مبادئ المراجعة الداخلية للبنوك المحلية العاملة في المملكة العربية السعودية

مبادئ المراجعة الداخلية للبنوك المحلية العاملة في المملكة العربية السعودية
الرقم: 43037826 التاريخ (م): 2021/12/1 | التاريخ (هـ): 1443/4/26 الحالة:نافذ
انطلاقاً من دور البنك المركزي الإشرافي والرقابي. وحرصاً منه على تعزيز قيام وحدات المراجعة الداخلية بشكل منهجي بعملية تقييم مستقلة وموضوعية لتأكيد كفاية وفاعلية عمليات الحوكمة وإدارة المخاطر والضوابط الرقابية والسياسات والإجراءات المنفذة. واستناداً إلى الصلاحيات المنوطة به بموجب نظامه، الصادر بالمرسوم الملكي رقم (م/36) وتاريخ ‎1442/04/‎11هـ،‏ والأنظمة الأخرى ذات العلاقة.
مرافق الإصدار الأول لمبادئ المراجعة الداخلية للبنوك المحلية العاملة في المملكة.
للإحاطة والعمل بموجبه اعتباراً من تاريخ2022/01/01م.

الفصل الأول مقدمة وتعريفات وأحكام عامة

‎1- المقدمة

1-1	أصدر البنك المركزي هذه المبادئ استناداً إلى الصلاحيات الإشرافية والرقابية المنوطة به بموجب الأنظمة الآتية:
		أ-	نظام البنك المركزي السعودي، الصادر بالمرسوم الملكي رقم (م/36)‏ وتاريخ 1442/04/11هـ.
		ب-	نظام مراقبة البنوك، الصادر بالمرسوم الملكي رقم (م/5‏) وتاريخ ‎1386/02/‎22هـ.
2-1	تتكون هذه المبادئ في محتواها وسياقها من ثلاثة فصول: الفصل الأول: يوضح المصطلحات المستخدمة والأحكام العامة. والفصل الثاني: يتضمن الإشارة إلى اختصاصات وأدوار ومسؤوليات كل من المجلس ولجنة المراجعة والإدارة التنفيذية تجاه المراجعة الداخلية - وفقاً لما ورد في الأنظمة واللوائح ذات العلاقة- ومتطلبات تفعيلها بشكل مختصر، والفصل الثالث: يتضمن متطلبات تفصيلية شاملةً وموسعةً عن نشاط وأعمال وأدوار ومهام ومسؤوليات الوحدة وعلاقتها كخط دفاع ثالث بخطَّي الدفاع الأول والثاني، كأداة للرقابة والإشراف لإدارة البنك وليس بديلاً عنها. وبشكل يلبي ويساعد على التماشي والالتزام بأحكام الأنظمة واللوائح والتعليمات وأفضل الممارسات، وعلى نحو يراعي الطبيعة الخاصة للبنوك وأسلوب التطبيق فيها.

2- التعريفات

يقصد بالمصطلحات الآتية -أينما وردت في هذه المبادئ- المعاني المبيّنة أمام كلٍ منها، مالم يقتضِ السياق خلاف ذلك:

المصطلح	التعريف
البنك المركزي	البنك المركزي السعودي.
البنك	البنوك والمصارف التجارية المحلية المرخص لها بمزاولة الأعمال المصرفية في المملكة.
المجلس	مجلس إدارة البنك.
لجنة المراجعة	أحد اللجان المنبثقة عن المجلس التي تُشكل بقرار من الجمعية العامة العادية.
الإدارة التنفيذية	الإدارة العليا للبنك، وهم الأشخاص المنوط بهم إدارة أعمال البنك اليومية، واقتراح القرارات الاستراتيجية وتنفيذها.
الوحدة	وحدة المراجعة الداخلية في البنك، والتي يتولى فيها رئيسها والعاملون بها مهام ومسؤوليات المراجعة الداخلية.
رئيس الوحدة	المسؤول عن إدارة الوحدة.
المراجعون الداخليون	العاملون في الوحدة المسؤولون عن أداء مهام ومسؤوليات المراجعة الداخلية.
المبادئ	مبادئ المراجعة الداخلية للبنوك المحلية العاملة في المملكة العربية السعودية.
وظيفة المراجعة الداخلية	نشاط تقييمي مستقل يقدم تأكيدات وخدمات استشارية موضوعية ومستقلة عن جودة وكفاية وفاعلية نظام الرقابة الداخلية في البنك، من خلال اتباع تنظيم وأسلوب منهجي منظم لمراجعة العمليات المحاسبية والمالية والتشغيلية وغيرها، وتقييم وتحسين فاعلية عمليات الحوكمة وإدارة المخاطر والرقابة.
سياسة المراجعة الداخلية	المستند الرسمي المعتمد من المجلس، والذي يحدد ويوضح الغرض من الوحدة ونطاق نشاطها وموقعها في الهيكل التنظيمي. ومرجعيتها الوظيفية والإدارية، ومسؤولياتها وصلاحياتها الشاملة والسمات والعلاقة مع وحدات العمل الأخرى، والركائز والمنهجية التي يتبعها البنك في شأن الرقابة الداخلية، وكذلك تخويلها حق الاطلاع على السجلات والاتصال بالعاملين، والوصول إلى الممتلكات المادية بما يمكّن من أداء مهامها.
الانظمة واللوائح	الأنظمة واللوائح التي تسري على القطاع المصرفي ومنسوبيه.
التعليمات	جميع ما يصدر عن البنك المركزي بما له من صلاحيات رقابية وإشرافية على القطاع المصرفي، وكذلك ما تصدره الجهات ذات الاختصاص من لوائح وقواعد ومبادئ وأطر وأدلة وتعاميم ملزمة.
الاستقلالية	الخلو من الظروف والعوارض التي تؤثر في قدرة الوحدة على أداء مهام ومسؤوليات المراجعة الداخلية بطريقة مهنية وموضوعية وغير متحيزة.
تعارض المصالح	الحالة أو الحالات التي يكون أو يبدو أن يكون لرئيس الوحدة والعاملين بها مصلحة أو علاقة مباشرة أو غير مباشرة في موضوع يكون محل نظر هذا الشخص/ الأشخاص: لغرض اتخاذ قرار بشأنه، بحيث تمنع هذه المصلحة أو العلاقة، أو تؤدي إلى الاعتقاد بأنها حالت بينه وبين إبداء رأيه أو اتخاذ قراره باستقلالية وحياد وموضوعية، ودون مراعاة لهذه المصلحة أو العلاقة.
الموضوعية	السلوك المهني الحيادي المستند إلى الحقائق الذي يتيح للمراجعين الداخليين أداء مهامهم، بطريقة تجعلهم على يقين بجودة أعمالهم ونتائجها المنشودة، وعدم وجود أي تدخل أو تأثير جوهري من خارج الوحدة في جودتها أو التأثر بالمعتقدات والمشاعر الشخصية.
الخدمات الاستشارية	هي الاستشارات التي تُنفذ بناءً على طلب محدد من أحد الوحدات في البنك.
خط الدفاع الأول	وحدات الأعمال المسؤولة عن تحديد، وتقييم، مخاطر أنشطتها وإدارتها في مراحل مبكرة وباستمرار، وتتحمل تلك المخاطر في الحدود المسموحة.
خط الدفاع الثاني	الوحدات الرقابية ووحدات الدعم مثل: إدارة المخاطر، والالتزام، القانونية، والشرعية (إن وجد)، والمالية، والتقنية ذات العلاقة بوحدات الأعمال، المسؤولة عن التحقق من خلال نظرة شاملة ومنهجية بأن وحدات الأعمال في خط الدفاع الأول حددت مخاطر أعمالها وتديرها بشكل ملائم.
خط الدفاع الثالث	وحدة المراجعة الداخلية - الوحدة- المسؤولة عن القيام بشكل مستقل وموضوعي بتقييم وتأكيد كفاية وفاعلية الحوكمة وإدارة المخاطر والرقابة والضوابط والسياسات والإجراءات المنفذة من خطي الدفاع الأول والثاني، وزيادة الثقة بها، وتزويد الإدارة التنفيذية بتأكيد معقول بأن السياسات والإجراءات تتماشى مع التوقعات المحددة.
أصحاب المصلحة	كل من له مصلحة مباشرة مع الوحدة، وبصفة خاصة: المجلس، ولجنة المراجعة، والإدارة التنفيذية، ووحدات العمل في البنك، والمراجعون الخارجيون، والمستشارون الخارجيون وغيرهم. وغير مباشرة، ومن ذلك: المساهمون، والمستثمرون، والعملاء.

3- الأحكام العامة

1-3	الغرض العام لهذه المبادئ وضع الحد الأدنى من المتطلبات التي من شأنها قيام الوحدة بأداء نشاطها بكفاءة وبالشكل الأمثل بموجب إطار موحد وواسع ومتين كأداة تعزيز للرقابة الذاتية، ولإرساء الأسس لأداء المراجعة الداخلية، وتحسين عمليات وأعمال البنك. مع الأخذ بعين الاعتبار أن الأساليب التي يتم بها تنفيذ هذه المبادئ تعتمد على العديد من العوامل، مثل: حجم البنك، وطبيعة تعقيد ما يقوم به من أعمال، ومداه الجغرافي، ‏والنطاق النظامي، والتعليمات التي يعمل في سياقها.
2-3	الغرض الأساس من هذه المبادئ تحقيق الأهداف الرئيسة الآتية:
		1)	حماية أصول البنك، والتأكد باستمرار من سلامة وكفاية وفاعلية العمليات، ودقة وموثوقية التقارير عموماً والمالية خصوصاً، التي تُعد لمختلف الأغراض والجهات، وإضفاء الثقة فيها، وتعزيز البيانات الواردة فيها، وبما ‏يمكن من حماية مصالح أصحاب المصلحة.
		2)	تعزيز الالتزام بمتطلبات الجهات الرقابية والإشرافية، والتزام البنك والعاملين به بالأنظمة واللوائح والتعليمات.
3-3	تمثل الوحدة خط الدفاع الثالث والأخير في إطار خطوط الدفاع الثلاثة، والمسؤول المباشر أمام المجلس ولجنة المراجعة بصفة دائمة ومستمرة عن تقييم وتأكيد كفاية وفاعلية عمليات الحوكمة وإدارة المخاطر والضوابط الرقابية والسياسات والإجراءات المنفذة من خطي الدفاع الأول والثاني، وزيادة الثقة بها والإسهام في تحسينها وفق أسلوب منهجي منظم قائم على أساس المخاطر، الذي من خلاله يتم الاستخدام الأمثل للموارد، بتوجيه أعمال المراجعة المالية والإدارية والتشغيلية نحو الأنشطة والأعمال الأكثر خطورة وأهمية للبنك، وتنفيذها بطريقة موضوعية تأخذ في الاعتبار الاستراتيجيات والأهداف المحددة. وتتعزز أهمية هذا الخط الدفاعي بالاستقلالية، مما يعزز من موضوعيته ومصداقيته، ويحقق الفاعلية الاستباقية، وإيضاح الرؤى الجديدة وتحديد الآثار المستقبلية، وتعزيز الأخلاقيات والقيم المناسبة، وبما يزود به الإدارة التنفيذية من تأكيد معقول بأن السياسات والإجراءات تتماشى مع التوقعات المحددة.
4-3	لا تخل هذه المبادئ بالمتطلبات المفروضة على البنوك بموجب الأنظمة واللوائح والتعليمات الأخرى ذات الصلة.
5-3	أصدر البنك المركزي تعليمات عدة تتصل بعض متطلباتها بالمراجعة الداخلية، ويجب أن تُقرأ هذه المبادئ بجانبها -حسب الأحوال- على سبيل المثال لا الحصر كالآتي:
		1)	المبادئ الرئيسة للحوكمة في المؤسسات المالية الخاضعة لرقابة وإشراف البنك المركزي.
		2)	مبادئ السلوك وأخلاقيات العمل في المؤسسات المالية.
		3)	مبادئ الالتزام للبنوك والمصارف التجارية العاملة في المملكة العربية السعودية.
		4)	دليل مكافحة غسل الأموال وتمويل الإرهاب.
		5)	قواعد الحسابات البنكية.
		6)	القواعد التنظيمية لعمل وحدات ولجان الإشراف الذاتي.
		7)	مبادئ مكافحة الاحتيال المالي في البنوك والمصارف العاملة في المملكة.
		8)	إطار الحوكمة الشرعية للبنوك والمصارف المحلية العاملة في المملكة.
		9)	سياسة الإبلاغ عن المخالفات الداخلية لدى المