در بخشنامه بانک مرکزی آمده است:
امروزه کنترلهای داخلی از آن حیث که یکی از الزامات تحقق اهداف در هر سازمانی محسوب میشود، از اهمیت بسیاری برخوردار است. طبیعی است این مهم در مؤسسات اعتباری بنا به ماهیت خاص فعالیت و اقتضائات آن، دارای نقش و جایگاه بسیار مهم و اثرگذارتری است. بنا به همین ضرورت، «رهنمودهایی برای نظام مؤثر کنترل داخلی در مؤسسات اعتباری» توسط بانک مرکزی تدوین و طی بخشنامهای به تاریخ ۳۱ خرداد ۱۳۸۶ جهت اجرا و استقرار نظام کنترلهای داخلی به شبکه بانکی کشور ابلاغ شد. با عنایت به گذشت سالیان متمادی از ابلاغ رهنمود مذکور و تغییر شرایط و مقتضیات و اسناد بینالمللی بالادستی، تدوین ضوابطی روزآمدتر درخصوص نظام مؤثر کنترل داخلی ایجاب می کرد.
بر همین اساس، بر مبنای مهمترین استاندارد بینالمللی در زمینه نظام کنترلهای داخلی منتشره در سال ۲۰۱۳ توسط «کارگروه سازمانهای پشتیبان مالی کمیسیون تردوی» موسوم به COSO تحت عنوان «چارچوب کنترلهای داخلی یکپارچه» و همچنین سند «چارچوب سیستم کنترل داخلی برای بانکها» از انتشارات کمیته بال در سال ۱۹۹۸ و نیز با نظرداشت مقررات کنترلهای داخلی حاکم بر بانکها در برخی از کشورهای منتخب، «دستورالعمل حداقل الزامات ناظر بر استقرار نظام کنترلهای داخلی در مؤسسات اعتباری» تدوین و در جلسهای به تاریخ ۲۹ بهمن ۱۴۰۲ کمیسیون مقررات و نظارت مؤسسات اعتباری بانک مرکزی مورد تأیید قرار گرفت که به پیوست نسخهای از آن جهت استحضار ایفاد میشود.
پیش از پرداختن به اهم احکام دستورالعمل موصوف، ذکر ملاحظات زیر ضروری است:
الف) دستورالعمل مذکور، حداقل الزامات مربوط به طراحی و اجرای نظام کنترلهای داخلی ایمن و محتاطانه بوده و یک راهنمای جامع متحدالشکل درخصوص کنترلهای داخلی را برای تمامی مؤسسات اعتباری ارائه نمیدهد. چرا که طراحی و اجرای نظام کنترلهای داخلی به عوامل مختلفی از جمله نوع و اندازه و ساختار و میزان ریسکپذیری مؤسسه اعتباری بستگی دارد.
ب) چنانچه اهداف، اجزا و سطوح نظام کنترل داخلی به خوبی برنامهریزی، ترسیم و پیادهسازی شوند، میتوان شاهد استقرار یک نظام کنترل داخلی مؤثر در مؤسسه اعتباری بود و چنانچه بازخورد مناسبی از این نظام بر اساس گزارشهای کارایی و اثربخشی هر یک از اهداف، اجزا و سطوح تهیه و نسبت به رفع نواقص و ارتقاء لایهها و سازوکارهای کنترلی اقدام شود، میتوان گفت که نظام کنترل داخلی مطلوبی در مؤسسه اعتباری شکل گرفته است. بنابراین استقرار نظام کنترل داخلی یک فرآیند مستمر و پویا است که همواره باید کارایی و اثربخشی آن مورد بررسی قرار گیرد و راهکارهای مناسب جهت ارتقاء آن ارائه شود.
پ) با اجرای صحیح نظام کنترل داخلی، مؤسسه اعتباری از سیاستهای جامع و کاملی که با ماهیت و پیچیدگی فعالیتهای مؤسسه اعتباری سازگار بوده و بهوسیله هیأت مدیره مصوب شده است، برای مدیریت محتاطانه ریسکهای عمده در حوزه فعالیتهای تجاری و عملیاتی برخوردار خواهد بود.
ت) پیادهسازی نظام کنترلهای داخلی مستلزم باور، آگاهی و درک جامعی از مفاهیم حاکمیت شرکتی و خودارزیابی و خودکنترلی بوده که به صورت مستمر به ارزیابی فعالیتها و آثار مالی و غیرمالی آن فعالیتها بر محیط داخلی و بیرونی بپردازد.
با ذکر ملاحظات فوق، خاطرنشان میسازد دستورالعمل مذکور که مشتمل بر (۸) فصل، (۶۱) ماده و (۴) تبصره است و انتظار میرود از رهگذر اجرای دقیق و کامل آن در مؤسسات اعتباری، نظام کنترل داخلی یکپارچهای پیادهسازی گردد، متضمن نکات و موارد پراهمیتی از جمله احکام ذیل است:
۱- تعریف نظام کنترل داخلی دایر بر این که فرآیندی است که توسط هیأت مدیره، هیأت عامل و دیگر کارکنان مؤسسه اعتباری برای کسب اطمینان معقول از دستیابی به اهداف مربوط به عملیات، گزارشگری و رعایت قوانین و مقررات، طراحی و مستقر شده است و شامل سه بخش اهداف، اجزا و سطوح است.
۲- اهداف نظام کنترل داخلی شامل؛ الف) اهداف عملیاتی که بیانگر اثربخشی و کارآیی فعالیتهای مؤسسه اعتباری در استفاده از منابع و نیز حفاظت از داراییها در برابر سوءاستفاده و تقلب میباشد. ب) اهداف گزارشگری که به ارایه اطلاعات مفید و سودمند به منظور اتخاذ تصمیمهای صحیح و پیشگیری از گمراهی ذینفعان از طریق تهیه گزارشهای مالی و غیرمالی بهموقع، قابل اتکاء، مربوط و شفاف به صورت درونسازمانی و برونسازمانی معطوف است. ج) اهداف رعایت قوانین و مقررات که به منظور حصول اطمینان از رعایت تمامی قوانین، مقررات، استانداردهای لازمالاجرا برای مؤسسه اعتباری در داخل و خارج از کشور که مؤسسه اعتباری در آنها دارای بانک مستقل فرعی، شعبه و یا دفتر نمایندگی است، ترسیم میشود.
۳- تبیین اجزای نظام کنترل داخلی در مؤسسه اعتباری شامل پنج جزء اصلی؛ محیط کنترلی، ارزیابی ریسک، فعالیتهای کنترلی، اطلاعات و ارتباطات و فعالیتهای نظارتی.
۴ - تبیین سطوح نظام کنترل داخلی برای مؤسسه اعتباری شامل؛ مؤسسه اعتباری، ادارات مرکزی، سرپرستی مناطق، شعب و وظایف و کارکردها است.
قطعنظر از مراتب فوق، در طراحی و اجرای صحیح نظام جامع کنترلهای داخلی، انجام اقدامات ذیل توسط مؤسسه اعتباری ضروری و مورد انتظار است:
۱- ماهیت متفاوت کسب و کار هر مؤسسه اعتباری و لزوم طراحی کنترلهای داخلی متناسب با آن.
۲- بهرهگیری از تجارب کارشناسان خبره و اجرای گام به گام هر فصل از دستورالعمل حاضر متناسب با ساختار و روابط و متعاقباً ارزیابی کارایی و اثربخشی اجرای هر یک از فصول دستورالعمل؛
۳- شناسایی نقاط قوت و ضعف نظام کنترل داخلی مؤسسه اعتباری و اقدامات لازم جهت رفع نقاط ضعف، با توجه به اهمیت آثار مالی و غیرمالی آنها بر محیط داخلی و بیرونی و با بهرهگیری از تجزیه و تحلیل هزینه فایده؛
۴- تشریح و تفکیک وظایف واحدهای حسابرسی داخلی، مدیریت ریسک، تطبیق (رعایت قوانین و مقررات) و مبارزه با پولشویی توسط مؤسسه اعتباری؛
۵- برگزاری دورههای آموزشی برای کارکنان در زمینههای دانش، ابزارها و فعالیتهای کنترلی در نظام کنترلهای داخلی؛
۶- گزارشدهی مناسب به هیأت مدیره برای انجام دقیق نظارت بر چارچوب مدیریت ریسک مؤسسه اعتباری. بدینمنظور اختیارات و مسئولیتهای هر وظیفه کنترلی باید به نحو صحیحی مستند شود. مسئول هر وظیفه کنترلی به صورت دورهای مستندات را بازنگری کرده و پیشنهاد تغییرات لازم برای آن را به هیأت مدیره یا مدیریت ارشد برای صدور مجوز آن ارائه نماید.
۷- تعیین شفاف و صریح نقشها، مسئولیتها و نحوه پاسخگویی در قبال اجرای سیاستها.
۸- تدوین رویهها و فرآیندهای مناسب به منظور اجرای سیاستها در هر مؤسسه اعتباری. این موارد باید به تفصیل و به صورت دفترچه راهنمای رویهها و فرآیندهای انجام کار مستند شود و به صورت دورهای مورد بازنگری قرار گیرد تا انعکاس دهنده سیاستهای جاری مؤسسه اعتباری باشد. همچنین باید شیوههای مناسبی به منظور نظارت بر رعایت و پیروی از سیاستها و رویههای تدوین شده وجود داشته باشد. انحراف از این سیاستها و رویهها به صورت مستقل بررسی شده و از آنها گزارش تهیه و به واحدهای مربوطه ارسال شود.
ایسنا