دستورالعمل الزامات ناظر بر حاکمیت شرکتی در مؤسسات اعتباری غیر دولتی مصوب 1402/12/27

مقررات مرتبط با دستورالعمل حداقل الزامات نظام کنترل داخلی در موسسات اعتباری

مقررات مرجع دستورالعمل الزامات ناظر بر حاکمیت شرکتی در مؤسسات اعتباری غیر دولتی:

ماده 63 آیین نامه نحوه تأسیس و اداره مؤسسات اعتباری غیر دولتی مصوب 1393 ـ موسسه اعتباری مکلف است نظام مناسب و کارآمد کنترل های داخلی مطابق با حداقل الزاماتی کـه توسط بانک مرکزی ابلاغ می شود، پیاده سازی نماید. در اجرای تکلیف مقرر در این ماده، لازم است در ساختار سازمانی موسسه اعتباری، یک واحد سازمانی مستقل تحت عنوان " حسابرسی داخلی " کـه مسئولیت نظارت بر حسن اجرای امور موسسه اعتباری را بر عهده دارد، ایجاد شود.

تبصره ـ واحد سازمانی مذکور باید مستقیماً تحت نظارت هیات عامل موسسه اعتباری فعالیت نموده و بـه آن گزارش دهد.

ماده ۹۴ آیین نامه نحوه تأسیس و اداره مؤسسات اعتباری غیر دولتی مصوب 1393 ـ موسسه اعتباری باید در مقاطع زمانی سالانه، گزارشی از نظام مدیریت خطر (ریسک) و نظام کنترل داخلی خود را بـه بانک مرکزی ارایه کند.

متن دستورالعمل الزامات ناظر بر حاکمیت شرکتی در مؤسسات اعتباری غیر دولتی:

به استناد مواد (٦۳) و (٩٤) آیین نامه نحوه تأسیس و اداره مؤسسات اعتباری غیر دولتی مصوب جلسه مورخ ۱٤۰۰/۰۱/۲۲ شورای پول و اعتبار بند (۶۲) ذیل ماده ،(۲) مواد (۲۹)، (٤٢) و (٦٦) الى (٦٨) دستورالعمل الزامات ناظر بر حاکمیت شرکتی در بانکهای دولتی مصوب مجمع عمومی بانکها، بند (۲ ـ ۶) ذیل ماده (۲) مواد (۳۰)، (٤٤) و (٦٨) الى (۷۰) دستورالعمل الزامات ناظر بر حاکمیت شرکتی در مؤسسات اعتباری غیر دولتی مصوب جلسه ۱۳۹۶/۲/۱۲ شورای پول و اعتبار و به منظور تقویت نظام کنترل داخلی در دستیابی به اهداف عملیاتی گزارشگری مالی و رعایت قوانین و مقررات در مؤسسات اعتباری «دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترلهای داخلی در مؤسسات اعتباری که از این پس به اختصار «دستورالعمل» نامیده میشود به شرح زیر تدوین می گردد.

بیشتر بخوانید:

مقررات مرتبط با دستورالعمل حداقل الزامات نظام کنترل داخلی در موسسات اعتباری

فصل اول ـ تعاریف و کلیات

ماده ۱ ـ اصطلاحات و تعاریف به کار رفته در ماده (۱) دستورالعمل الزلمات ناظر بر حاکمیت شرکتی در مؤسسات اعتباری غیر دولتی و دستور العمل الزامات ناظر بر حاکمیت شرکتی در بانکهای دولتی با همان معنی در این دستورالعمل به کار برده می شود. سایر اصطلاحات که در این دستورالعمل ذکر شده است در معانی مشروح زیر به کار میروند:

۱ ـ ۱ ـ نظام کنترل داخلی: چارچوب و فرآیندی جامع است که توسط هیات مدیره مؤسسه اعتباری هیأت عامل و سایر کارکنان برای کسب اطمینان معقول از دستیابی به اهداف مربوط به عملیات گزارشگری و رعایت قوانین و مقررات طراحی و مستقر شده است که شامل سه بخش اهداف اجزا و سطوح می باشد.

2 ـ 1 ـ اهداف نظام کنترل داخلی:

۱ ـ ۲ ـ ۱ ـ اهداف عملیاتی: دستیابی به اثر بخشی و کارآیی فعالیتهای مؤسسه اعتباری و نیز حفاظت از داراییها در برابر سوء استفاده و تقلب.

2 ـ2 ـ 1 ـ اهداف گزارشگری: ارایه اطلاعات مفید و سودمند به منظور افزایش آگاهی اتخاذ تصمیمهای صحیح و پیشگیری از گمراهی ذی نفعان از طریق تهیه گزارشهای مالی و غیرمالی به موقع قابل اتکاء مربوط قابل فهم و شفاف به صورت درون سازمانی و برون سازمانی.

3 ـ 2 ـ 1 ـ اهداف رعایت قوانین و مقررات: حصول اطمینان از رعایت تمامی قوانین، مقررات و استانداردهای لازم الاجرا توسط مؤسسه اعتباری.

۳ ـ ۱ ـ اجزای نظام کنترل داخلی:

۱ ـ ۳ ـ ۱ ـ محیط کنترلی: مجموعه ای از ضوابط فرآیندها و ساختارهایی که مبنای پیاده سازی نظام کنترل داخلی را در مؤسسه اعتباری فراهم می کند.

2 ـ 3 ـ 1 ـ ارزیابی ریسک: فرآیندی پویا و مستمر برای شناسایی اندازه گیری و تحلیل ریسک های ناشی از رویدادهای بیرونی و درونی که مانع از دستیابی مؤسسه اعتباری به اهداف خود و ایجاد مخاطره برای عملیات مؤسسه اعتباری می گردد.

