptarea cardurilor in reteaua Bancii se realizeaza prin intermediul ATM-urilor, POS-urilor instalate la ghiseele bancii, respectiv a POS-urilor instalate la comerciantii Bancii in baza contractelor de acceptare incheiate intre comerciant si Banca. Identificarea si definirea riscului: riscul instalarii inadecvate / cu erori a unor terminale ale Bancii. Posibile consecinte / pierderi financiare : posibilitatea definirii incorecte a terminalelor (ATM-uri, POS-uri), care pot atrage dupa sine posibilitatea pierderii acestora prin netransmiterea lor spre incasare sau pierderii dreptului de a incasa tranzactiile derulate la aceste terminale. 2.3.1. La ATM-urile Bancii Angajatul sucursalei Bancii cu atributii in ceea ce priveste operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: 1. Instalarea unui ATM al Bancii de catre sucursala, in vederea acceptarii cardurilor pentru ridicari de numerar / plati de servicii se realizeza numai cu avizul prealabil a Directiei Vanzari Carduri & Dezvoltarea Produse si definirea ATM-ului si asigurarea comunicatiei de catre Directia IT. 2. Avizul Directiei Vanzari Carduri & Dezvoltarea Produse consta in confirmarea scrisa pentru ATM-urile instalate in locatii ale Bancii, respectiv prin semnarea conventiilor de instalare in cazul locatiilor ce nu se afla in proprietatea Bancii. Avizul Directiei IT consta in transmiterea scrisa a confirmarii definirii ATM-ului si a asigurarii comunicatiei cu sistemul de autorizare. 2.3.2. La POS-urile Bancii instalate la ghiseele Bancii Angajatul sucursalei Bancii cu atributii in ceea ce priveste operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: Instalarea unui POS al Bancii la ghiseul sucursalei, in vederea acceptarii cardurilor pentru ridicari de numerar / depuneri numerar, se realizeza numai cu avizul prealabil a

23

Directiei Vanzari Carduri & Dezvoltarea Produse de Card si definirea POS-ului si asigurarea comunicatiei de catre Directia IT. Avizul Directiei Vanzari Carduri & Dezvoltarea Produse de Card consta in confirmarea scrisa la solicitarea sucursalei. Avizul Directiei IT consta in transmiterea scrisa a confirmarii definirii POS-ului si a asigurarii comunicatiei cu serverul de autorizare. 2.3.3. Acceptarea cardurilor la POS-urile Bancii instalate la comercianti Angajatul sucursalei Bancii, cu atributii in ceea ce priveste operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: 1. Instalarea unui POS la comerciant se face numai in baza unui contract de acceptare valabil incheiat intre comerciant si Banca si numai dupa ce a fost parcurs integral fluxul descris in Procedura de definire si instalare POS-uri la comerciantii Bancii. 2. Instalarea POS-urilor la comercianti este asigurata de personalul din sucursala, care cu ocazia instalarii, va pune la dispozitia personalului comerciantului si Manualul Comerciantului care contine pasii de urmat in vederea unei administrarii corespunzatoare a riscurilor la nivelul comerciantului in timpul derularii tranzactiilor. Controlul riscului: Acest risc este unul operational, controlabil si semnificativ. La nivelul sucursalei, controlul riscului se efectueaza prin asigurarea etapelor prevazute, in vederea asigurarii unei fuctionalitati corecte a terminalelor. Raspunderea pentru pierderi: In astfel de situatii, pentru pierderea financiara este responsabil personalul sucursalei care nu a asigurat respectarea etapelor de instalare a unui terminal. 2.4. Administrarea riscurilor la nivelul gestionarii retelei de acceptare a Bancii Identificarea si definirea riscului: riscul utilizarii unor dispozitive ilegale de clonare / skimming a cardurilor la nivelul terminalelor Bancii. Posibile consecinte / pierderi financiare : posibilitatea de a dispune neutorizat de fondurile existente pe un card al unui client sau non-client al Bancii, care utilizeza terminalele Bancii.

24

2.4.1. Gestionarea riscurilor la nivelul ATM-urilor Bancii Angajatul sucursalei Bancii responsabil cu activitatea de administrare a ATM-urilor trebuie sa asigure cel putin urmatoarele: 1. Sa asigure alimentarea corespunzatoare cu numerar a ATM-ului. Aceasta presupune corecta gestionare a casetelor cu cupiuri (inserarea corecta a casetelor cu numerar; eliminarea situatiei de introducere incrucisata a casetelor cu numerar). 2. Sa asigure definirea corecta cu suma alimentata prin utilizarea cardului de supervizor. 3. Sa asigure imediat (in aceeasi zi) si corect intocmirea procesului verbal de alimentare si transmiterea lui pe fax catre Serviciul Operatiuni Carduri personal reconciliere ATM-uri. 4. Sa asigure, cel putin la momentul realizarii alimentarii cu numerar sau consumabile a terminalului, verificarea acestuia din punct de vedere al identificarii de dispozitive artizanale generatoare de risc in cititorul pe card, pe fantele de numerar, in preajma terminalului ( micro-camere neautorizate de supraveghere etc). In conditiile identificarii unor astfel de dispozitive, personalul dedicat acestei activitati va informa imediat Departamentul de Management al Riscului si Control al Fraudei Carduri . 5. Sa culeaga, cel putin la momentul realizarii alimentarii cu numerar sau consumabile a terminalului, cardurile retinute la nivelul ATM-ului. Sa asigure verificarea telefonica a motivului capturarii cu personalul customer support. Sa asigure ulterior acestei indetificari, eliberarea catre client (numai dupa identificarea acestuia cu actul de indentitate) in baza unui proces verbal semnat de angajat al Bancii si client a celor capturate din motiv de introducere PIN incorect sau din cauza unor probleme tehnice. Sa transmita pe fax Serviciului Operatiuni Carduri customer support, procesul verbal de predare a cardului catre client. Sa transmita catre Departamentul de Management al Riscului si Control al Fraudei Carduri pe cele capturate din alte motive (aceste carduri vor fi transmise dupa ce va fi perforata banda magnetica a acestora si numai impreuna cu un borderou insotitor in care se va prezenta numarul cardului, a ATMului, data colectarii lor din ATM si numele persoanei care a intocmit situatia). In situatia in care ATM-ul Bancii este supravegheat cu camera de supraveghere, personalul IT din sucursala Bancii trebuie sa asigure cel putin urmatoarele:

25

1. Sa asigure stocarea pe suport magnetic (CD), cel putin o data la fiecare15 zile calendaristice, a imaginilor inregistrate. 2.4.2. Gestionarea riscurilor la nivelul POS-urilor instalate la ghiseele Bancii Angajatul sucursalei Bancii cu atributii in derularea de operatiuni de cont trebuie sa asigure cel putin urmatoarele: 1. Sa verifice identitatea persoanei care se prezinta la ghiseu pentru derularea unei operatiuni de ridicare de numerar cu cardul la POS. Nu se accepta derularea de operatiuni cu cardul la ghiseu de catre alte persoane decat titularul cardului. 2. Sa verifice elementele de securitate ale cardului, iar in cazul in care anumite elemente nu coincid, sa informeze imediat Departamentul de Management al Riscului si Control al Fraudei -Carduri fara a mai continua derularea operatiunii pana la obtinerea unei rezolutii de urmat. 3. Sa nu opereze vreo inregistrare contabila la nivelul sucursalei pana cand nu verifica chitanta generata de terminal. Se opereze nota contabila numai dupa ce mesajul de pe chitanta de POS este unul de validare a tranzactiei ( nu se efectueza in cazuri in care mesajul este de eroare, de fonduri insuficiente, de PIN eronat etc). Angajatul sucursalei Bancii urmatoarele: 1. Sa verifice identitatea clientului. 2. Sa solicite semnarea chitantei eliberate de POS, sa-i elibereze un exemplar si sa arhiveze unul la documentele de casierie ale zilei. 2.4.3. Gestionarea riscurilor la nivelul POS-urilor instalate la comercianti Angajatul din sucursala Bancii, cu atributii in ceea ce priveste operatiunile cu carduri trebuie sa asigure cel putin urmatoarele: 1. Sa asigure completarea corecta si completa a datelor, respectiv instalarea terminalului cu respectarea Procedurii de instalare si definire a POS-urilor la comercianti in vigoare. 2. Sa asigure testarea terminalului privind corectitudinea datelor financiare si tehnice ale POS-ului. Aceasta etapa cuprinde realizarea unor tranzactii de interogare sold cu cu atributii casierie trebuie sa asigure cel putin

26

cardul personaluil Bancii, iar chitantele eliberate vor fi verificate din punct de vedere a denumirii comerciantului, a numarului de cont, al numarului de terminal alocat. Concordanta datelor va fi reflectata prin stampilarea chitantelor de catre societate si semnarea lor de catre personalul din sucursala. Aceste chitante vor fi arhivate la dosarul de cont curent al persoanei juridice. 3. Sa asigure instruirea comerciantului la momentul instalrii terminalului conform Manualului comerciantului 4. Sa solicite comerciantilor pastrarea tuturor chitantelor eliberate de terminal pentru o perioada de minim 2 ani. 5. Sa asigure inspectii periodice la comerciant - cel putin 1 inspectie la fiecare 2 luni - cu intocmirea raportului de verificare. O copie a acestor rapoarte se transmite spre analiza Departamentului de Management al Riscului si Control al Fraudei Carduri, iar originalul se arhiveaza la dosarul de cont curent al personei juridice 6. Sa asigure, la solicitarea Departamentului de Management al Riscului si Control al Fraudei Carduri, documentele si informatiile solicitate in termenele alocate. 7. Sa asigure punerea in aplicare a procedurii de reziliere conform celor prevazute in Procedura de instalare si definire a POS-urilor la comercianti in vigoare. Controlul riscului: Acest risc este unul semnificativ, operational si necontrolabil si se realizeaza la nivelul sucursalei prin asigurarea masurilor prevazute la capitolul 2.4. sau ori de cate ori Departamentul de Management al Riscului si Control al Fraudei Carduri o solicita. Raspunderea pentru pierderi: In situatia ATM-urilor, pierderea financiara este a clientului sau non-clientului Bancii care a utilizat ATM-ul unde a fost instalat in prealabil un astfel de dispozitiv. In situatia POS-urilor, in cazul in care se dovedeste reaua intentie a comerciantului Bancii sau a ofiterului de ghiseu, acesta va fi responsabil pentru pierderile financiare. In astfel de situatii, DRM&FC-C va solicita, cu avizul directorului DRM rezilierea cotractului de acceptare cu comerciantul indetificat cu activitate frauduloasa.

27

CAPITOLUL III

Politici de administrare a riscurilor la nivelul Serviciului Operatiuni Carduri

3.1. Gestionarea riscurilor la nivelul activitatii de emitere a cardurilor si PIN-urilor 3.1.1. La nivelul personalizarii / generarii cardurilor emise Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea de personalizare trebuie sa asigure cel putin urmatoarele : Identificarea si definirea riscului: riscul pierderii / interceptarii de carduri nepersonalizate. Posibile consecinte / pierderi financiare : realizarea de catre persoane neautorizate a unor carduri neautorizate in vederea utilizarii lor pentru a dispune de fonduri neautorizate. Poate genera pierderi financiare in sarcina Bancii. 1. Sa solicite periodic in scris eliberarea de carduri blank de la Serviciul Administrativ, in scopul personalizarii lor. Solicitarea scrisa trebuie semnata de catre Seful Serviciului Carduri. Ridicarea acestor carduri blank se realizaza in baza unui bon de consum eliberat de catre Serviciul Administrativ. Accesul la seif-ul unde se depun cardurile in vederea personalizarii il are doar Seful Serv. Operatiuni Carduri sau persoana nominalizata sa-l inlocuiasca, pe baza unei parole / chei. 2. Sa solicite si sa predea cardurile personalizate / blank / rebutate conform Procedurii de eliberare carduri in vigoare.

28

3. Sa asigure in ultima zi lucratoare a fiecarei luni, impreuna cu Seful Serviciului Operatiuni Carduri si Coordonatorul Departamentului de Management al Riscului si Control al Fraudei Carduri, inventarul scriptic si faptic a cardurilor din seif. 4. Sa anunte Departamentul de Management al Riscului si Control al Fraudei Carduri pentru orice lipsa nejustificata a unor carduri aflate in gestiune. 5. Sa asigure un registru cu evidenta persoanelor care intra in camera de personalizat carduri . Aceasta evidenta va cuprinde numele, data si ora intrarii , motivul, actul de identitate, semnatura. Fluxul operational in vederea evitarii acestui risc:Depunerea cardurilor blank in seif Solicitarea de carduri pentru personalizare

Serviciul Operatiuni Carduri Referent Generare CarduriAsigurarea controlului eliberarii de blank-uri din seif Asigurarea controlul depunerilor in seif Asigurarea verificarii lunare a stocului

Sef Serviciu Operatiuni Carduri Coord. DRM&CF-C

Controlul riscului: Acest risc este unul semnificativ, operational si controlabil. Controlul riscului se realizeza la nivelul Serviciului Operatiuni Carduri respectiv DRM&CFC. Raspunderea pentru pierderi: Raspunderea revine persoanelor cu atributii in controlul acestor stocuri: in cazul preluarii cardurilor blank de la Serviciul Administrativ - referentului generare cu privire la stocul de carduri blank existent in gestiunea Serviciului Administrativ cu privire la stocul de carduri blank existent in seif - sefului Serviciului Operatiuni Carduri revine personalului acestui Serviciu. Carduri, respectiv coordonatorului DRM&CF-C. 3.1.2. La nivelul emiterii si distribuirii PIN-urilor Identificarea si definirea riscului: riscul pierderii / interceptarii de PIN-uri 29

Posibile consecinte / pierderi financiare : realizarea de catre persoane neautorizate a interceptarii corespondentei. Poate genera pierderi financiare in sarcina Bancii. Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea de emitere si distribuire a PIN-urilor trebuie sa asigure cel putin urmatoarele: 1. Sa asigure distributia PIN-urilor impreuna cu borderoul insotitor in ziua lucratoare urmatoare realizari distribuirii cardurilor. 2. Sa se asigure de primirea borderourilor semnate de primire de la sucursala. 3. Sa arhiveze borderourile primite cronologic pe sucursale. 4. Sa asigure un registru cu evidenta persoanelor care intra in camera de personalizat carduri . Aceasta evidenta va cuprinde numele, data si ora intrarii , motivul, actul de identitate, semnatura. Fluxul operational in vederea evitarii acestui risc:Transmiterea pe sevicii postale a Pin-urilor

Serviciul Operatiuni Carduri Referent Generare PIN-uri

Asigurea urmaririi borderourilor insotitoare Transmiterea borderourilor

Consilier clientela Sucursala / Referent Carduri

Controlul riscului: Acest risc este unul semnificativ, operational si necontrolabil. Monitorizarea riscului de interceptare a corespondetei se realizeaza la nivelul Serviciului Operatiuni Carduri prin gestionarea borderourilor centralizatoare de confirmare. 3.1.3. La nivelul distribuirii cardurilor Identificarea si definirea riscului: riscul pierderii / interceptarii cardului Posibile consecinte / pierderi financiare : realizarea de catre persoane neautorizate a interceptarii corespondentei. Poate genera pierderi financiare in sarcina Bancii. Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea de distribuire a cardurilor trebuie sa asigure cel putin urmatoarele:

30

3.1.3.1. In conditiile prevazute la paragraful 2.1.3. litera a) cand cardurile se transmit sucursalei pentru distribuire : 1. sa primeasca cererile de card de la persoana care face procesare in baza unui borderou pe care-l va arhiva intr-un dosar dedicat. 2. sa asigure transmiterea catre sucursale atat a cardurilor nou emise cat si a cardurilor reemise impreuna cu un borderou insotitor si cu cererile-contract de emitere. 3. sa se asigure de primirea borderourilor semnate de primire de la sucursala 4. sa arhiveze borderourile primite cronologic pe sucursale. 5. sa asigure un registru cu evidenta persoanelor care intra in camera de expeditie carduri . Aceasta evidenta va cuprinde numele, data si ora intrarii , motivul, actul de identitate, semnatura. 3.1.3.2. In conditiile prevazute la paragraful 2.1.3. litera b) cand cardurile nou emise se transmit direct clientului: 1. sa primeasca cererile de card de la persoana care face procesare in baza unui borderou pe care-l va arhiva intr-un dosar dedicat. 2. sa asigure transmiterea cardurilor nou emise la adresa de rezidenta completata in cerea de card prin serviciu de posta recomandata. 3. sa asigure transmiterea in sucursale a cererilor-contract de card. 4. sa asigure transmiterea catre sucursale a cardurilor re-emise impreuna cu un borderou insotitor. 5. sa se asigure de primirea borderourilor semnate de primire de la sucursala 6. sa arhiveze borderourile primite cronologic pe sucursale. 7. sa asigure un registru cu evidenta persoanelor care intra in camera de expeditie carduri . Aceasta evidenta va cuprinde numele, data si ora intrarii, motivul, actul de identitate, semnatura. Fluxul operational in vederea evitarii acestui risc:Transmiterea pe sevicii postale a cardurilor Asigurea urmaririi borderourilor insotitoare

Serviciul Operatiuni Carduri Referent Expeditie Carduri

Consilier clientela Sucursala / Referent Carduri

31

Transmiterea borderourilor

Controlul riscului: Acest risc este unul semnificativ, operational si necontrolabil. Monitorizarea riscului de interceptare a corespondetei se realizeaza la nivelul Serviciului Operatiuni Carduri prin gestionarea borderourilor centralizatoare de confirmare.

3.2. Gestionarea riscurilor la nivelul activitatii de customer support Identificarea si definirea riscului: riscul furnizarii unor informatii cu caracter confindential unor persoane neautorizate respectiv, utilizarii neautorizate a unor carduri blocate eronat sau neblocate la solicitarea clientului. Posibile consecinte / pierderi financiare : utilizarea de fonduri de catre persoane neautorizate. Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea de customer support trebuie sa asigure cel putin urmatoarele: 1. sa furnizeze informatii financiare sau detalii despre operatiuni prin intermediul cardului clientilor, telefonic sau prin intermediul postei electronice, doar dupa verificarea identitatii acestora. Verificarea identitatii are in vedere cel putin : identitatea numelui, datei nasterii, CNP-ului, adresei de domiciliu, respectiv date despre ultima tranzactie efectuata cu cardul. In cazul in care aceste date nu coincid nu vor fi furnizate detalii despre situatia contului de card. 2. sa nu furnizeze sau sa solicite date legate de expirarea cardului, CVV2, respectiv sa furnizeze / solicite numarul trunchiat al cardului - primele 4 cifre si ultimele 4 cifre) 3. sa asigure blocarea imediata a cardurilor la solicitarea telefonica a sucursalelor / agentiilor bancii, respectiv la solicitarea clientului. 4. sa asigure deblocarea cardurilor capturate cu mesaj de PIN incorect, la solicitarea personalului sucursalelor / agentiilor Bancii. 5. sa asigure receptionarea exemplarului verde al cererilor contract de card si sa asigure arhivarea acestora cronologic pe sucursale.

32

6. persoana mandatata sa supervizeze activitatea de customer support, are obligatia sa administreze o situatie electronica cu blocarea cardurilor. Aceasta situatie are drept scop furnizarea imediata de date la solicitarea Departamentului de Management al Riscului si Control al Fraudei Carduri. 7. sa asigure instiintarea imediata a personalului din cadrul Departamentului de Management al Riscului si Control al Fraudei Carduri, in cazul in care in afara orelor de program sau in zilele nelucratoare sunt raportate sau apar situatii cu risc. Controlul riscului: Acest risc este unul semnificativ, operational si controlabil. Controlul riscului se realizeaza, in baza plangerilor clientilor, de catre DRM&CF-C in baza ascultarii inregistrarii benzilor audio ale telefoanelor customer support. Raspunderea pentru pierderi: Raspunderea revine persoanei customer support care a furnizat informatii confidentiale unui tert fara a se asigura ca este titularul, respectiv a blocat eronat sau nu a blocat cardul conform solicitarii adresate. 3.3. Gestionarea riscurilor la nivelul activitatii de introducere, procesare si administrare carduri Identificarea si definirea riscului: riscul introducerii unor date gresite, incomplete in sistem Posibile consecinte / pierderi financiare : emiterea de carduri unor persoane neautorizate, altele decat cele care solicita produsul, respectiv definirea de POS-uri pentru alte societati decat cea solicitanta in baza contractului . Genereaza posibilitatea de utilizari neautorizate a fondurilor. 3.3.1. La nivelul introducerii datelor in vederea emiteri cardurilor / definirii POS-urilor. 3.3.1.1. Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea introducere date emitere card trebuie sa asigure cel putin urmatoarele: 1. sa opereze introducerea datelor doar in baza cereriicontract de card completate de catre client

33

2. sa introduca corect si complet toate datele in sistem. Inexistenta datelor complete in cererea contract de card atrage rejectarea acesteia si transmiterea ei pentru completare la nivelul sucursalei. 3. dupa introducerea datelor, sa predea cererilecontract introduse in baza unui borderou semnat de ambele parti. 4. sa arhiveze intr-un dosar dedicat aceste borderouri, in ordine cronologica. 3.3.1.2. Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea introducere date definire POS trebuie sa asigure cel putin urmatoarele: 1. sa asigure definirea si procesarea POS-urilor in sistemul back office in baza avizului favorabil primit de la Departamentului de Management al Riscului si Control al Fraudei Carduri. 2. sa transmita Directiei IT , dupa definire si procesare, fisa comerciantului in vederea definirii lui in aplicatia de POS-uri si asigurarii instalarii. 3. sa arhiveze intr-un dosar dedicat fisele de comerciant definite si procesate. 3.3.2. La nivelul procesarii datelor in vederea emiterii cardurilor. Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea de procesare date emitere card trebuie sa asigure cel putin urmatoarele: 1. sa verifice borderule si cererile primite si sa le arhiveze in ordine cronologica. 2. sa verifice corectitudinea datelor introduse in baza borderoului primit de la personalul introducere date 3. sa opereze procesarea datelor doar in baza cereriicontract de card completate de catre client 4. dupa procesare, sa predea cererilecontract procesate catre personalul expeditie, in baza unui borderou semnat de ambele parti. 5. sa arhiveze intr-un dosar dedicat aceste borderouri, in ordine cronologica. 6. sa asigure re-emiterea cardurilor la solicitarea clientilor doar in baza solicitarii scrise a acestora. 7. sa arhiveze cererile de re-emitere carduri in dosare dedicate. 3.3.3. La nivelul administrarii datelor de cont

34

Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea de administare date cont card trebuie sa asigure cel putin urmatoarele: 8. sa asigure operarea modificarii datelor de identificare a clientilor (adrese, numar telefon ,detalii acte de identitate) in sistemul carduri la solicitarea scrisa prealabila a sucursalelor / agentiilor Bancii, a clientilor sau a Departamentului de Management al Riscului si Control al Fraudei Carduri. 9. sa asigure primirea si arhivarea cronologica a cardurilor distruse transmise de sucursale. Controlul riscului: Acest risc este unul semnificativ, operational si controlabil. Controlul riscului se realizeaza de catre personalul din cadrul Serviciului Operatiuni Carduri mandatat cu introducerea, procesarea cererilor-contract, in baza dublului control si verificari a datelor (in activitatea de introducere, respectiv procesare) Raspunderea pentru pierderi revine persoanei din cadrul Serviciului Operatiuni Carduri mandatat cu atributii de introducere, respectiv procesare a datelor. 3.4. Gestionarea riscurilor la nivelul de reconciliere ATM-uri, respectiv conturi Identificarea si definirea riscului: riscul neconcordantei de fonduri financiare la dispozitia clientului (posesor de card,comerciant acceptator, cont terminal - in cazul ATMurilor si POS-urilor instalate la ghiseele Bancii), cu posibilitatea dispunerii de sume neapartinand clientului. Posibile consecinte / pierderi financiare : utilizarea de fonduri neautorizate. 3.4.1. La nivelul reconcilierii ATM-urilor Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea de reconciliere ATM-uri trebuie sa asigure cel putin urmatoarele: 1. Asigurarea reconcilierii periodice, in baza procesului verbal de alimentare al ATMului, atat din punct de vedere al numerarului cat si din punct de vedere contabil. Arhivarea cronologica a concluziilor pe fiecare ATM in parte.

35

2. Administrarea unei situatii electronice cu evidentierea distincta a plusurilor si minusurilor inregistrate. Inregistrarea acestor corectii / diferente cu avizul sefului Serviciului Operatiuni Carduri. 3.4.2. La nivelul reconcilierii conturilor clienti posesori de carduri Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea de reconciliere conturi trebuie sa asigure cel putin urmatoarele: 1. Sa administreze reglarea zilnica a diferentelor de sold existente intre balantele sucursalelor si sistemul carduri. 2. In cazul in care se constata solduri mai mari in sistemul carduri fata de sistemul sucursalei, sa solicite in scris blocarea cardurilor aferente conturilor pana la operarea corectiilor. 3.4.3. La nivelul reconcilierii conturilor comerciantilor acceptatori din reteaua Bancii Personalul din cadrul Serviciului Operatiuni Carduri delegat cu activitatea de reconciliere conturilor comerciantilor acceptatori din reteaua Bancii urmatoarele: 1. Sa asigure reconcilierea conturilor de incasare a comerciantilor la nivelul sucursaleor Bancii aferente platilor prin card cu cele incasate la nivelul sistemului carduri. 2. Sa asigure o arhiva cronologica pe sucursale a procesului de reconciliere (operatiuni efectuate, concluzii). Controlul riscului: Acest risc este unul semnificativ, operational si controlabil. Controlul riscului se realizeaza de catre personalul din cadrul Serv. Operatiuni Carduri mandatat cu verificarea concordantei soldului conturilor. Raspunderea pentru pierderi revine persoanei din cadrul Serviciului Operatiuni Carduri mandatata cu atributii in verificarea concordantei soldului conturilor. trebuie sa asigure cel putin

36

CAPITOLUL IV

Politici de administrare a Directiei Dezvoltare Produse & Vanzari Carduri

riscurilor la nivelul

Identificarea si definirea riscului: - riscul lansarii unor produse asupra carora nu s-a realizat o politica corespunzatoare de administrare a riscurilor de pierderi - riscul neraportarilor corecte si in termen catre BNR / VISA / MasterCard. - riscul unor pierderi datorate semnarii unor contracte de instalare a POS-urilor fara primirea avizului favorabil de verificarea a activitatii fraduloase / suspecte de catre DMR&CF-C. - riscul acordarii unor produse unei persoane identificate anterior ca frauduloasa / rau platnica. Posibile consecinte / pierderi financiare : pierderi financiare in detrimentul Bancii din activitati fraduloase, respctiv penalitati (in cazul neraportarilor in termen). Personalul din cadrul Directiei Dezvoltare Produse & Vanzari Carduri, in vederea unei administrari si control eficient a riscurilor , trebuie sa asigure cel putin urmatoarele: 1. Sa solicite in scris avizul favorabil din partea Departamentului de Management al Riscului si Control al Fraudei Carduri pentru orice norma de produs sau serviciu propusa, legata de operatiunile cu carduri.

37

2.

Sa modifice aceste norme prin includerea in continutul lor a clauzelor / paragrafelor comunicate in scris de catre Departamentul de Management al Riscului si Control al Fraudei Carduri cu scopul controlarii si minimizarii riscurilor unor fraude sau pierderilor financiare. Doar dupa obtinerea acestui aviz (cu includerea amendamentelor) Directia Dezvoltare Produse & Vanzari Carduri va propune norma spre aprobare Managementului Bancii.

3. Sa asigure transmiterea trimestriala a raportarilor catre VISA / MasterCard / BNR, in termenele prevazute si sa asigure raportarea completa si corecta a acestora cu datele despre cazurile de fraude furnizate de catre Departamentul de Management al Riscului si Control al Fraudei Carduri. 4. Sa asigure semnarea contractelor de POS in vederea acceptarii la plata a cardurilor numai dupa primirea avizului favorabil de analiza a persoanei juridice din punct de vedere al riscului, conform Procedurii - flux de definire si instalare a POS-urilor in vigoare. 5. Sa asigure emiterea actului de reziliere a unui contract de acceptare imediat ce Departamentul de Management al Riscului si Control al Fraudei Carduri, o solicita in scris si motivat. 6. Sa asigure verificarea clientului in baza de date fraude gestionata de Banca pentru fiecare aplicant pentru un card de credit, anterior analizei de scoring. In cazul identificarii clientului in baza de date fraude, solicitarea acestuia pentru un credit card va fi rejectata. 7. Sa asigure verificarea istoricului clientului in baza de date credite critice (creditele care au inregistrat restante mai vechi de 15 zile) si sa rejecteze cererile solicitantilor identificati in aceata baza de date. Controlul riscului: Riscurile aferente activitatilor Directiei Vazari Carduri sunt semnificative, operationale si controlabile. Controlul riscului se realizeaza prin respectarea obligatiilor prevazute la capitolul 4, paragrafele 1-7 . Raspunderea pentru pierderi:

38

Raspunderea revine Directiei Vanzari Carduri - persoanelor care nu au respectat obligatiile prevazute in acest capitol.

CAPITOLUL V

Politici

de

administrare

a

riscurilor la nivelul Directiei IT - CarduriIdentificarea si definirea riscului: - riscul utilizarii aplicatiilor infomatice de personal neautorizat, personal care nu (mai) are atributii in activitatea de carduri sau persoane care nu au competente de utilizare conform fisei postului. - riscul pierderii unor probe video / audio datorita arhivarii necorespunzatoare sau unor limitari ale echipamentelor tehnice. - riscul instalarii, definirii si instalarii defectoase a terminalelor (ATM-urilor, POS-urilor) - riscul nerespectarii conditiilor de securitate VISA / MasterCard privind echipamentele IT si modul de transmitere a datelor. Posibile consecinte / pierderi financiare : Pierderi financiare in sarcina Bancii . Personalul din cadrul Directia IT - Carduri, trebuie sa asigure cel putin urmatoarele:

39

1.

Sa asigure restrictionarea accesului in camerele securizate din Serviciul Operatiuni Carduri conform precizarilor Sefului Serviciului Carduri respectiv Coordonatorului Departamentului de Management al Riscului si Control al Fraudei Carduri

2.

Sa creeze useri si sa asigure accesul in aplicatiile de carduri in baza cerintelor Sefului Serviciului Carduri respectiv Coordonatorului Departamentului de Management al Riscului si Control al Fraudei Carduri.

3. 4.

Sa asigure stocarea corespunzatoare a imaginilor video, respectiv a inregistrarilor audio. Sa asigure punerea la dispozitie, la solicitarea Departamentului de Management al Riscului si Control al Fraudei Carduri, a imaginilor video aferente camerelor de supraveghere respectiv a inregistrarilor audio.

5.

Sa asigure punerea la dispozitie, la solicitarea Departamentului de Management al Riscului si Control al Fraudei Carduri, a rapoartelor de audit aferente operatiunilor efectuate in sistemul de autorizare carduri , respectiv sistemul de gestiune carduri.

6.

Sa asigure definirea corecta a terminalelor Bancii (ATM-uri si POS-uri) in aplicatiile IT precum si introducerea corecta a datelor gestionate de catre Directia IT (cursuri valutare, dobanzi, comisioane).

7.

Sa asigure cerintele de securitate a stocarii, circulatiei si criptarii informatiilor in conformitate cu cerintele prevazute in regulamentele si specificatiile tehnice VISA / MasterCard.

8.

Sa asigure suportul si corectarea erorilor de ordin tehnic aparute si care genereza potential risc de pierderi financiare sau fraude.

Controlul riscului: Riscurile aferente activitatilor Directiei IT pe probleme de carduri sunt semnificative, operationale si controlabile. Controlul riscului se realizeaza prin respectarea obligatiilor prevazute la capitolul 5, paragrafele 1-8 . Raspunderea pentru pierderi revine Directiei IT- persoanelor care nu au respectat obligatiile prevazute in acest capitol.

40

CAPITOLUL VI Politici de administrare a riscurilor la nivelul Directiei de Management al Riscului si Control al Fraudei pe Carduri6.1. Administrarea riscurilor la nivelul operatiunilor de ridicari numerar / plati cu cardul 6.1.1. Identificarea si evaluarea riscurilor la nivelul operatiunilor cu carduri 6.1.1.1. Coordonatorul DMR&CF-C va trebui sa asigure identificarea periodica la nivelul operational a riscurilor semnificative in concordanta cu Strategia de Risc aprobata de catre Comitetul de Management, a dinamicii si tendintei pietei, a datelor statistice furnizate periodic de VISA / MasterCard, respectiv cu regulamentele BNR / VISA / MasterCard. Activitatea de identificare consta in definirea unor reguli / conditii. Aceste reguli / conditii sunt aporobate de catre

41

Managementul Bancii si sunt definite si activate in aplicatia software de monitorizare a riscurilor din operatiuni cu carduri. 6.1.1.2. Evaluarea expunerii la risc consta in stabilirea, de catre coordonatorul DMR&CF-C, a unor limite prag pentru fiecare dintre aceste reguli. Astfel, orice tranzactie / plata cu card, care depaseste unul sau mai multe limite prag, va fi indentificata ca o situatie cu potential risc si va face obiectul unei analize si investigari distincte si detaliate. Aceste limite prag sunt definite de catre coordonatorul DM&CF-C in aplicatia software dedicata activitatii de monitorizare a riscurilor din operatiuni cu carduri. 6.1.1.3 Aceasta evaluare a expunerii la risc, se va analiza si redimensiona periodic, cel putin o data pe trimestru, de catre coordonatorul DMR&CF-C cu avizul directorului DMR, in concordanta cu Stategia de Risc aprobata. 6.1.1.4 Cazurile identificate cu risc potential, sunt alocate zilnic spre analiza si investigare de catre coordonatorul DMR&CF-C. 6.1.2. Monitorizarea, analiza si investigarea riscurilor la nivelul operatiunilor cu carduri 6.1.2.1. La nivelul activitatii de issuing tranzactiile / platile efectuate cu cardurile emise de catre Banca la terminalele / locatiile altor banci sau la terminalele / locatiile Bancii. Identificarea si definirea riscului: riscul realizarii de operatiuni neautorizate cu carduri ale clientilor Bancii (cu sau fara complicitatea acestora). Posibile consecinte / pierderi financiare : utilizarea de fonduri neautorizate. Personalul din cadrul DMR&CF-C mandatat cu atributii in analiza si investigarea tranzactiilor identificate cu potential risc la nivel de issuing , in vederea unei administrari si control eficient a riscurilor , trebuie sa asigure cel putin urmatoarele: 1. Sa analizeze si sa investigheze in termenele prevazute toate cazurile alocate de catre Coordonatorul Departamentului de Management al Riscului si Control al Fraudei Carduri, identificate cu potential risc, respectiv a tranzactiilor off-line (fara autorizare), si sa emita concluzii, iar unde e cazul, cu avizul Coordonatorului Departamentului, sa ia masuri de limitare a pierderilor. 2. Sa verifice pentru cazurile alocate identitatea de sold intre balanta sucursalei si datele din sistemul de gestiune carduri.

42

3.

Sa solicite avizul Coordonatorului Departamentului pentru blocarea cardurilor la care se identifica diferente in plus in sistemul carduri fata de cel din sucursala, pana la obtinerea unei concluzii sau pana la realizarea de corectii de catre Serviciul Operatiuni Carduri sau de catre sucursala, dupa caz. Anuntarea personalului Operatiuni Carduri reconciliere conturi clienti pentru diferentele identificate in vederea reglarii.

4. Sa realizeze analiza cazului si sa identifice specificul tranzactiei (validitatea cardului utilizat, tipul tranzactiei card present, mo/to, e-commerce, key-entry; tipul autorizarii on-line, off-line; securitatea tranzactiei pe baza de PIN, pe baza de semnatura; specificul tranzactiei locatia platii, specific magazin, tara unde se deruleaza tranzactia) 5. Sa realizeze analiza istoricului de tranzactionare a cazurilor supuse analizei. 6. Sa consemneze concluziile analizei in aplicatia de monitorizare a riscurilor. 7. In cazul in care specificul cazului o impune, iar concluziile nu sunt clare, sa asigure contactarea clientului sau a sucursalei pentru verificari suplimentare. Pentru cazurile care necesita investigari suplimentare- contactare client, sucursala, banca acceptatoare , sa asigure o fisa de analiza si sa aloce cazul pentru investigare si analiza suplimentara in aplicatia de monitorizare a riscului, cu inchiderea lui dupa existenta tuturor concluziilor. Aceste cazuri se supervizeza de catre coordonatorul Departamentului. 8. Sa propuna Coordonatorului Departamentului masuri de limitare a pierderilor pentru cazurile care au fost identificate ca fiind pierderi sau fraude. 9. Sa transmita o copie a fisei de analiza avizata de catre coordonatorul Departului persoanei din cadrul DMR&CF-C mandatata cu initierea litigiilor / disputelor catre alte banci in vederea raportarii acestor fraude la VISA / MasterCard, respectiv a identificarii unor articole de regulament VISA / MasterCard in vederea initierii de litigii pentru recuperarea pierderilor. 10. Sa verifice zilnic rapoartele VISA / MasterCard la nivel de issuer privind riscurile identificate de aceste organizatii si, unde se solicita, sa analizeze cazurile semnalate, sa ia masurile care se impun, sa transmita cazul spre avizare si transmitere VISA / MasterCard Coordonatorului Departamentului si sa arhiveze cazurile la dosarul de analize issuer.

43

Controlul riscului: Aceste riscuri sunt semnificative, operationale si controlabile. Riscurile sunt controlate prin analiza si investigarea cazurilor cu comportament suspect de catre persoana din cadrul DMR&CF-C cu atributii in acest sens conform fisei postului. In vederea evitarii pierderilor in situatia identificarii unor fraude, se va face uz de regulametele in vigoare pentru initierea de litigii catre bancile acceptatoare respectiv politele de asigurare incheiate in acest scop. Raspunderea pentru pierderi: In cazul unr pierderi ce puteau fi evitate, raspunderea revine persoanei din cadrul DMR&CF-C cu atributii in acest sens, in cazul in care acesta ar fi putut interveni pentru limitarea pierderilor , insa nu a facut-o. 6.1.2.2. La nivelul activitatii de acquiring utilizarea cardurilor emise de alte banci la terminalele Bancii Identificarea si definirea riscului: riscul realizarii de operatiuni neautorizate cu carduri la comerciantii Bancii (cu sau fara complicitatea acestora). Posibile consecinte / pierderi financiare : beneficierea de catre comerciantii Bancii de fonduri necuvenite. Personalul din cadrul Departamentului de Management al Riscului si Control al Fraudei Carduri mandatat cu atributii in analiza si investigarea tranzactiilor cu potential risc la nivel de acquirer , in vederea unei administrari si control eficient a riscurilor , trebuie sa asigure cel putin urmatoarele: 1. Sa analizeze in termenele prevazute toate cazurile alocate de catre Coordonatorul Departamentului identificate cu potential risc precum si a tranzactiilor off-line (fara autorizare) si sa emita concluzii, iar unde e cazul, cu avizul Coordonatorului Departamentului, sa ia masuri de limitare a pierderilor. 2. Sa verifice pentru fiecare caz alocat daca respectivul comerciant al Bancii a fost analizat din punct de vedere al riscului la momentul semnarii contractului. 3. Sa verifice obiectul de activitate al comerciantului Bancii precum si specificul tranzactiei efectuate (tipul tranzactiei card present, mo/to, e-commerce, key-entry;

44

tipul autorizarii on-line, off-line; securitatea tranzactiei pe baza de PIN, pe baza de semnatura) 4. Sa verifice istoricul de tranzactionare a comerciantului 5. Sa consemneze concluziile analizei in aplicatia de monitorizare a riscurilor. 6. Pentru cazurile pentru care comportamentul de tranzactionare este unul anormal , sa initieze fise de investigare si sa aloce cazul pentru investigari suplimentare in aplicatia de monitorizare a riscului cu inchiderea lui dupa existenta tuturor concluziilor. 7. Pentru cazurile pentru care comportamentul de tranzactionare este unul anormal sa solicte comerciantului, prin intermediul sucursalei Bancii, copii dupa documentele justificative care probeaza tranzactiile in cauza. 8. Sa initieze, cu avizul coordonatorului Departamentului, pentru cazurile cu comportament de tranzactionare anormal, solicitari de investigare la nivelul bancii emitente. 9. In cazurile in care au fost identificate fraude, sa solicite, cu avizul Coordonatorului Departamentului, asigurarea unei monitorizari speciale a activitatii comerciantului sau sa solicite, cu avizul Coordonatorului Departamentului ,personalului care se ocupa de gestionarea activitatii de analiza a riscurilor la comercianti, rezilierea contractului incheiat intre banca si comerciant. 10. Sa verifice zilnic rapoartele VISA / MasterCard la nivel de acquirer privind riscurile identificate de aceste organizatii si, unde se solicita, sa intreprinda masurile care se impun si sa arhiveze cazurile la dosarul de analize - acquirer. 11. Sa asigure urmarirea zilnica a riscului de neincasare pe relatia cu MasterCard si sa transmita Directiei IT, prin intermediul Coordonatorului Departamentului, orice probleme de neincasare datorate unor erori tehnice sau unor exceptii la incasare, in vederea corectarii si evitarii pierderilor financiare. Sa administreaze aceste cazuri intrun dosar dedicat. Controlul riscului: Aceste riscuri sunt semnificative, operationale si controlabile. Riscurile sunt controlate prin analiza si investigarea cazurilor cu comportament suspect de catre persoana din cadrul DMR&CF-C cu atributii in acest sens conform fisei postului.

45

In vederea evitarii pierderilor in situatia identificarii unor fraude, se va face uz de regulamentele in vigoare pentru atacarea cu probe a litigilor initiate de catre alte banci. Raspunderea pentru pierderi: In cazul unr pierderi ce puteau fi evitate, raspunderea revine persoanei din cadrul DMR&CF-C cu atributii in acest sens, in cazul in care acesta ar fi putut interveni pentru limitarea pierderilor , insa nu a facut-o. 6.2. Administrarea riscurilor la nivelul activitatii de analiza, gestionare si concluzionare a disputelor / litigiilor cu alte banci Identificarea si definirea riscului: riscul neidentificarii in termenele legale prevazute de regulamentele VISA / MasterCard a litigiilor, sau neinitierii demersurilor in termenele prevazute. Posibile consecinte / pierderi financiare: genereaza pierderi financiare in sarcina Bancii.

6.2.1. Identificarea cazurilor de dispute / litigii cu alte banci 6.2.1.1. Coordonatorul DMR&CF-C va trebui sa asigure identificarea datelor necesare in vederea evidentierii la timp a cazurilor de litigii cu alte banci. Identificarea acestor cazuri se realizeza pe baza unor rapoarte zilnice care reflecta noile cazuri de litigii initiate de alte banci. Litigiile intitate de Banca se realizeaza fie la solicitarea clientilor bancii in baza reclamatiilor scrise, fie , din proprie initiativa pentru cazurile de fraude cu carduri ne-emise sau invalide. 6.2.2. Analiza, gestionarea si concluzionarea cazurilor de dispute / litigii cu alte banci 6.2.2.1. La nivelul activitatii de issuing analiza, initierea si concluzionare litigiilor catre alte banci in numele clientilor Bancii sau in situatii de fraude produse cu carduri ale Bancii. Personalul din cadrul DMR&CF-C mandatat cu atributii in initierea de litigii / dispute la nivel de issuing , in vederea unei administrari si control eficient a riscurilor , trebuie sa asigure cel putin urmatoarele:

46

1. Sa asigure raportarea fraudelor la VISA / MasterCard, conform regulamentelor in vigoare, identificate si comunicate de catre persoana mandatata cu atributii in analiza si investigarea tranzactiilor cu potential risc la nivel de issuing, in baza fisei de analiza a cazului primit. 2. Sa asigure raportarea la sfarsitul fiecarei luni a unor fisiere negative de fraude catre MasterCard , in cazul in care nu sunt indetificate fraude in luna in curs. 3. Sa asigure analiza contestatiilor initiate de catre clientii Bancii sau a situatiilor de fraude identificate cu carduri niciodata emise. 4. Sa intocmeasca fisa litigiului si sa initieze dispute, litigii catre bancile implicate in tranzactiile reclamate in baza articolului de regulament VISA / MasterCard cel mai propice pentru fiecare caz in parte , dupa avizarea solutiei de catre coordonatorului DMR&CF-C. In cazul in care potrivit profilului cazului e nevoie de initierea unei solicitari de probe anterior initierii litigiului, sa procedeze la aceasta solicitare. 5. Sa actualizeze situatia electronica de administrare a litigiilor / disputelor, sa informeze sucursala cu privire la termenul limita de solutionare a cazului in conformitate cu regulamentele VISA / MasterCard in vigoare si a Normei de solutionare a refuzurilor la plata. 6. Sa verifice in rapoaretele zilnice VISA / MasterCard incasarea litigiilor initiate si sa ataseze aceste rapoarte la dosarul cazului. 7. Sa inchida cazurile la data scadentei, respectiv in momentul in care s-au primit probele de la cealalta banca implicata in tranzactie cu informarea clientului despre concluziile solutionarii. 6.2.2.2. La nivelul activitatii de acquiring analiza, concluzionare litigiilor initiate de alte banci in detrimentul Bancii. Personalul din cadrul DMR&CF-C mandatat cu atributii analiza si concluzionare litigii / dispute la nivel de acquiring , trebuie sa asigure cel putin urmatoarele: 1. Sa asigure identificarea tranzactiilor contestata de cealalta banca 2. Sa asigure analiza si solutionarea in termenle prevazute de regulamentele VISA / MasterCard a tuturor litigiilor initiate de celelalte banci.

47

3. Sa intocmeasca o fisa de analiza a cazului in care se vor prezenta concluziile, care va fi avizata de catre coordonatorul DMR&CF-C 4. Sa verifice rapoartele VISA / MasterCard pentru reflectarea debitarilor aferente litigiilor initiate si sa ataseze o copie la dosarul cazului. 5. Sa solicite si sa primeasca din sucursale probele necesare in vederea concluzionarii cazurilor. 6. Sa continue disputarea litigiului in termenele prevazute atunci cand probele demonstreaza ca nefondat litigiul initiat de cealalta banca. 7. Sa verifice rapoarte VISA / MasterCard privind incasarile aferente continuarii disputarii litigilor initiate de celelalte banci si sa ataseze o copie la dosarul cazului. 8. Sa transmita celeilalte banci probele insotitoare in conformitate cu prevederile regualmentelor VISA / MasterCard in vigoare. 9. Sa analizeze impreuna cu coordonatorul DMR&CF-C situatiile de initiere pre-arbitraj / arbitraj la MasterCard / VISA pentru inchiderea cazurilor. Controlul riscului: Aceste riscuri sunt semnificative, operationale si controlabile. Riscurile sunt controlate prin analiza si investigarea zilnica a cazurilor de litigiu si administrarea corespunzatoare in termenele prevazute a acestora. Raspunderea pentru pierderi: In cazul pierderilor datorate nerespectarii termenelor sau analizei defectuase a cazurilor, raspunderea revine persoanei din cadrul DMR&CF-C cu atributii in acest sens. 6.3. Administrarea riscurilor la nivelul activitatii de analiza a comerciantilor Bancii, acceptatori din punct de vedere a riscului de activitate frauduloasa Identificarea si definirea riscului: riscul incheierii si derularii de contracte comerciale cu persoane juridice care au fost identificate anterior cu activitate fraudulaosa / suspecta. Posibile consecinte / pierderi financiare : posibile pierderi in sarcina Bancii in cazul derularii de catre comerciant a unor activitati frauduloase. Personalul din cadrul Departamentului de Management al Riscului si Control al Fraudei Carduri mandatat cu atributii in ceea ce priveste analiza comeriantlor din punct de vedere al riscului , trebuie sa asigure cel putin urmatoarele:

48

1. Sa verifice corectitudinea si integralitatea detaliilor persoanelor juridice primite de la Directia Dezvoltare Produse & Vanzari Carduri. 2. Sa identifice si sa aloce codul de activitate potrivit regulamentelor VISA / MasterCard in concordanta cu domeniul de activitate al comerciantului. 3. Sa verifice in baza de date a comerciantilor fraudulosi administrate de Romcard / VISA / MasterCard. 4. In cazul avizului favorabil comerciantului din punct de vedere al riscului, sa transmita catre Directia Dezvoltare Produse & Vanzari Carduri in vederea semnarii contractelor, respectiv Serviciului Operatiuni Carduri in vederea definirii terminalului. 5. In cazul neavizarii favorabile, sa stabileasca impreuna cu Directia Dezvoltare Produse & Vanzari Carduri politici speciale de monitorizare, respectiv solicitarea de nesemnare a contractului cu comerciantul. 6. Sa administreze o situatie electronica cu toti comerciantii analizati si avizati din punctul de vedere al riscului, cu mentionarea datei avizarii. 7. Sa modifice in situatia electronica orice reziliere comunicata de catre Directia Dezvoltare Produse & Vanzari Carduri. 8. Sa solicite Directia Dezvoltare Produse & Vanzari Carduri rezilierea contractelor pentru comerciantii identificati cu activitate frauduloasa conform situatiei primite de la personalul care se ocupa de analiza de risc la nivel de acceptare. 9. Sa asigure raportarea imediata la Romcard / VISA / MasterCard a comerciantilor Bancii identificati fraudulosi pentru care s-a solicitat rezilierea contractelor. Controlul riscului: Aceste riscuri sunt semnificative, operationale si controlabile. Riscurile sunt controlate prin analiza si verificarea anterior semnarii contractului a datelor comerciantului si a istoricului acestuia in raport cu alte banci (prin verificarea in baza de date cu comercianti declarati fraudulosi administrate de VISA / MasterCard / Romcard). Raspunderea pentru pierderi: In cazul pierderilor datorate neverificarii activitatii comerciantului, raspunderea revine persoanei din cadrul DMR&CF-C cu atributii in acest sens.

49

6.4. Administrarea riscurilor la nivelul monitorizarii debitorilor critici din carduri Identificarea si definirea riscului: riscul inregistrarii de debite critice pe conturile de card ale clientilor Bancii care nu au linie de credit atasata, debite care prezinta riscul de nerecuperare. Posibile consecinte / pierderi financiare : posibile pierderi in sarcina Bancii, cauzate de nerecuperarea debitelor. 6.4.1. Identificarea cazurilor Prin debitor critic se intelege orice debit rezultat din operatiuni cu carduri, aferente cardurilor emise de Banca, fara linie de credit atasata, debit neonorat la plata de catre un client de o perioada mai mare de 30 zile. Identificarea acestor debitori se realizeaza prin rularea zilnica a unor rapoarte , rapoarte elaborate in baza cerintelor coordonatorului Depa