بخشنامه بانک مرکزی در خصوص دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترل های داخلی در موسسات اعتباری

بخشنامه بانک مرکزی در خصوص دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترل های داخلی در موسسات اعتباری

مصوب ۱۴۰۲,۱۲,۲۷

با اصلاحات و الحاقات بعدی

با سلام؛

احتراماً، همان گونه که مستحضرند، امروزه کنترل های داخلی از آن حیث که یکی از الزامات تحقق اهداف در هر سازمانی محسوب می شود، از اهمیت بسیاری برخوردار است. طبیعی است این مهم در مؤسسات اعتباری بنا به ماهیت خاص فعالیت و اقتضائات آن، دارای نقش و جایگاه بسیار مهم و اثرگذارتری می باشد. بنا به همین ضرورت، «رهنمودهایی برای نظام مؤثر کنترل داخلی در مؤسسات اعتباری» توسط بانک مرکزی تدوین و طی بخشنامه شماره مب‏‏/۱۱۷۲ مورخ ۱۳۸۶/۳/۳۱ جهت اجرا و استقرار نظام کنترل های داخلی به شبکه بانکی کشور ابلاغ شد. با عنایت به گذشت سالیان متمادی از ابلاغ رهنمود مذکور و تغییر شرایط و مقتضیات و اسناد بین المللی بالادستی، تدوین ضوابطی روزآمدتر درخصوص نظام مؤثر کنترل داخلی ایجاب می نمود. بر همین اساس، بر مبنای مهم ترین استاندارد بین المللی در زمینه نظام کنترل های داخلی منتشره در سال ۲۰۱۳ توسط «کارگروه سازمان های پشتیبان مالی کمیسیون تردوی» موسوم به COSO تحت عنوان «چارچوب کنترل های داخلی یکپارچه» و همچنین سند «چارچوب سیستم کنترل داخلی برای بانک ها» از انتشارات کمیته بال در سال ۱۹۹۸ و نیز با نظرداشت مقررات کنترل های داخلی حاکم بر بانک ها در برخی از کشورهای منتخب، «دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترل های داخلی در مؤسسات اعتباری» تدوین و در جلسه مورخ ۱۴۰۲/۱۱/۲۹ کمیسیون مقررات و نظارت مؤسسات اعتباری بانک مرکزی مورد تأیید قرار گرفت که به پیوست نسخه ای از آن جهت استحضار ایفاد می گردد. پیش از پرداختن به اهم احکام دستورالعمل موصوف، ذکر ملاحظات ذیل ضروری می نماید : الف ) دستورالعمل مذکور، حداقل الزامات مربوط به طراحی و اجرای نظام کنترل های داخلی ایمن و محتاطانه بوده و یک راهنمای جامع متحدالشکل درخصوص کنترل های داخلی را برای تمامی مؤسسات اعتباری ارائه نمی دهد. چرا که طراحی و اجرای نظام کنترل های داخلی به عوامل مختلفی از جمله نوع و اندازه و ساختار و میزان ریسک پذیری مؤسسه اعتباری بستگی دارد. ب ) چنان چه اهداف، اجزا و سطوح نظام کنترل داخلی به خوبی برنامه ریزی، ترسیم و پیاده سازی شوند، می توان شاهد استقرار یک نظام کنترل داخلی مؤثر در مؤسسه اعتباری بود و چنانچه بازخورد مناسبی از این نظام بر اساس گزارش های کارایی و اثربخشی هر یک از اهداف، اجزا و سطوح تهیه و نسبت به رفع نواقص و ارتقاء لایه ها و ساز و کارهای کنترلی اقدام گردد، می توان گفت که نظام کنترل داخلی مطلوبی در مؤسسه اعتباری شکل گرفته است. بنابراین استقرار نظام کنترل داخلی یک فرآیند مستمر و پویا است که همواره باید کارایی و اثربخشی آن مورد بررسی قرار گیرد و راهکارهای مناسب جهت ارتقاء آن ارایه گردد. پ ) با اجرای صحیح نظام کنترل داخلی، مؤسسه اعتباری از سیاست های جامع و کاملی که با ماهیت و پیچیدگی فعالیت های مؤسسه اعتباری سازگار بوده و به وسیله هیأت مدیره مصوب شده است، برای مدیریت محتاطانه ریسک های عمده در حوزه فعالیت های تجاری و عملیاتی برخوردار خواهد بود. ت ) پیاده سازی نظام کنترل های داخلی مستلزم باور، آگاهی و درک جامعی از مفاهیم حاکمیت شرکتی و خودارزیابی و خودکنترلی بوده که به صورت مستمر به ارزیابی فعالیت ها و آثار مالی و غیرمالی آن فعالیت ها بر محیط داخلی و بیرونی بپردازد. با ذکر ملاحظات فوق، خاطرنشان می سازد دستورالعمل مذکور که مشتمل بر (۸) فصل، (۶۱) ماده و (۴) تبصره است و انتظار می رود از رهگذر اجرای دقیق و کامل آن در مؤسسات اعتباری، نظام کنترل داخلی یکپارچه ای پیاده سازی گردد، متضمن نکات و موارد پراهمیتی از جمله احکام ذیل است: ۱ - تعریف نظام کنترل داخلی دایر بر این که فرآیندی است که توسط هیأت مدیره، هیأت عامل و دیگر کارکنان مؤسسه اعتباری برای کسب اطمینان معقول از دستیابی به اهداف مربوط به عملیات، گزارشگری و رعایت قوانین و مقررات، طراحی و مستقر شده است و شامل سه بخش اهداف، اجزا و سطوح می باشد. ۲ - اهداف نظام کنترل داخلی شامل؛ الف) اهداف عملیاتی که بیانگر اثربخشی و کارآیی فعالیت های مؤسسه اعتباری در استفاده از منابع و نیز حفاظت از دارایی ها در برابر سوءاستفاده و تقلب می باشد. ب) اهداف گزارشگری که به ارایه اطلاعات مفید و سودمند به منظور اتخاذ تصمیم های صحیح و پیشگیری از گمراهی ذی نفعان از طریق تهیه گزارش های مالی و غیرمالی به موقع، قابل اتکاء، مربوط و شفاف به صورت درون سازمانی و برون سازمانی معطوف است. ج) اهداف رعایت قوانین و مقررات که به منظور حصول اطمینان از رعایت تمامی قوانین، مقررات، استانداردهای لازم الاجرا برای مؤسسه اعتباری در داخل و خارج از کشور که مؤسسه اعتباری در آن ها دارای بانک مستقل فرعی، شعبه و یا دفتر نمایندگی است، ترسیم می گردد. ۳ - تبیین اجزای نظام کنترل داخلی در مؤسسه اعتباری شامل پنج جزء اصلی؛ محیط کنترلی، ارزیابی ریسک، فعالیت های کنترلی، اطلاعات و ارتباطات و فعالیت های نظارتی. ۴ - تبیین سطوح نظام کنترل داخلی برای مؤسسه اعتباری شامل؛ مؤسسه اعتباری، ادارات مرکزی، سرپرستی مناطق، شعب و وظایف و کارکردها است. قطع نظر از مراتب فوق، در طراحی و اجرای صحیح نظام جامع کنترل های داخلی، انجام اقدامات ذیل توسط مؤسسه اعتباری ضروری و مورد انتظار است: ۱ - ماهیت متفاوت کسب و کار هر مؤسسه اعتباری و لزوم طراحی کنترل های داخلی متناسب با آن. ۲ - بهره گیری از تجارب کارشناسان خبره و اجرای گام به گام هر فصل از دستورالعمل حاضر متناسب با ساختار و روابط و متعاقباً ارزیابی کارایی و اثربخشی اجرای هر یک از فصول دستورالعمل؛ ۳ - شناسایی نقاط قوت و ضعف نظام کنترل داخلی مؤسسه اعتباری و اقدامات لازم جهت رفع نقاط ضعف، با توجه به اهمیت آثار مالی و غیرمالی آن ها بر محیط داخلی و بیرونی و با بهره گیری از تجزیه و تحلیل هزینه فایده؛ ۴ - تشریح و تفکیک وظایف واحدهای حسابرسی داخلی، مدیریت ریسک، تطبیق (رعایت قوانین و مقررات) و مبارزه با پولشویی توسط مؤسسه اعتباری؛ ۵ - برگزاری دوره های آموزشی برای کارکنان در زمینه های دانش، ابزارها و فعالیت های کنترلی در نظام کنترل های داخلی؛ ۶ - گزارش دهی مناسب به هیأت مدیره برای انجام دقیق نظارت بر چارچوب مدیریت ریسک مؤسسه اعتباری. بدین منظور اختیارات و مسئولیت های هر وظیفه کنترلی باید به نحو صحیحی مستند شود. مسئول هر وظیفه کنترلی به صورت دوره ای مستندات را بازنگری کرده و پیشنهاد تغییرات لازم برای آن را به هیأت مدیره یا مدیریت ارشد برای صدور مجوز آن ارائه نماید. ۷ - تعیین شفاف و صریح نقش ها، مسئولیت ها و نحوه پاسخگویی در قبال اجرای سیاست ها. ۸ - تدوین رویه ها و فرآیندهای مناسب به منظور اجرای سیاست ها در هر مؤسسه اعتباری. این موارد باید به تفصیل و به صورت دفترچه راهنمای رویه ها و فرآیندهای انجام کار مستند شود و به صورت دوره ای مورد بازنگری قرار گیرد تا انعکاس دهنده سیاست های جاری مؤسسه اعتباری باشد. همچنین باید شیوه های مناسبی به منظور نظارت بر رعایت و پیروی از سیاست ها و رویه های تدوین شده وجود داشته باشد. انحراف از این سیاست ها و رویه ها به صورت مستقل بررسی شده و از آن ها گزارش تهیه و به واحدهای مربوطه ارسال گردد. با عنایت به مراتب مذکور، مقتضی است دستور فرمایند مراتب به قید تسریع و با لحاظ مفاد بخشنامه شماره ۹۶/۱۴۹۱۵۳ مورخ ۱۳۹۶/۵/۱۶ به تمامی واحدهای ذیربط آن بانک‏‏‏‏‏/مؤسسه اعتباری غیربانکی ابلاغ شده و بر حسن اجرای آن نیز نظارت دقیق به عمل آید.‏‏/۶۳۳۷۶۰۲‏‏/حف مدیریت کل مقررات، مجوزهای بانکی و مبارزه با پولشویی

اداره مطالعات و مقررات بانکی

حمیدرضا غنی آبادی - الهام چیت سازان دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترل های داخلی در مؤسسات اعتباری به استناد مواد (۶۳) و (۹۴) «آیین نامه نحوه تأسیس و اداره مؤسسات اعتباری غیردولتی» مصوب جلسه مورخ ۱۴۰۰/۰۴/۲۲ شورای پول و اعتبار، بند (۲-۶) ذیل ماده (۲)، مواد (۲۹)، (۴۲) و (۶۶) الی (۶۸) «دستورالعمل الزامات ناظر بر حاکمیت شرکتی در بانک های دولتی» مصوب مجمع عمومی بانک ها، بند (۲-۶) ذیل ماده (۲)، مواد (۳۰)، (۴۴) و (۶۸) الی (۷۰) «دستورالعمل الزامات ناظر بر حاکمیت شرکتی در مؤسسات اعتباری غیردولتی» مصوب جلسه ۱۳۹۶/۲/۱۲ شورای پول و اعتبار و به منظور تقویت نظام کنترل داخلی در دستیابی به اهداف عملیاتی، گزارشگری مالی و رعایت قوانین و مقررات در مؤسسات اعتباری، «دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترل های داخلی در مؤسسات اعتباری» که از این پس به اختصار «دستورالعمل» نامیده می شود به شرح زیر تدوین می گردد: فصل اول ـ تعاریف و کلیات ماده ۱ - اصطلاحات و تعاریف به کار رفته در ماده (۱) «دستورالعمل الزامات ناظر بر حاکمیت شرکتی در مؤسسات اعتباری غیردولتی» و «دستورالعمل الزامات ناظر بر حاکمیت شرکتی در بانک های دولتی» با همان معنی در این دستورالعمل به کار برده می شود. سایر اصطلاحات که در این دستورالعمل ذکر شده است، در معانی مشروح زیر به کار می روند: ۱ - ۱ - نظام کنترل داخلی: چارچوب و فرآیندی جامع است که توسط هیأت مدیره مؤسسه اعتباری، هیأت عامل و سایر کارکنان برای کسب اطمینان معقول از دستیابی به اهداف مربوط به عملیات، گزارشگری و رعایت قوانین و مقررات، طراحی و مستقر شده است که شامل سه بخش اهداف، اجزا و سطوح می باشد. ۱ - ۲ - اهداف نظام کنترل داخلی: ۱ - ۲- ۱ - اهداف عملیاتی: دستیابی به اثربخشی و کارآیی فعالیت های مؤسسه اعتباری و نیز حفاظت از دارایی ها در برابر سوءاستفاده و تقلب. ۲ - ۲- ۱ - اهداف گزارشگری: ارایه اطلاعات مفید و سودمند به منظور افزایش آگاهی، اتخاذ تصمیم های صحیح و پیشگیری از گمراهی ذی نفعان از طریق تهیه گزارش های مالی و غیرمالی به موقع، قابل اتکاء، مربوط، قابل فهم و شفاف به صورت درون سازمانی و برون سازمانی. ۳ - ۲- ۱ - اهداف رعایت قوانین و مقررات: حصول اطمینان از رعایت تمامی قوانین، مقررات و استانداردهای لازم الاجرا توسط مؤسسه اعتباری. ۱ -۳ - اجزای نظام کنترل داخلی ۱ - ۳- ۱ - محیط کنترلی: مجموعه ای از ضوابط، فرآیندها و ساختارهایی که مبنای پیاده سازی نظام کنترل داخلی را در مؤسسه اعتباری فراهم می کند. ۲ - ۳- ۱ - ارزیابی ریسک: فرآیندی پویا و مستمر برای شناسایی، اندازه گیری و تحلیل ریسک های ناشی از رویدادهای بیرونی و درونی که مانع از دستیابی مؤسسه اعتباری به اهداف خود و ایجاد مخاطره برای عملیات مؤسسه اعتباری می گردد. ۳ - ۳- ۱ - فعالیت های کنترلی: مجموعه ای از خط مشی ها، رویه های پیشگیرانه و کشف کننده و اقدامات اصلاحی است که به منظور حصول اطمینان از اجرای دستورات هیأت مدیره و هیأت عامل در تمام سطوح فعالیت های مؤسسه اعتباری اتخاذ می شود. ۴ - ۳- ۱ - اطلاعات و ارتباطات: اطلاعات شامل داده های پردازش شده در راستای تحقق اهداف نظام کنترل داخلی می باشد که توسط هیأت مدیره و هیأت عامل مؤسسه اعتباری به منظور راهبری آن بکار گرفته می شود. ارتباطات شامل سیستم هایی است که امکان تبادل اطلاعات را درون مؤسسه اعتباری و اشخاص برون سازمانی نظیر مشتریان، سهامداران و مقام ناظر بانکی فراهم می کند. ۵ - ۳- ۱ - فعالیت های نظارتی: مجموعه فعالیت هایی که مؤسسه اعتباری به منظور ارزیابی های مستمر یا موردی از کارکرد صحیح نظام کنترل داخلی و میزان اثربخشی آن بکار می گیرد. ۱ - ۴ - سطوح نظام کنترل داخلی: شامل مؤسسه اعتباری، ادارات مرکزی، سرپرستی مناطق، شعب، وظایف و فرآیندها. ۱ - ۵ - آیین رفتار حرفه ای: مجموعه ای از هنجارهای حرفه ای پذیرفته شده و رفتارهای ناهنجار منع شده، الزامات مقرراتی ناظر بر صلاحیت حرفه ای (خبرگی)، تردید و مراقبت حرفه ای، [پاورقی ۱] رازداری، درستکاری، استقلال رأی، واقع بینی و بی طرفی. پاورقی ۱- رعایت استانداردهای فنی و اخلاقی، تلاش جهت ارتقای صلاحیت و کیفیت خدمات و ایفای مسئولیت حرفه ‌ای به بهترین شکل ممکن بر مبنای توانایی فرد، از جمله ویژگی‌ های فرآیندی است که باید حین اجرای فعالیت حسابرسی داخلی انجام شوند و همچنین در برابر منافع عموم سازگار باشند. ۱ - ۶ - برنامه جانشین پروری: مجموعه تدابیر لازم به منظور پرورش اشخاص واجد صلاحیت جهت تصدی شغل های کلیدی مؤسسه اعتباری نظیر اعضای هیأت عامل، مدیران ارشد مالی، ریسک، رعایت قوانین و مقررات، حسابرسی داخلی. ۱ - ۷ - کارکنان مسئول وظایف کنترلی: کارکنانی که به نحوی از انحا در شرح وظایف خود، یک یا چند وظیفه کنترلی در خصوص فعالیت های مؤسسه اعتباری را برعهده دارند. ۱ - ۸ - کنترل های عمومی فن آوری: مجموعه ای از اقدامات شامل ساماندهی و اجرا، مستندسازی رویه ها، نحوه دسترسی به تجهیزات و فایل های اطلاعاتی و سایر کنترل های مربوط به فن آوری اطلاعات و سامانه های اطلاعاتی می باشد. ۱ - ۹ - افشاگران: به اشخاصی گفته می شود که اقدامات و فعالیت های نادرست، غیرقانونی و سایر اعمالی که منافع ذی نفعان مؤسسه اعتباری را با مخاطره مواجهه می سازد، افشا می نمایند. ۱ - ۱۰ - تضاد منافع: هر گونه تضاد میان منافع مؤسسه اعتباری، سهامداران یا منافع مشتریان با منافع هیأت مدیره و هیأت عامل، به نحوی که دستیابی به هر یک مستلزم چشم پوشی از تمام یا بخشی از دیگری باشد. ماده ۲ - هیأت مدیره مؤسسه اعتباری موظف است برای استقرار نظام کنترل های داخلی، سطوح و تعاملات لایه های دفاعی مشتمل بر لایه اول: واحدهای عملیاتی، لایه دوم: واحدهای نظارتی، لایه سوم; حسابرسی داخلی و لایه چهارم: بانک مرکزی و حسابرس مستقل را در چارچوب این دستورالعمل طراحی، استقرار و به روزرسانی نماید. فصل دوم ـ محیط کنترلی ماده ۳ - هیأت مدیره مؤسسه اعتباری موظف است از طریق انجام حداقل اقدامات زیر از فراهم بودن محیط کنترلی مؤثر اطمینان حاصل نماید: ۳ - ۱ - تعیین آیین رفتار حرفه ای و ابلاغ آن؛ ۳ - ۲ - تعیین ساز و کارهای نظارت هیأت مدیره بر نظام کنترل داخلی؛ ۳ - ۳ - طراحی ساختار سازمانی و خطوط گزارشگری؛ ۳ - ۴ - تعیین راهبردهای جذب، توسعه و نگهداری کارکنان با صلاحیت؛ ۳ - ۵ - تعیین سازوکارهای پاسخگویی در قبال مسئولیت های کنترل داخلی برای تمامی سطوح مؤسسه اعتباری؛ ماده ۴ - هیأت مدیره مؤسسه اعتباری موظف است در تعیین آیین رفتار حرفه ای، هنجارهای حرفه ای پذیرفته شده و رفتارهای ناهنجار منع شده با تأکید بر اصول درستکاری و ارزش های اخلاقی را مشخص و به تمامی سطوح مؤسسه اعتباری ابلاغ نماید. اشخاص ارایه دهنده خدمات برون سپاری شده مؤسسه اعتباری و شرکای تجاری نیز باید از آیین رفتار حرفه ای مؤسسه اعتباری آگاهی داشته باشند. ماده ۵ - هیأت مدیره مؤسسه اعتباری باید فرآیندهای مناسب را به منظور ارزیابی عملکرد فردی و گروهی در پایبندی به آیین رفتار حرفه ای تعیین نماید. ماده ۶ - هیأت عامل مؤسسه اعتباری در اجرای آیین رفتار حرفه ای مصوب هیأت مدیره موظف است اقدامات زیر را انجام دهد: ۶ - ۱ - تهیه و تصویب راهنمای اجرایی برای بکارگیری آیین رفتار حرفه ای؛ ۶ - ۲ - ترویج و آموزش آیین رفتار حرفه ای برای تمامی کارکنان و تقویت پاسخگویی برای رفتار مسؤولانه؛ ۶ - ۳ - فراهم نمودن بسترهای لازم برای طرح موضوعات و سؤالات مرتبط با بکارگیری آیین رفتار حرفه ای توسط کارکنان؛ ۶ - ۴ - پیاده سازی فرآیندهای ارزیابی عملکرد و میزان پایبندی به آیین رفتار حرفه ای؛ ۶ - ۵ - شناسایی انحراف از آیین رفتار حرفه ای و ارایه گزارش به موقع انحرافات و اقدامات اصلاحی به هیأت مدیره. ماده ۷ - هیأت مدیره مؤسسه اعتباری مسئولیت نظارت عالی بر اجرای سیاست ها و دستیابی به اهداف راهبردی مؤسسه اعتباری، رعایت الزامات قانونی و مقرراتی و نحوه استقرار و پیاده سازی اجزای نظام کنترل داخلی را بر عهده دارد. ماده ۸ - هیأت مدیره مؤسسه اعتباری موظف است در اجرای تکالیف هیأت مدیره در قبال نظام کنترل های داخلی، کمیته حسابرسی را در چارچوب ضوابط ابلاغی بانک مرکزی تشکیل دهد. وظایف کمیته مذکور در چارچوب این دستورالعمل عبارتند از: ۸ - ۱ - نظارت بر اثربخشی نظام کنترل داخلی در خصوص گزارشگری مالی و ارزیابی ریسک ها و بررسی ناکارآمدی های قابل توجه و ضعف های بااهمیت آن؛ ۸ - ۲ - ارزیابی مدیران در زمینه موضوعات با اهمیت نظام کنترل داخلی، نظیر گزارشگری مالی و اقدامات اصلاحی مورد نیاز؛ ۸ - ۳ - ایجاد ارتباطات بین بخش های مختلف مؤسسه اعتباری با واحد حسابرسی داخلی در مورد هرگونه موضوع با اهمیت؛ ۸ - ۴ - نظارت بر کیفیت گزارشگری مالی و افشاء اطلاعات؛ ۸ - ۵ - بررسی و پیشنهاد به کارگیری و حق الزحمه حسابرس مستقل؛ ۸ - ۶ - تعامل با بانک مرکزی و حسابرس مستقل. ماده ۹ - کمیته حسابرسی موظف است گزارش های ارزیابی ریسک واحد حسابرسی داخلی، گزارش های ریسک ارایه اطلاعات نادرست در گزارشگری مالی و اطلاعات به دست آمده از گزارش های افشاگران نقض قوانین و مقررات را به دقت بررسی و نتایج را به همراه پیشنهادهای اصلاحی به هیأت مدیره ارایه نماید. ماده ۱۰ - هیأت مدیره مؤسسه اعتباری موظف است در طراحی ساختار سازمانی مناسب به منظور حصول اطمینان از ارزیابی صحیح ریسک ها، ایجاد فعالیت های کنترلی مناسب، برقراری جریان مؤثر اطلاعات و ارتباطات و استقرار دقیق فعالیت های نظارتی در سطوح مختلف مؤسسه اعتباری نسبت به تفکیک مناسب وظایف، مسئولیت ها، فرآیندهای تصویب، تعیین خطوط گزارشگری و تعیین سطوح دسترسی به اطلاعات و اسناد، اقدام و به صورت دوره ای بازبینی نماید. ماده ۱۱ - هیأت مدیره مؤسسه اعتباری موظف است اطمینان حاصل نماید که گزارش های واحد حسابرسی داخلی برای هیأت مدیره بدون هرگونه صلاحدید مدیریتی تهیه شده است و حسابرسان داخلی به هیأت مدیره و اعضای کمیته حسابرسی دسترسی مستقیم دارند. ماده ۱۲ - هیأت عامل مؤسسه اعتباری موظف است بر اساس قراردادهای مربوط به خدمات برون سپاری شده و ضوابط ابلاغی بانک مرکزی در خصوص برون سپاری خدمات و الزامات ناظر بر ریسک فناوری اطلاعات، ساز و کارهای مقتضی را برای نظارت بر حسن اجرای قراردادهای مذکور با تأکید بر مسئولیت های کارکنان معرفی شده جهت انجام خدمات برون سپاری شده مشخص نماید. ماده ۱۳ - هیأت مدیره مؤسسه اعتباری موظف است انتظارات و معیارهای شایستگی شغلی و رفتار سازمانی کارکنان، خط مشی ها و شیوه های رفتاری آن ها را به منظور جذب، توسعه و نگهداری کارکنان با صلاحیت تعیین و به روزرسانی نماید. ماده ۱۴ - هیأت مدیره مؤسسه اعتباری موظف است مسئولیت های اصلی با اهمیت برای تحقق اهداف نظام کنترل داخلی برای افراد و بخش های مختلف نظیر مدیر عامل، مدیران ارشد ریسک، واحدهای حسابرسی داخلی، مالی و رعایت قوانین و مقررات و نیز شایستگی های مرتبط با هر کدام از آن ها را تعیین و ارزیابی نموده و برای هر یک از این مسئولیت ها، برنامه های جانشین پروری تدوین نماید. ماده ۱۵ - هیأت مدیره مؤسسه اعتباری موظف است به منظور پاسخگویی کارکنان (اعم از اعضای هیأت عامل، مدیران و سایر کارکنان) در خصوص ایفای مسئولیت های محوله در نظام کنترل داخلی، سازوکارهای مناسب نظیر شاخص های عملکرد، مشوق ها و پاداش ها و اقدامات انضباطی مرتبط با انجام مسئولیت های کنترل داخلی را تعیین و تصویب و در مقاطع زمانی منظم حداکثر دو ساله ارزیابی و به روزرسانی نماید. فصل سوم ـ ارزیابی ریسک ماده ۱۶ - هیأت عامل مؤسسه اعتباری موظف است به منظور برخورداری از نظام کنترل داخلی مؤثر، ریسک های مهم از قبیل ریسک اعتباری، ریسک نقدینگی، ریسک بازار و ریسک عملیاتی را شناسایی و تأثیرات آن بر دستیابی به اهداف مؤسسه اعتباری را مورد ارزیابی قرار داده و در پاسخ به ریسک های شناسایی شده، اقدامات لازم را برای اجتناب، پذیرش، کاهش و تسهیم آن ها تا سطح قابل پذیرش مصوب هیات مدیره انجام دهد. ماده ۱۷ - هیأت عامل مؤسسه اعتباری موظف است به منظور پوشش ریسک های جدید یا ریسک های کنترل نشده، حسب مورد هر یک از اجزای نظام کنترل های داخلی را مورد بازنگری قرار داده و اقدامات اصلاحی مقتضی را به هیأت مدیره پیشنهاد نماید. ماده ۱۸ - هیأت عامل مؤسسه اعتباری موظف به ایجاد سازوکارهای کنترلی لازم به منظور حصول اطمینان از صحت و درستی داده ها و محاسبات مربوط به صورت های مالی و نیز انعکاس صحیح همه رویدادهای با اهمیت و قابل فهم بودن صورت های مالی برای استفاده کنندگان می باشد. ماده ۱۹ - هیأت مدیره مؤسسه اعتباری موظف است به منظور شناسایی تقلب و انگیزه های موجد آن، سیستم ها و فرآیندهایی را تعیین و تصویب نموده و بر اجرای آن ها نظارت نماید. ماده ۲۰ - هیأت مدیره مؤسسه اعتباری موظف است به منظور جلوگیری از بروز تقلب و انگیزه های موجد آن، برنامه های جبران خدمات و فرآیند ارزیابی عملکرد کارکنان را به طور مستمر بازبینی نماید. ماده ۲۱ - واحد مدیریت ریسک مؤسسه اعتباری موظف است به منظور ارزیابی ریسک تقلب، گزارش های واصله مربوط به اعمال متقلبانه، سرقت و سوء استفاده از دارایی ها، فساد ناشی از وقوع تقلب و روش هایی که ممکن است توسط کارکنان منجربه بی اثر شدن و یا نادیده گرفتن کنترل های در نظر گرفته شده برای شناسایی تقلب می شود را بررسی و ارزیابی نموده و در گزارشات ارزیابی ریسک تقلب با در نظرگرفتن احتمال وقوع و اثرات بالقوه آن ها مورد استفاده قرار داده و نسخه ای از گزارش مذکور را به واحد حسابرسی داخلی ارایه نماید. ماده ۲۲ - مدیر ارشد واحد حسابرسی داخلی مؤسسه اعتباری موظف است نتایج حاصل از ارزیابی ریسک تقلب را بررسی نموده و در مراحل مختلف برنامه حسابرسی داخلی شامل برنامه ریزی، اجرای برنامه، انتقال نتایج و پیگیری و نظارت، مورد استفاده قرار دهد. ماده ۲۳ - هیأت عامل مؤسسه اعتباری موظف است، به منظور ارزیابی آثار تغییرات برون سازمانی بر نظام کنترل داخلی، فرآیندهای شناسایی ریسک های ناشی از تغییر در مقررات، شرایط اقتصادی، شرایط محیطی، رویکردهای مدیریتی، فعالیت های جدید و فن آوری های نوین بانکی را ایجاد نماید. فصل چهارم ـ فعالیت های کنترلی ماده ۲۴ - هیأت مدیره مؤسسه اعتباری موظف است به منظور پیاده سازی نظام کنترل داخلی مؤثر، فعالیت های کنترلی لازم برای تمامی فرآیندها، فعالیت ها و اقدامات در تمام سطوح نظام کنترل داخلی شامل حداقل موارد زیر را تعیین و به روزرسانی نماید: ۲۴ - ۱ - ارزیابی های لازم مبتنی بر گزارش های عملکرد؛ ۲۴ - ۲ - کنترل مناسب فعالیت های واحدها یا بخش های مختلف؛ ۲۴ - ۳ - کنترل های فیزیکی شامل تعیین میزان دسترسی به دارایی ها؛ ۲۴ - ۴ - میزان انطباق با حدود تعیین شده برای منابع در معرض ریسک و پیگیری موارد عدم تطبیق؛ ۲۴ - ۵ - فرآیندهای تصویب و سطوح اختیارات؛ ۲۴ - ۶ - فرآیند رسیدگی ها و رفع مغایرت ها؛ ماده ۲۵ - هیأت عامل مؤسسه اعتباری موظف است نسبت به شناسایی وظایفی که با یکدیگر در تعارض هستند و نیز تفکیک مناسب وظایف و مسئولیت ها اقدام و در صورتی که انجام چنین تفکیکی امکان پذیر نباشد، فعالیت های کنترلی مقتضی را ایجاد نماید. ماده ۲۶ - هیأت عامل مؤسسه اعتباری موظف است فعالیت های کنترلی مرتبط با کنترل های عمومی فن آوری و نیز فعالیت های کنترلی مرتبط با موارد زیر را در چارچوب ضوابط ابلاغی بانک مرکزی در خصوص الزامات ناظر بر ریسک فناوری اطلاعات به منظور حصول اطمینان از کامل بودن، صحت و آماده بودن فن آوری، پیاده سازی و مستندسازی نماید: ۲۶ - ۱ - زیرساخت های فن آوری؛ ۲۶ - ۲ - مدیریت امنیت اطلاعات؛ ۲۶ - ۳ - توسعه و نگهداری برنامه های کاربردی؛ ۲۶ - ۴ - ارتباط بین سایر سیستم ها و برنامه های کاربردی. ماده ۲۷ - هیأت عامل مؤسسه اعتباری موظف است در خصوص اشخاص ارایه دهنده خدمات برون سپاری مربوط به زیرساخت های فن آوری اطلاعات، ساز و کارهای اعمال فعالیت های کنترلی فن آوری را منطبق با استانداردها و ضوابط ابلاغی بانک مرکزی در خصوص خدمات برون سپاری شده و الزامات ناظر بر ریسک فناوری اطلاعات ایجاد نماید. ماده ۲۸ - هیأت عامل مؤسسه اعتباری موظف است فرآیند کنترلی مشخصی را برای ارتقاء و به روزرسانی سیستم های فن آوری به شرح زیر تعیین نماید: ۲۸ - ۱ - ارزیابی ماهیت ارتقاء و به روزرسانی سیستم ها؛ ۲۸ - ۲ - اجرای آزمایشی قبل از پیاده سازی و ارتقاء؛ ۲۸ - ۳ - تأیید ذی نفعان اصلی قبل از پیاده سازی و ارتقاء؛ ۲۸ - ۴ - مستندسازی صحیح تغییرات انجام شده. ماده ۲۹ - هیأت مدیره مؤسسه اعتباری موظف است خط مشی ها و رویه های انجام فعالیت های کنترلی را با توجه به موارد زیر تعیین، بازبینی و به روز رسانی نماید: ۲۹ - ۱ - ریسک های مربوط به تحقق اهداف موسسه اعتباری؛ ۲۹ - ۲ - سمت ها، واحدها و فرآیندهایی که خط مشی ها و رویه ها راجع به آن ها تدوین شده است؛ ۲۹ - ۳ - انقش ها و مسئولیت های مرتبط با ایجاد، بکارگیری، اجرا و تداوم خط مشی ها و رویه ها؛ ۲۹ - ۴ - اقدامات اصلاحی مورد نیاز به عنوان بخشی از اعمال فعالیت های کنترلی؛ ۲۹ - ۵ - ایجاد ارتباط بین خط مشی ها و رویه ها؛ ۲۹ - ۶ - شایستگی های مورد نیاز برای کارکنان مسئول اجرای رویه ها و برنامه های آموزشی مورد نیاز؛ ۲۹ - ۷ - چارچوب زمان بندی اجرای رویه ها. ماده ۳۰ - هیأت مدیره مؤسسه اعتباری موظف است، خط مشی های انجام فعالیت های کنترلی مربوط به رویه های مواجهه با بروز استثنائا ت در خط مشی ها را تعیین، بازبینی و در حداقل زمان ممکن به روزرسانی نماید. ماده ۳۱ - هیأت عامل مؤسسه اعتباری موظف است بر اساس خط مشی ها و رویه های موضوع ‏ماده ۲۹-، انجام فعالیت های کنترلی را با استفاده از روش هایی نظیر شرح نوشته، نمودار گردش کار و چک لیست های کنترلی برای هر یک از عملیات و خدمات بانکی و فعالیت های روزانه کارکنان تدوین نماید. در این خصوص موارد زیر باید مدنظر قرار گیرد: ۳۱ - ۱ - تعیین مدیران یا کارکنان مسئول و پاسخگوی اجرای فعالیت های کنترلی متناسب با واحدهای عملیاتی و کارکردها؛ ۳۱ - ۲ - انجام فعالیت های کنترلی بر اساس برنامه زمانبندی مطابق با خط مشی ها و رویه های تعیین شده توسط مدیران یا کارکنان مسئول؛ ۳۱ - ۳ - بررسی نتایج اجرای فعالیت های کنترلی و اعمال اقدامات اصلاحی لازم توسط مدیران یا کارکنان مسئول. ماده ۳۲ - هیأت عامل مؤسسه اعتباری موظف است به منظور کاهش ریسک معاملات غیرمجاز، فعالیت های متقلبانه و جعلی و اختلال در فرآیند عملیات، میزان دسترسی به محل های خاص نظیر اتاق معاملات، مراکز داده ها و حوزه مبادلات مالی را تعریف و خط مشی ها و رویه های نظارت و فعالیت های کنترلی مربوط به دسترسی های مذکور را تدوین و عملیاتی نماید. فصل پنجم ـ اطلاعات و ارتباطات ماده ۳۳ - هیأت عامل مؤسسه اعتباری موظف است به منظور پشتیبانی از نظام کنترل داخلی و گزارشگری مالی، برنامه مدیریت داده را تدوین و به تصویب هیأت مدیره برساند. برنامه مدیریت داده باید شامل خط مشی ها و رویه هایی، برای حداقل مقاصد زیر باشد: ۳۳ - ۱ - تأیید منابع داده ها؛ ۳۳ - ۲ - ایجاد الزامات کیفیت داده ها قبل از ورود آنها به سیستم اطلاعات؛ ۳۳ - ۳ - ارزیابی صحت داده های اصلی و اطلاعات تولیدشده مرتبط در پردازش ها؛ ۳۳ - ۴ - پیاده سازی روش های امن انتقال و ذخیره سازی اطلاعات. ماده ۳۴ - هیأت عامل مؤسسه اعتباری موظف است بر اساس خط مشی مصوب هیأت مدیره در خصوص مدیریت اطلاعات، سیستم های اطلاعاتی یکپارچه را به منظور دریافت داده های مورد نیاز از منابع درونی و بیرونی ایجاد نموده و حداقل ویژگی های زیر را برای تعیین رویه های تبدیل داده ها به اطلاعات، مورد توجه قرار دهد: ۳۴ - ۱ - تأمین کنندگان و استفاده کنندگان اطلاعات؛ ۳۴ - ۲ - اهمیت، اولویت و حساسیت، ۳۴ - ۳ - فراوانی و تواتر؛ ۳۴ - ۴ - فرآیندهای پشتیبان و دوره های نگهداری؛ ۳۴ - ۵ - حفظ تقارن اطلاعاتی در خصوص روندها و ریسک های برون سازمانی و درون سازمانی؛ ۳۴ - ۶ - تعریف طبقه بندی داده ها و سطوح دسترسی امن به اطلاعات. ماده ۳۵ - هیأت عامل مؤسسه اعتباری موظف است فرآیند تبادل و انتشار اطلاعات ضروری مرتبط با اهداف گزارشگری مالی، رعایت قوانین و مقررات، اثربخشی عملیاتی، الزامات کنترل مالی، خط مشی ها و فرآیندهای کنترل داخلی را برای تعیین مسئولیت های کارکنان در نظام کنترل داخلی و اجرای آن ها، طراحی و تدوین نماید. ماده ۳۶ - هیأت عامل مؤسسه اعتباری موظف است فرآیند تبادل و انتشار اطلاعات را با توجه به ماهیت اطلاعات، الزامات قانونی و مقرراتی و امکان بهره گیری از راه حل های فن آوری بر اساس روش های زیر انتخاب نماید: ۳۶ - ۱ - اطلاع رسانی در خصوص مأموریت، چشم انداز و اهداف مؤسسه اعتباری از طریق تابلو اعلانات یا پایگاه اطلاع رسانی مؤسسه اعتباری؛ ۳۶ - ۲ - برگزاری جلسات و دوره های آموزشی در خصوص موضوعات کنترل داخلی و سایر موضوعات مرتبط با آن؛ ۳۶ - ۳ - ایجاد درگاه اطلاع رسانی داخلی مختص موضوعات کنترل داخلی شامل آیین رفتار حرفه ای، نقش ها و مسئولیت های کاری، خط مشی ها، فرآیندها و دیگر موضوعات مرتبط؛ ماده ۳۷ - هیأت مدیره مؤسسه اعتباری موظف است به منظور گزارش هرگونه خطای مشاهده شده و نیز موضوعات مربوط به گزارشگری مالی و یا سایر موضوعاتی که می تواند بر کنترل داخلی اثرگذار باشد، خط مشی لازم در خصوص نحوه حمایت و حفاظت از افشاگران درون سازمان با در نظر گرفتن حفظ محرمانگی و اطمینان از عدم شناسایی آن ها تعیین نموده و سازوکارهای مطمئنی برای ایجاد مسیرهای ارتباطی ویژه نظیر ایجاد خط ارتباط اضطراری مستقیم با مدیریت مهیا نماید. ماده ۳۸ - هیأت مدیره مؤسسه اعتباری موظف است فرآیندهایی اتخاذ نماید تا اطلاعات مربوط و به موقع به اشخاص برون سازمانی نظیر سهامداران، بانک مرکزی و سایر مقامات نظارتی ذی صلاح، مشتریان، تحلیل گران مالی و سایر ذی نفعان، اطلاع رسانی و در چارچوب قانون و مقررات مربوط مسیرهای ارتباطی متناسب را برای اشخاص مزبور در کنار مسیرهای ارتباطی معمول با افشاگران برون سازمانی فراهم آورد. ماده ۳۹ - هیأت مدیره مؤسسه اعتباری موظف است در کنار مسیرهای تبادل اطلاعات معمول با افشاگران برون سازمانی، سازوکارهایی را به منظور ایجاد مسیرهای ارتباطی مجزا نظیر خط ارتباط اضطراری مستقیم با مدیریت با حفظ محرمانگی و بدون افشای نام فراهم نماید. فصل ششم ـ فعالیت های نظارتی ماده ۴۰ - هیأت مدیره مؤسسه اعتباری موظف است برنامه های ارزیابی مستمر و موردی در خصوص فعالیت های نظارتی را متناسب با شرایط مؤسسه اعتباری تعیین نموده و تناسب و کفایت برنامه های مذکور را با در نظر گرفتن حداقل موارد زیر مورد بررسی قرار دهد: ۴۰ - ۱ - الزامات مقرراتی مؤسسه اعتباری و اهداف نظام کنترل داخلی؛ ۴۰ - ۲ - سرعت تغییرات محیط قانونی و یا کسب و کار مؤسسه اعتباری؛ ۴۰ - ۳ - نتایج حاصل از سوابق ارزیابی های مربوط به اثربخشی کنترل های داخلی؛ ۴۰ - ۴ - معیارهای پایش مستمر فرآیندهای سطوح نظام کنترل داخلی؛ ۴۰ - ۵ - تغییرات مؤثر بر اجزای نظام کنترل داخلی. ماده ۴۱ - هیأت مدیره مؤسسه اعتباری موظف است در صورت وقوع هر یک از موارد زیر دفعات ارزیابی های موردی و فعالیت های نظارتی را افزایش دهد: ۴۱ - ۱ - شناسایی ناکارآمدی های موجود در نظام کنترل داخلی توسط فعالیت های نظارتی؛ ۴۱ - ۲ - نقض حدود مقرر مربوط به شاخص های کلیدی عملکرد به دلیل ناکارآمدی نظام کنترل داخلی. ماده ۴۲ - هیأت مدیره مؤسسه اعتباری موظف است با پیاده سازی فعالیت های نظارتی و نتایج حاصل از آن حداقل موارد زیر را انجام دهد: ۴۲ - ۱ - شناسایی تغییرات ضروری در طراحی و اجرای نظام کنترل داخلی در نتیجه فعالیت های نظارتی؛ ۴۲ - ۲ - ارزیابی تغییرات در اشخاص، فرآیند ها و فن آوری که می تواند بر طراحی و اجرای کنترل ها تأثیر گذارد؛ ۴۲ - ۳ - ارزیابی اقدامات یا فعالیت های کنترلی در سطح کلیه فرآیندها و فعالیت های مؤسسه اعتباری؛ ماده ۴۳ - هیأت عامل مؤسسه اعتباری موظف است به عنوان بخشی از ارزیابی مستمر، سامانه ها و داشبوردهای مدیریتی را برای مدیران و سرپرستانی که به طور مستقیم وظیفه پاسخگویی نسبت به فرآیندها و فعالیت های نظارتی را بر عهده دارند، با استفاده از شاخص ها و امتیازها ایجاد نماید. داشبورد مذکور باید شامل حداقل اطلاعات زیر باشد: ۴۳ - ۱ - امتیازدهی عملکرد اجزای نظام کنترل داخلی؛ ۴۳ - ۲ - شاخص ها و یا اطلاعات بااهمیت برای انجام ارزیابی و پیگیری های بعدی؛ ۴۳ - ۳ - تناوب ارزیابی های انجام شده و آخرین ارزیابی؛ ۴۳ - ۴ - ناکارآمدی های شناسایی شده و اصلاحات مربوط؛ ماده ۴۴ - هیأت عامل مؤسسه اعتباری موظف است با بهره گیری از فن آوری اطلاعات، برنامه کاربردی پایش خودکار ]پاورقی ۲[ نظام کنترل داخلی را تهیه و مورد استفاده قرار دهد. برنامه کاربردی مذکور شامل حداقل موارد زیر می باشد: پاورقی ۲ . Automated monitoring ۴۴ - ۱ - بررسی و تطبیق مبادلات و تراکنش ها با آستانه های از پیش تعریف شده به منظور شناسایی مبادلات و تراکنش های غیرعادی؛ ۴۴ - ۲ - پایش مبادلات و تراکنش ها برای بررسی روند ها یا الگوها؛ ۴۳ - ۳ - ارزیابی شاخص ها و معیار های عملکرد در راستای بهبود فرآیندهای کسب و کار. ماده ۴۵ - هیأت عامل مؤسسه اعتباری موظف است ارزیابی های موردی کنترل های داخلی را از طریق روش هایی نظیر موارد زیر انجام دهد: ۴۵ - ۱ - انجام بررسی ها و بازدیدهای نظارتی بدون اطلاع قبلی؛ ۴۵ - ۲ - انجام بررسی های تطبیقی کنترل داخلی میان واحدهای عملیاتی مشابه در مؤسسه اعتباری؛ ۴۵ - ۳ - بکارگیری اشخاص مستقل بیرونی به منظور انجام ارزیابی ویژه. ماده ۴۶ - واحد حسابرسی داخلی مؤسسه اعتباری موظف است ارزیابی های جداگانه ای را در خصوص اجزای اصلی نظام کنترل داخلی انجام دهد. ماده ۴۷ - هیأت عامل مؤسسه اعتباری موظف است رویه مناسبی به منظور بررسی شکایات مشتریان با هدف بررسی ضعف های نظام کنترل داخلی ایجاد و به تصویب هیأت مدیره برساند. فصل هفتم : گزارشگری ماده ۴۸ - هیأت مدیره مؤسسه اعتباری موظف است شیوه های ناظر بر تهیه گزارش ناکارآمدی های نظام کنترل داخلی را تعیین نموده و پس از بررسی نتایج گزارش های مذکور، بر برنامه ها و اقدامات اصلاحی هیأت عامل در این خصوص نظارت عالی نماید. ماده ۴۹ - هیأت عامل مؤسسه اعتباری موظف است ناکارآمدی های نظام کنترل داخلی را ارزیابی به هنگام نموده و بر اساس معیارهایی نظیر ماهیت، منشأ و میزان اهمیت ناکارآمدی به هیأت مدیره گزارش و اقدامات اصلاحی مقتضی را پیشنهاد نماید. ماده ۵۰ - واحدهای سازمانی و افراد مسئول اجرای کنترل ها موظفند گزارشی از موارد عدم رعایت کنترل های تعریف شده بر اساس این دستورالعمل را در مقاطع زمانی حداکثر سه ماهه به واحدهای مدیریت ریسک و حسابرسی داخلی ارایه نمایند. ماده ۵۱ - واحد مدیریت ریسک مؤسسه اعتباری موظف است گزارشات مأخوذه از اجرای مفاد این دستورالعمل را در فرآیند شناسایی، اندازه گیری، پایش، کنترل و گزارشگری ریسک های مؤسسه اعتباری نظیر ریسک عملیاتی، اعتباری، نقدینگی و بازار مد نظر و مورد استفاده قرار دهد. ماده ۵۲ - حواحد حسابرسی داخلی مؤسسه اعتباری موظف است فعالیت کنترلی مرتبط با اجرای سیاست ها، خط مشی ها و رویه های اجرایی مصوب هیأت مدیره و مسئول اجرای کنترل های مذکور را در برنامه حسابرسی تعیین و گزارش موارد با اهمیت از عدم اجرای صحیح فعالیت های یاد شده را در مقاطع زمانی حداکثر سه ماهه به کمیته حسابرسی ارایه نماید. ماده ۵۳ - مدیر ارشد حسابرسی داخلی موظف است برنامه حسابرسی داخلی را مبتنی بر ریسک و در مقاطع زمانی حداکثر سالیانه تدوین و گزارش نماید به نحوی که اولویت های فعالیت حسابرسی داخلی در راستای اهداف و راهبردهای مصوب هیأت مدیره تعیین شود. تبصره - برنامه حسابرسی داخلی موضوع این ماده در صورت بروز هرگونه تغییر در اهداف، اجزا و سطوح نظام کنترل داخلی مؤسسه اعتباری در حین اجرای برنامه حسابرسی داخلی، باید متناسب با تغییرات مذکور در حداقل زمان ممکن به روزرسانی گردد. ماده ۵۴ - واحد حسابرسی داخلی مؤسسه اعتباری موظف است گزارش یافته های برنامه حسابرسی را حسب مورد به مسئولین واحدهای عملیاتی یا هیأت عامل مؤسسه اعتباری ارایه نماید و پاسخ ها و اقدامات انجام شده واحد عملیاتی را در خصوص نقاط ضعف کنترل های داخلی مربوط مستندسازی نماید. تبصره - در صورت عدم رفع نقاط ضعف کنترل های داخلی موضوع این ماده، مدیر ارشد حسابرسی داخلی موظف است مراتب را به کمیته حسابرسی گزارش نماید. ماده ۵۵ - واحد حسابرسی داخلی مؤسسه اعتباری موظف است در صورت بروز تقلب و سوء استفاده از دارایی های مؤسسه اعتباری، مراتب را به واحد مدیریت ریسک گزارش دهد و واحد مذکور موظف است موضوع را در فرآیند مدیریت ریسک عملیاتی مد نظر و مورد استفاده قرار دهد به گونه ای که از بروز مجدد تقلب و سوء استفاده مذکور ممانعت به عمل آید. ماده ۵۶ - مدیر ارشد واحد حسابرسی داخلی مؤسسه اعتباری موظف است در صورت با اهمیت بودن نقاط ضعف اجرای سازوکارهای کنترلی مورد اشاره در این دستورالعمل یا بروز تقلب با اهمیت، اقدامات اصلاحی مقتضی مربوط به نظام کنترل داخلی را به کمیته حسابرسی پیشنهاد نماید. تبصره ۱ - کمیته حسابرسی مؤسسه اعتباری موظف است گزارش ارایه شده موضوع این ماده را بررسی و تا صدور مصوبه هیأت مدیره پیگیری نماید. تبصره ۲ - مدیر ارشد حسابرسی داخلی موظف است مصوبه هیأت مدیره موضوع تبصره (۱) این ماده را به مدیریت کل نظارت بر بانک ها و مؤسسات اعتباری بانک مرکزی و حسابرس مستقل ارسال نماید. ماده ۵۷ - مدیر ارشد حسابرسی داخلی مؤسسه اعتباری موظف است موارد بسیار بااهمیت ناکارآمدی های نظام کنترل داخلی را در مقاطع زمانی شش ماهه یا حسب درخواست بانک مرکزی، به بانک مرکزی گزارش نماید. ماده ۵۸ - مدیر ارشد رعایت قوانین و مقررات (تطبیق)، موظف است گزارش های مربوط به رعایت مفاد این دستورالعمل و مصادیق عدم رعایت آن را به کمیته رعایت قوانین و مقررات (تطبیق) ارایه نموده و پس از تأیید در کمیته یاد شده، مراتب را در هیأت مدیره برای تصویب، گزارش نماید و مصوبه هیأت مدیره را به مدیریت کل نظارت بر بانک ها و مؤسسات اعتباری بانک مرکزی ارسال کند. ماده ۵۹ - هیأت مدیره مؤسسه اعتباری موظف است به صورت سالانه گزارش کنترل داخلی مشتمل بر نحوه استقرار نظام کنترل داخلی بر اساس مفاد این دستورالعمل و نتایج حاصل از ارزیابی اثربخشی آن را به بانک مرکزی و حسابرس مستقل ارایه دهد. فصل هشتم ـ سایر موارد ماده ۶۰ - هیأت مدیره مؤسسه اعتباری موظف است ضوابط داخلی پیشنهادی مدیر ارشد حسابرسی داخلی ناظر بر اجرای کارا و اثربخش این دستورالعمل را ظرف مدت شش ماه از تاریخ ابلاغ آن تصویب نماید و نسخه ای از آن را به بانک مرکزی ارسال نماید. ماده ۶۱ - تخطی از احکام این دستورالعمل موجب اعمال مجازات های مقرر در قوانین و مقررات ذی ربط می شود. دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترل های داخلی در مؤسسات اعتباری» در (۶۱) ماده و (۴) تبصره در پنجاه و یکمین جلسه مورخ ۱۴۰۲/۱۱/۲۹ کمیسیون مقررات و نظارت مؤسسات اعتباری به تصویب رسید و پس از تاریخ ابلاغ، لازم الاجرا بوده و از تاریخ لازم الاجرا شدن این دستورالعمل، «رهنمودهایی برای نظام مؤثر کنترل داخلی در مؤسسات اعتباری» موضوع بخشنامه شماره ۱۱۷۲/مب مورخ ۱۳۸۶/۳/۳۱ و سایر ضوابط و مقررات مغایر با دستورالعمل حاضر منسوخ می گردد.