3 ـ 3 ـ 1 ـ فعالیتهای کنترلی: مجموعه ای از خط مشی ها رویه های پیشگیرانه و کشف کننده و اقدامات اصلاحی است که به منظور حصول اطمینان از اجرای دستورات هیأت مدیره و هیأت عامل در تمام سطوح فعالیتهای مؤسسه

اعتباری اتخاذ می شود.

4 ـ ۳ ـ ۱ ـ اطلاعات و ارتباطات: اطلاعات شامل دادههای پردازش شده در راستای تحقق اهداف نظام کنترل داخلی میباشد که توسط هیأت مدیره و هیأت عامل مؤسسه اعتباری به منظور راهبری آن بکار گرفته میشود. ارتباطات شامل سیستمهایی است که امکان تبادل اطلاعات را درون مؤسسه اعتباری و اشخاص برون سازمانی نظیر مشتریان سهامداران و مقام ناظر بانکی فراهم می کند.

5 ـ 3 ـ 1 ـ فعالیتهای نظارتی: مجموعه فعالیت هایی که مؤسسه اعتباری به منظور ارزیابی های مستمر یا موردی از کارکرد صحیح نظام کنترل داخلی و میزان اثربخشی آن بکار می گیرد.

۴ ـ ۱ ـ سطوح نظام کنترل داخلی: شامل مؤسسه اعتباری ادارات ،مرکزی سرپرستی مناطق شعب، وظایف و فرآیندها.

۵ ـ ۱ ـ آیین رفتار حرفه ای: مجموعه ای از هنجارهای حرفه ای پذیرفته شده و رفتارهای ناهنجار منع شده الزامات مقرراتی ناظر بر صلاحیت حرفه ای (خبرگی)، تردید و مراقبت حرفه ای (رعایت استانداردهای فنی و اخلاقی تلاش جهت ارتقای صلاحیت و کیفیت خدمات و ایفای مسئولیت حرفه ای به بهترین شکل ممکن بر مبنای توانایی فرد، از جمله ویژگی های فرآیندی است که باید حین اجرای فعالیت حسابرسی داخلی انجام شوند و همچنین در برابر منافع عموم سازگار باشند.)، رازداری، درستکاری، استقلال رأی، واقع بینی و بی طرفی.

۶ ـ ۱ ـ برنامه جانشین پروری: مجموعه تدابیر لازم به منظور پرورش اشخاص واجد صلاحیت جهت تصدی شغل های کلیدی مؤسسه اعتباری نظیر اعضای هیأت عامل مدیران ارشد مالی ریسک رعایت قوانین و مقررات حسابرسی داخلی

۷ ـ ۱ ـ کارکنان مسئول وظایف کنترلی: کارکنانی که به نحوی از انحاء در شرح وظایف خود، یک یا چند وظیفه کنترلی در خصوص فعالیت های مؤسسه اعتباری را برعهده دارند.

۸ ـ ۱ ـ کنترلهای عمومی فن آوری: مجموعه ای از اقدامات شامل ساماندهی و اجرا، مستندسازی رویه ها، نحوه دسترسی به تجهیزات و فایلهای اطلاعاتی و سایر کنترلهای مربوط به فناوری اطلاعات و سامانه های اطلاعاتی می باشد.

9 ـ 1 ـ افشاگران: به اشخاصی گفته میشود که اقدامات و فعالیتهای نادرست، غیرقانونی و سایر اعمالی که منافع ذی نفعان مؤسسه اعتباری را با مخاطره مواجهه می سازد، افشا می نمایند.

۱۰ ـ ۱ ـ تضاد منافع: هر گونه تضاد میان منافع مؤسسه اعتباری سهامداران یا منافع مشتریان با منافع هیأت مدیره و هیأت عامل به نحوی که دستیابی به هر یک مستلزم چشم پوشی از تمام یا بخشی از دیگری باشد.

ماده ۲ ـ هیأت مدیره مؤسسه اعتباری موظف است برای استقرار نظام کنترلهای داخلی، سطوح و تعاملات لایه های دفاعی مشتمل بر لایه اول واحدهای عملیاتی لایه دوم واحدهای نظارتی، لایه سوم؛ حسابرسی داخلی و لایه چهارم بانک مرکزی و حسابرس مستقل را در چارچوب این دستورالعمل طراحی، استقرار و به روز رسانی نماید.

بیشتر بخوانید:

مقررات مرتبط با دستورالعمل حداقل الزامات نظام کنترل داخلی در موسسات اعتباری

فصل دوم ـ محیط کنترلی

ماده ۳ ـ هیأت مدیره مؤسسه اعتباری موظف است از طریق انجام حداقل اقدامات زیر از فراهم بودن محیط کنترلی مؤثر اطمینان حاصل نماید:

1 ـ 3 ـ تعیین آیین رفتار حرفه ای و ابلاغ آن؛

۲ ـ ۳ ـ تعیین سازوکارهای نظارت هیات مدیره بر نظام کنترل داخلی طراحی ساختار سازمانی و خطوط گزارشگری

۴ ـ ۳ ـ تعیین راهبردهای جذب توسعه و نگهداری کارکنان با صلاحیت؛

۵ ـ ۳ ـ تعیین سازوکارهای پاسخگویی در قبال مسئولیتهای کنترل داخلی برای تمامی سطوح مؤسسه اعتباری؛

ماده ۴ ـ هیات مدیره مؤسسه اعتباری موظف است در تعیین آیین رفتار حرفه ای هنجارهای حرفه ای پذیرفته شده و رفتارهای ناهنجار منع شده با تاکید بر اصول درستکاری و ارزشهای اخلاقی را مشخص و به تمامی سطوح مؤسسه اعتباری ابلاغ نماید اشخاص ارایه دهنده خدمات برون سپاری شده مؤسسه اعتباری و شرکای تجاری نیز باید از آیین رفتار حرفه ای مؤسسه اعتباری آگاهی داشته باشند.

ماده ۵ ـ هیأت مدیره مؤسسه اعتباری باید فرآیندهای مناسب را به منظور ارزیابی عملکرد فردی و گروهی در پایبندی به آیین رفتار حرفه ای تعیین نماید.

ماده ۶ ـ هیأت عامل مؤسسه اعتباری در اجرای آیین رفتار حرف های مصوب هیأت مدیره موظف است اقدامات زیر را انجام دهد:

۱ ـ ۶ ـ تهیه و تصویب راهنمای اجرایی برای بکارگیری آیین رفتار حرفه ای؛

۲ ـ ۶ ـ ترویج و آموزش آیین رفتار حرفه ای برای تمامی کارکنان و تقویت پاسخگویی برای رفتار مسئولانه؛

۳ ـ ۶ ـ فراهم نمودن بسترهای لازم برای طرح موضوعات و سؤالات مرتبط با بکارگیری آیین رفتار حرفه ای توسط کارکنان؛

۴ ـ ۶ ـ پیاده سازی فرایندهای ارزیابی عملکرد و میزان پایبندی به آیین رفتار حرفه ای؛

۵ ـ ۶ ـ شناسایی انحراف از آیین رفتار حرفه ای و اولیه گزارش به موقع انحرافات و اقدامات اصلاحی به هیأت مدیره.

ماده ۷ ـ هیأت مدیره مؤسسه اعتباری مسئولیت نظارت عالی بر اجرای سیاستها و دستیابی به اهداف راهبردی مؤسسه اعتباری رعایت الزامات قانونی و مقرراتی و نحوه استقرار و پیاده سازی اجزای نظام کنترل داخلی را بر عهده دارد.

ماده ۸ ـ هیات مدیره مؤسسه اعتباری موظف است در اجرای تکالیف هیأت مدیره در قبال نظام کنترلهای داخلی کمیته حسابرسی را در چارچوب ضوابط ابلاغی بانک مرکزی تشکیل دهد وظایف کمیته مذکور در چارچوب این دستورالعمل عبارتند از :

۱ ـ ۸ ـ نظارت بر اثر بخشی نظام کنترل داخلی در خصوص گزارشگری مالی و ارزیابی ریسک ها و بررسی ناکارآمدی های قابل توجه و ضعف های با اهمیت آن؛

2 ـ 8 ـ ارزیابی مدیران در زمینه موضوعات با اهمیت نظام کنترل داخلی نظیر گزارشگری مالی و اقدامات اصلاحی مورد نیاز؛

3 ـ 8 ـ ایجاد ارتباطات بین بخشهای مختلف مؤسسه اعتباری با واحد حسابرسی داخلی در مورد هر گونه موضوع با اهمیت؛

۴ ـ ۸ ـ نظارت بر کیفیت گزارشگری مالی و افشاء اطلاعات؛

۵ ـ ۸ ـ بررسی و پیشنهاد به کارگیری و حق الزحمه حسابرس مستقل؛

۶ ـ ۸ ـ تعامل با بانک مرکزی و حسابرس مستقل؛

ماده ۹ ـ کمیته حسابرسی موظف است گزارشهای ارزیابی ریسک واحد حسابرسی داخلی گزارش های ریسک ارایه اطلاعات نادرست در گزارشگری مالی و اطلاعات به دست آمده از گزارشهای افشاگران نقض قوانین و مقررات را به دقت بررسی و نتایج را به همراه پیشنهادهای اصلاحی به هیأت مدیره ارایه نماید.

ماده ۱۰ ـ هیأت مدیره مؤسسه اعتباری موظف است در طراحی ساختار سازمانی مناسب به منظور حصول اطمینان از ارزیابی صحیح ریسک ها ایجاد فعالیتهای کنترلی مناسب، برقراری جریان مؤثر اطلاعات و ارتباطات و استقرار دقیق فعالیت های نظارتی در سطوح مختلف مؤسسه اعتباری نسبت به تفکیک مناسب وظایف مسئولیتها فرآیندهای تصویب تعیین خطوط گزارشگری و تعیین سطوح دسترسی به اطلاعات و اسناد اقدام و به صورت دوره ای بازبینی نماید.

ماده ۱۱ ـ هیأت مدیره مؤسسه اعتباری موظف است اطمینان حاصل نماید که گزارشهای واحد حسابرسی داخلی برای هیأت مدیره بدون هرگونه صلاحدید مدیریتی تهیه شده است و حسابرسان داخلی به هیات مدیره و اعضای کمیته حسابرسی دسترسی مستقیم دارند.

ماده ۱۲ ـ هیأت عامل مؤسسه اعتباری موظف است بر اساس قراردادهای مربوط به خدمات برون سپاری شده و ضوابط ابلاغی بانک مرکزی در خصوص برون سپاری خدمات و الزامات ناظر بر ریسک فناوری اطلاعات سازوکارهای مقتضی را برای نظارت بر حسن اجرای قراردادهای مذکور با تأکید بر مسئولیت های کارکنان معرفی شده جهت انجام خدمات برون سپاری شده مشخص نماید.

ماده ۱۳ ـ هیأت مدیره مؤسسه اعتباری موظف است انتظارات و معیارهای شایستگی شغلی و رفتار سازمانی کارکنان خط مشی ها و شیوههای رفتاری آنها را به منظور جذب توسعه و نگهداری کارکنان با صلاحیت تعیین و به روز رسانی نماید.

ماده ۱۴ ـ هیأت مدیره مؤسسه اعتباری موظف است مسئولیت های اصلی با اهمیت برای تحقق اهداف نظام کنترل داخلی برای افراد و بخشهای مختلف نظیر مدیر عامل مدیران ارشد ریسک واحدهای حسابرسی داخلی مالی و رعایت قوانین و مقررات و نیز شایستگیهای مرتبط با هر کدام از آنها را تعیین و ارزیابی نموده و برای هر یک از این مسئولیت ها برنامه های جانشین پروری تدوین نماید.

ماده ۱۵ ـ هیات مدیره مؤسسه اعتباری موظف است به منظور پاسخگویی کارکنان (اعم از اعضای هیات عامل مدیران و سایر کارکنان) در خصوص ایفای مسئولیت های محوله در نظام کنترل داخلی سازوکارهای مناسب نظیر شاخص های عملکرد مشوق ها و پاداش ها و اقدامات انضباطی مرتبط با انجام مسئولیت های کنترل داخلی را تعیین و تصویب و در مقاطع زمانی منظم حداکثر دو ساله ارزیابی و به روز رسانی نماید.

بیشتر بخوانید:

مقررات مرتبط با دستورالعمل حداقل الزامات نظام کنترل داخلی در موسسات اعتباری

فصل سوم ـ ارزیابی ریسک

ماده ۱۶ ـ هیات عامل مؤسسه اعتباری موظف است به منظور برخورداری از نظام کنترل داخلی مؤثر ریسک های مهم از قبیل ریسک اعتباری ریسک ،نقدینگی ریسک بازار و ریسک عملیاتی را شناسایی و تأثیرات آن بر دستیابی به اهداف مؤسسه اعتباری را مورد ارزیابی قرار داده و در پاسخ به ریسک های شناسایی شده اقدامات لازم را برای اجتناب پذیرش کاهش و تسهیم آنها تا سطح قابل پذیرش مصوب هیات مدیره انجام دهد.

ماده ۱۷ ـ هیأت عامل مؤسسه اعتباری موظف است به منظور پوشش ریسک های جدید یا ریسکهای کنترل نشده، حسب مورد هر یک از اجزای نظام کنترل های داخلی را مورد بازنگری قرار داده و اقدامات اصلاحی مقتضی را به هیات مدیره پیشنهاد نماید.

ماده ۱۸ ـ هیأت عامل مؤسسه اعتباری موظف به ایجاد سازوکارهای کنترلی لازم به منظور حصول اطمینان از صحت و درستی دادهها و محاسبات مربوط به صورتهای مالی و نیز انعکاس صحیح همه رویدادهای با اهمیت و قابل فهم بودن صورت های مالی برای استفاده کنندگان می باشد.

ماده ۱۹ ـ هیأت مدیره مؤسسه اعتباری موظف است به منظور شناسایی تقلب و انگیزه های موجد آن، سیستم ها و فرآیندهایی را تعیین و تصویب نموده و بر اجرای آنها نظارت نماید.

ماده ۲۰ ـ هیأت مدیره مؤسسه اعتباری موظف است به منظور جلوگیری از بروز تقلب و انگیزه های موجد آن برنامه های جبران خدمات و فرآیند ارزیابی عملکرد کارکنان را به طور مستمر بازبینی نماید.

ماده ۲۱ ـ واحد مدیریت ریسک مؤسسه اعتباری موظف است به منظور ارزیابی ریسک تقلب، گزارش های واصله مربوط به اعمال متقلبانه، سرقت و سوء استفاده از دارایی ها فساد ناشی از وقوع تقلب و روشهایی که ممکن است توسط کارکنان منجر به بی اثر شدن و یا نادیده گرفتن کنترل های در نظر گرفته شده برای شناسایی تقلب می شود را بررسی و ارزیابی نموده و در گزارشات ارزیابی ریسک تقلب با در نظر گرفتن احتمال وقوع و اثرات بالقوه آنها مورد استفاده قرار داده و نسخه ای از گزارش مذکور را به واحد حسابرسی داخلی ارایه نماید.

ماده ۲۲ ـ مدیر ارشد واحد حسابرسی داخلی مؤسسه اعتباری موظف است نتایج حاصل از ارزیابی ریسک تقلب را بررسی نموده و در مراحل مختلف برنامه حسابرسی داخلی شامل برنامه ریزی، اجرای برنامه انتقال نتایج و پیگیری و نظارت مورد استفاده قرار دهد.

ماده ۲۳ ـ هیأت عامل مؤسسه اعتباری موظف است به منظور ارزیابی آثار تغییرات برون سازمانی بر نظام کنترل داخلی، فرآیندهای شناسایی ریسک های ناشی از تغییر در مقررات، شرایط اقتصادی، شرایط محیطی، رویکردهای مدیریتی، فعالیت های جدید و فن آوری های نوین بانکی را ایجاد نماید.

بیشتر بخوانید:

مقررات مرتبط با دستورالعمل حداقل الزامات نظام کنترل داخلی در موسسات اعتباری

فصل چهارم ـ فعالیتهای کنترلی

ماده ۲۴ ـ هیأت مدیره موسسه اعتباری موظف است به منظور پیاده سازی نظام کنترل داخلی مؤثر، فعالیت های کنترلی لازم برای تمامی فرآیندها فعالیت ها و اقدامات در تمام سطوح نظام کنترل داخلی شامل حداقل موارد زیر را تعیین و به روز رسانی نماید:

1 ـ 24 ـ ارزیابی های لازم مبتنی بر گزارشهای عملکرد؛

2 ـ 24 ـ کنترل مناسب فعالیتهای واحدها یا بخشهای مختلف؛

3 ـ 24 ـ کنترلهای فیزیکی شامل تعیین میزان دسترسی به داراییها؛

4 ـ 24 ـ میزان انطباق با حدود تعیین شده برای منابع در معرض ریسک و پیگیری موارد عدم تطبيق؛

۵ ـ ۲۴ ـ فرآیندهای تصویب و سطوح اختیارات؛

۶ ـ ۲۴ ـ فرایند رسیدگیها و رفع مغایرتها.

ماده ۲۵ ـ هیأت عامل مؤسسه اعتباری موظف است نسبت به شناسایی وظایفی که با یکدیگر در تعارض هستند و نیز تفکیک مناسب وظایف و مسئولیت ها اقدام و در صورتی که انجام چنین تفکیکی امکان پذیر نباشد فعالیت های کنترلی مقتضی را ایجاد نماید.

ماده ۲۶ ـ هیأت عامل مؤسسه اعتباری موظف است فعالیت های کنترلی مرتبط با کنترل های عمومی فن آوری و نیز فعالیت های کنترلی مرتبط با موارد زیر را در چارچوب ضوابط ابلاغی بانک مرکزی در خصوص الزامات ناظر بر ریسک فناوری اطلاعات به منظور حصول اطمینان از کامل بودن، صحت و آماده بودن فن آوری پیاده سازی و مستندسازی نماید:

۱ ـ ۲۶ ـ زیرساخت های فن آوری؛

2 ـ 26 ـ مدیریت امنیت اطلاعات؛

۳ ـ ۲۶ ـ توسعه و نگهداری برنامه های کاربردی؛

۴ ـ ۲۶ ـ ارتباط بین سایر سیستمها و برنامه های کاربردی.

ماده ۲۷ ـ هیأت عامل مؤسسه اعتباری موظف است در خصوص اشخاص ارایه دهنده خدمات برون سپاری مربوط به زیر ساخت های فن آوری اطلاعات سازوکارهای اعمال فعالیت های کنترلی فن آوری را منطبق با استانداردها و ضوابط ابلاغی بانک مرکزی در خصوص خدمات برون سپاری شده و الزامات ناظر بر ریسک فناوری اطلاعات ایجاد نماید.

ماده ۲۸ ـ هیأت عامل مؤسسه اعتباری موظف است فرایند کنترلی مشخصی را برای ارتقاء و به روز رسانی سیستم های فن آوری به شرح زیر تعیین نماید:

1 ـ 28 ـ ارزیابی ماهیت ارتقاء و به روز رسانی سیستم ها؛

۲ ـ ۲۸ ـ اجرای آزمایشی قبل از پیاده سازی و ارتقاء؛

۳ ـ ۲۸ ـ تأیید ذی نفعان اصلی قبل از پیاده سازی و ارتقاء؛

۴ ـ ۲۸ ـ مستندسازی صحیح تغییرات انجام شده.

ماده ۲۹ ـ هیأت مدیره موسسه اعتباری موظف است خط مشی ها و رویه های انجام فعالیتهای کنترلی را با توجه به موارد زیر تعیین بازبینی و به روز رسانی نماید:

۱ ـ ۲۹ ـ ریسک های مربوط به تحقق اهداف موسسه اعتباری؛

۲ ـ ۲۹ ـ سمت ها واحدها و فرآیندهایی که خط مشی ها و رویه ها راجع به آنها تدوین شده است؛

3 ـ 29 ـ نقشها و مسئولیتهای مرتبط با ایجاد بکارگیری اجرا و تداوم خط مشی ها و رویه ها؛

۴ ـ ۲۹ ـ اقدامات اصلاحی مورد نیاز به عنوان بخشی از اعمال فعالیتهای کنترلی؛

۵ ـ ۲۹ ـ ایجاد ارتباط بین خط مشی ها و رویه ها؛

۶ ـ ۲۹ ـ شایستگی های مورد نیاز برای کارکنان مسئول اجرای رویه ها و برنامه های آموزشی مورد نیاز

۷ ـ ۲۹ ـ چارچوب زمان بندی اجرای رویه ها

ماده ۳۰ ـ هیأت مدیره موسسه اعتباری موظف است خط مشی های انجام فعالیت های کنترلی مربوط به رویه های مواجهه با بروز استثنائات در خط مشی ها را تعیین بازبینی و در حداقل زمان ممکن به روز رسانی نماید.

ماده ۳۱ ـ هیأت عامل مؤسسه اعتباری موظف است بر اساس خط مشی ها و رویه های موضوع ماده ۲۹ انجام فعالیت های کنترلی را با استفاده از روش هایی نظیر شرح نوشته نمودار گردش کار و چک لیست های کنترلی برای هر یک از عملیات و خدمات بانکی و فعالیت های روزانه کارکنان تدوین نماید. در این خصوص موارد زیر باید مدنظر قرار گیرد:

1 ـ 31 ـ تعیین مدیران یا کارکنان مسئول و پاسخگوی اجرای فعالیت های کنترلی متناسب با واحدهای عملیاتی و کارکردها؛

2 ـ 31 ـ انجام فعالیت های کنترلی بر اساس برنامه زمانبندی مطابق با خط مشی ها و رویه های تعیین شده توسط مدیران یا کارکنان مسئول؛

3 ـ 31 ـ بررسی نتایج اجرای فعالیتهای کنترلی و اعمال اقدامات اصلاحی لازم توسط مدیران یا کارکنان مسئول.

ماده ۳۲ ـ هیأت عامل مؤسسه اعتباری موظف است به منظور کاهش ریسک معاملات غیر مجاز، فعالیت های متقلبانه و جعلی و اختلال در فرآیند عملیات، میزان دسترسی به محلهای خاص نظیر اتاق معاملات، مراکز داده ها و حوزه مبادلات مالی را تعریف و خط مشی ها و رویه های نظارت و فعالیتهای کنترلی مربوط به دسترسی های مذکور را تدوین و عملیاتی نماید.

بیشتر بخوانید:

مقررات مرتبط با دستورالعمل حداقل الزامات نظام کنترل داخلی در موسسات اعتباری

فصل پنجم ـ اطلاعات و ارتباطات

ماده ۳۳ ـ هیأت عامل مؤسسه اعتباری موظف است به منظور پشتیبانی از نظام کنترل داخلی و گزارشگری مالی، برنامه مدیریت داده را تدوین و به تصویب هیأت مدیره برساند برنامه مدیریت داده باید شامل خط مشی ها و رویه هایی برای حداقل مقاصد زیر باشد:

۱ ـ ۳۳ ـ تأیید منابع داده ها؛

2 ـ 33 ـ ایجاد الزامات کیفیت داده ها قبل از ورود آنها به سیستم اطلاعات؛

۳ ـ ۳۳ ـ ارزیابی صحت دادههای اصلی و اطلاعات تولید شده مرتبط در پردازش ها؛

4 ـ 33 ـ پیاده سازی روش های امن انتقال و ذخیره سازی اطلاعات.

ماده ۳۴ ـ هیأت عامل مؤسسه اعتباری موظف است بر اساس خط مشی محسوب هیات مدیره در خصوص مدیریت اطلاعات سیستم های اطلاعاتی یکپارچه را به منظور دریافت داده های مورد نیاز از منابع درونی و بیرونی ایجاد نموده و حداقل ویژگی های زیر را برای تعیین رویه های تبدیل داده ها به اطلاعات مورد توجه قرار دهد:

۱ ـ ۳۴ ـ تأمین کنندگان و استفاده کنندگان اطلاعات؛

2 ـ 34 ـ اهمیت، اولویت و حساسیت ؛

3 ـ 34 ـ فراوانی و تواتر؛

۴ ـ ۳۴ ـ فرایندهای پشتیبان و دوره های نگهداری؛

5 ـ 34 ـ حفظ تقارن اطلاعاتی در خصوص روندها و ریسک های برون سازمانی و درون سازمانی؛

۶ ـ ۳۴ ـ تعریف طبقه بندی داده ها و سطوح دسترسی امن به اطلاعات.

ماده ۳۵ ـ هیأت عامل مؤسسه اعتباری موظف است فرآیند تبادل و انتشار اطلاعات ضروری مرتبط با اهداف گزارشگری مالی رعایت قوانین و مقررات اثربخشی عملیاتی الزامات کنترل مالی، خط مشی ها و فرایندهای کنترل داخلی را برای تعیین مسئولیت های کارکنان در نظام کنترل داخلی و اجرای آنها، طراحی و تدوین نماید.

ماده ۳۶ ـ هیأت عامل مؤسسه اعتباری موظف است فرآیند تبادل و انتشار اطلاعات را با توجه به ماهیت اطلاعات، الزامات قانونی و مقرراتی و امکان بهره گیری از راه حلهای فن آوری بر اساس روش های زیر انتخاب نماید:

۱ ـ ۳۶ ـ اطلاع رسانی در خصوص مأموریت چشم انداز و اهداف مؤسسه اعتباری از طریق تابلو اعلانات یا پایگاه اطلاع رسانی مؤسسه اعتباری؛

۲ ـ ۳۶ ـ برگزاری جلسات و دوره های آموزشی در خصوص موضوعات کنترل داخلی و سایر موضوعات مرتبط با آن؛

۳ ـ ۳۶ ـ ایجاد درگاه اطلاع رسانی داخلی مختص موضوعات کنترل داخلی شامل آیین رفتار حرفه ای، نقش ها و مسئولیت های کاری خط مشی ها فرآیندها و دیگر موضوعات مرتبط؛

ماده ۳۷ ـ هیأت مدیره مؤسسه اعتباری موظف است به منظور گزارش هرگونه خطای مشاهده شده و نیز موضوعات مربوط به گزارشگری مالی و یا سایر موضوعاتی که می تواند بر کنترل داخلی اثر گذار باشد، خط مشی لازم در خصوص نحوه حمایت و حفاظت از افشاگران درون سازمان با در نظر گرفتن حفظ محرمانگی و اطمینان از عدم شناسایی آنها تعیین نموده و سازوکارهای مطمئنی برای ایجاد مسیرهای ارتباطی ویژه نظیر ایجاد خط ارتباط اضطراری مستقیم با مدیریت مهیا نماید.

ماده ۳۸ ـ هیأت مدیره مؤسسه اعتباری موظف است فرآیندهایی اتخاذ نماید تا اطلاعات مربوط و به موقع به اشخاص برون سازمانی نظیر سهامداران بانک مرکزی و سایر مقامات نظارتی ذی صلاح، مشتریان تحلیل گران مالی و سایر ذی نفعان اطلاع رسانی و در چارچوب قانون و مقررات مربوط مسیرهای ارتباطی متناسب را برای اشخاص مزبور در کنار مسیرهای ارتباطی معمول با افشاگران برون سازمانی فراهم آورد.

ماده ۳۹ ـ هیأت مدیره موسسه اعتباری موظف است در کنار مسیرهای تبادل اطلاعات معمول با افشاگران برون سازمانی، سازوکارهایی را به منظور ایجاد مسیرهای ارتباطی مجزا نظیر خط ارتباط اضطراری مستقیم با مدیریت با حفظ محرمانگی و بدون افشای نام فراهم نماید.

بیشتر بخوانید:

مقررات مرتبط با دستورالعمل حداقل الزامات نظام کنترل داخلی در موسسات اعتباری

فصل ششم ـ فعالیتهای نظارتی

ماده ۴۰ ـ هیأت مدیره مؤسسه اعتباری موظف است برنامههای ارزیابی مستمر و موردی در خصوص فعالیتهای نظارتی را متناسب با شرایط مؤسسه اعتباری تعیین نموده و تناسب و کفایت برنامه های مذکور را با در نظر گرفتن حداقل موارد زیر مورد بررسی قرار دهد:

۱ ـ ۴۰ ـ الزامات مقرراتی مؤسسه اعتباری و اهداف نظام کنترل داخلی؛

۲ ـ ۴۰ ـ سرعت تغییرات محیط قانونی و یا کسب و کار مؤسسه اعتباری؛

۴ ـ ۴۰ ـ نتایج حاصل از سوابق ارزیابیهای مربوط به اثربخشی کنترلهای داخلی؛

۴ ـ ۴۰ ـ معیارهای پایش مستمر فرآیندهای سطوح نظام کنترل داخلی؛

۵ ـ ۴۰ ـ تغییرات مؤثر بر اجزای نظام کنترل داخلی

ماده ۴۱ ـ هیأت مدیره مؤسسه اعتباری موظف است در صورت وقوع هر یک از موارد زیر دفعات ارزیابی های موردی و فعالیت های نظارتی را افزایش دهد:

۱ ـ ۴۱ ـ شناسایی ناکارآمدی های موجود در نظام کنترل داخلی توسط فعالیتهای نظارتی؛

2 ـ 41 ـ نقض حدود مقرر مربوط به شاخصهای کلیدی عملکرد به دلیل ناکارآمدی نظام کنترل داخلی؛

ماده ۴۲ ـ هیأت مدیره موسسه اعتباری موظف است با پیاده سازی فعالیتهای نظارتی و نتایج حاصل از آن حداقل موارد زیر را انجام دهد

۱ ـ ۴۲ ـ شناسایی تغییرات ضروری در طراحی و اجرای نظام کنترل داخلی در نتیجه فعالیت های نظارتی؛

۲ ـ ۴۲ ـ ارزیابی تغییرات در اشخاص فرآیندها و فن آوری که میتواند بر طراحی و اجرای کنترل ها تأثیر گذارد؛

3 ـ 42 ـ ارزیابی اقدامات یا فعالیتهای کنترلی در سطح کلیه فرآیندها و فعالیتهای مؤسسه اعتباری.

ماده ۴۳ ـ هیأت عامل مؤسسه اعتباری موظف است به عنوان بخشی از ارزیابی مستمر، سامانه ها و داشبوردهای مدیریتی را برای مدیران و سرپرستانی که به طور مستقیم وظیفه پاسخگویی نسبت به فرآیندها و فعالیتهای نظارتی را بر عهده دارند با استفاده از شاخصها و امتیازها ایجاد نماید.

داشبورد مذکور باید شامل حداقل اطلاعات زیر باشد:

1 ـ 43 ـ امتیازدهی عملکرد اجزای نظام کنترل داخلی؛

2 ـ 43 ـ شاخص ها و یا اطلاعات با اهمیت برای انجام ارزیابی و پیگیری های بعدی؛

۳ ـ ۴۳ ـ تناوب ارزیابیهای انجام شده و آخرین ارزیابی؛

۴ ـ ۴۳ ـ ناکارآمدی های شناسایی شده و اصلاحات مربوط.

ماده ۴۴ ـ هیأت عامل مؤسسه اعتباری موظف است با بهره گیری از فن آوری اطلاعات برنامه کاربردی پایش خودکار (Automated monitoring) نظام کنترل داخلی را تهیه و مورد استفاده قرار دهد برنامه کاربردی مذکور شامل حداقل موارد زیر می باشد:

۱ ـ ۴۴ ـ بررسی و تطبیق مبادلات و تراکنش ها با استانه های از پیش تعریف شده به منظور شناسایی مبادلات و تراکنش های غیرعادی؛

2 ـ 44 ـ پایش مبادلات و تراکنش ها برای بررسی روندها یا الگوها؛

۳ ـ ۴۴ ـ ارزیابی شاخص ها و معیارهای عملکرد در راستای بهبود فرآیندهای کسب و کار.

ماده ۴۵ ـ هیأت عامل مؤسسه اعتباری موظف است ارزیابیهای موردی کنترل های داخلی را از طریق روش هایی نظیر موارد زیر انجام دهد:

۱ ـ ۴۵ ـ انجام بررسی ها و بازدیدهای نظارتی بدون اطلاع قبلی؛

۲ ـ ۴۵ ـ انجام بررسیهای تطبیقی کنترل داخلی میان واحدهای عملیاتی مشابه در مؤسسه اعتباری؛

۳ ـ ۴۵ ـ بکارگیری اشخاص مستقل بیرونی به منظور انجام ارزیابی ویژه.

ماده ۴۶ ـ واحد حسابرسی داخلی مؤسسه اعتباری موظف است ارزیابی های جداگانه ای را در خصوص اجزای

اصلی نظام کنترل داخلی انجام دهد.

ماده ۴۷ ـ هیأت عامل مؤسسه اعتباری موظف است رویه مناسبی به منظور بررسی شکایات مشتریان با هدف

بررسی ضعفهای نظام کنترل داخلی ایجاد و به تصویب هیأت مدیره برساند.

بیشتر بخوانید:

مقررات مرتبط با دستورالعمل حداقل الزامات نظام کنترل داخلی در موسسات اعتباری

فصل هفتم گزارشگری

ماده ۴۸ ـ هیأت مدیره موسسه اعتباری موظف است شیوه های ناظر بر تهیه گزارش ناکارآمدی های نظام کنترل داخلی را تعیین نموده و پس از بررسی نتایج گزارش های مذکور بر برنامه ها و اقدامات اصلاحی هیأت عامل در این خصوص نظارت عالی نماید.

ماده ۴۹ ـ هیأت عامل مؤسسه اعتباری موظف است ناکارآمدی های نظام کنترل داخلی را ارزیابی به هنگام نموده و بر اساس معیارهایی نظیر ماهیت، منشا و میزان اهمیت ناکارآمدی به هیأت مدیره گزارش و اقدامات اصلاحی مقتضی را پیشنهاد نماید.

ماده ۵۰ ـ واحدهای سازمانی و افراد مسئول اجرای کنترل ها موظفند گزارشی از موارد عدم رعایت کنترلهای تعریف شده بر اساس این دستورالعمل را در مقاطع زمانی حداکثر سه ماهه به واحدهای مدیریت ریسک و حسابرسی داخلی ارایه نمایند.

ماده ۵۱ ـ واحد مدیریت ریسک مؤسسه اعتباری موظف است گزارشات ماخوذه از اجرای مفاد این دستورالعمل را در فرایند شناسایی اندازه گیری ،پایش کنترل و گزارشگری ریسک های مؤسسه اعتباری نظیر ریسک ،عملیاتی اعتباری نقدینگی و بازار مد نظر و مورد استفاده قرار دهد.

ماده ۵۲ ـ واحد حسابرسی داخلی مؤسسه اعتباری موظف است فعالیت کنترلی مرتبط با اجرای سیاستها، خط مشی ها و رویه های اجرایی مصوب هیأت مدیره و مسئول اجرای کنترل های مذکور را در برنامه حسابرسی تعیین و گزارش موارد با اهمیت از عدم اجرای صحیح فعالیتهای یادشده را در مقاطع زمانی حداکثر سه ماهه به کمیته حسابرسی ارایه نماید.

ماده ۵۳ ـ مدیر ارشد حسابرسی داخلی موظف است برنامه حسابرسی داخلی را مبتنی بر ریسک و در مقاطع زمانی حداکثر سالیانه تدوین و گزارش نماید به نحوی که اولویت های فعالیت حسابرسی داخلی در راستای اهداف و راهبردهای مصوب هیأت مدیره تعیین شود.

تبصره ـ برنامه حسابرسی داخلی موضوع این ماده در صورت بروز هرگونه تغییر در اهداف، اجزا و سطوح نظام کنترل داخلی مؤسسه اعتباری در حین اجرای برنامه حسابرسی داخلی باید متناسب با تغییرات مذکور در حداقل زمان ممکن به روز رسانی گردد.

ماده ۵۴ ـ واحد حسابرسی داخلی مؤسسه اعتباری موظف است گزارش یافته های برنامه حسابرسی را حسب مورد به مسئولین واحدهای عملیاتی یا هیأت عامل مؤسسه اعتباری ارایه نماید و پاسخ ها و اقدامات انجام شده واحد عملیاتی را در خصوص نقاط ضعف کنترلهای داخلی مربوط مستندسازی نماید.

تبصره ـ در صورت عدم رفع نقاط ضعف کنترل های داخلی موضوع این ماده، مدیر ارشد حسابرسی داخلی موظف است مراتب را به کمیته حسابرسی گزارش نماید.

ماده ۵۵ ـ واحد حسابرسی داخلی مؤسسه اعتباری موظف است در صورت بروز تقلب و سوء استفاده از دارایی های مؤسسه اعتباری، مراتب را به واحد مدیریت ریسک گزارش دهد و واحد مذکور موظف است موضوع را در فرآیند مدیریت ریسک عملیاتی مدنظر و مورد استفاده قرار دهد به گونه ای که از بروز مجدد تقلب و سوء استفاده مذکور ممانعت به عمل آید.

ماده ۵۶ ـ مدیر ارشد واحد حسابرسی داخلی مؤسسه اعتباری موظف است در صورت با اهمیت بودن نقاط ضعف اجرای سازوکارهای کنترلی مورد اشاره در این دستورالعمل یا بروز تقلب با اهمیت، اقدامات اصلاحی مقتضی مربوط به نظام کنترل داخلی را به کمیته حسابرسی پیشنهاد نماید.

تبصره ۱ ـ کمیته حسابرسی مؤسسه اعتباری موظف است گزارش ارایه شده موضوع این ماده را بررسی و تا صدور مصوبه هیأت مدیره پیگیری نماید.

تبصره ۲ ـ مدیر ارشد حسابرسی داخلی موظف است مصوبه هیأت مدیره موضوع تبصره (۱) این ماده را به مدیریت کل نظارت بر بانک ها و مؤسسات اعتباری بانک مرکزی و حسابرس مستقل ارسال نماید.

ماده ۵۷ ـ مدیر ارشد حسابرسی داخلی مؤسسه اعتباری موظف است موارد بسیار با اهمیت ناکارآمدی های نظام کنترل داخلی را در مقاطع زمانی شش ماهه یا حسب درخواست بانک مرکزی، به بانک مرکزی گزارش نماید.

ماده ۵۸ ـ مدیر ارشد رعایت قوانین و مقررات (تطبیق) موظف است گزارش های مربوط به رعایت مفاد این دستورالعمل و مصادیق عدم رعایت آن را به کمیته رعایت قوانین و مقررات (تطبیق) ارایه نموده و پس از تأیید در کمیته یادشده، مراتب را در هیأت مدیره برای تصویب، گزارش نماید و مصوبه هیأت مدیره را به مدیریت کل نظارت بر بانکها و مؤسسات اعتباری بانک مرکزی ارسال کند.

ماده ۵۹ ـ هیأت مدیره مؤسسه اعتباری موظف است به صورت سالانه گزارش کنترل داخلی مشتمل بر نحوه استقرار نظام کنترل داخلی بر اساس مفاد این دستورالعمل و نتایج حاصل از ارزیابی اثربخشی آن را به بانک مرکزی و حسابرس مستقل ارایه دهد.

فصل هشتم ـ سایر موارد

ماده ۶۰ ـ هیأت مدیره مؤسسه اعتباری موظف است ضوابط داخلی پیشنهادی مدیر ارشد حسابرسی داخلی ناظر بر اجرای کارا و اثربخش این دستورالعمل را ظرف مدت شش ماه از تاریخ ابلاغ آن تصویب نماید و نسخه ای از آن را به بانک مرکزی ارسال نماید.

ماده ۶۱ ـ تخطی از احکام این دستور العمل موجب اعمال مجازاتهای مقرر در قوانین و مقررات ذیربط می شود.

«دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترل های داخلی در مؤسسات اعتباری» در (٦١) ماده و (٤) تبصره در پنجاه و یکمین جلسه مورخ ۱٤۰۲/۱۱/۲۹ کمیسیون مقررات و نظارت مؤسسات اعتباری به تصویب رسید و پس از تاریخ ابلاغ لازم الاجرا بوده و از تاریخ لازم الاجرا شدن این دستورالعمل رهنمودهایی برای نظام مؤثر کنترل داخلی در مؤسسات اعتباری موضوع بخشنامه شماره 1172 مورخ ۱۳۸٦/٣/٣١ و سایر ضوابط و مقررات مغایر با دستورالعمل حاضر منسوخ می گردد.

بیشتر بخوانید: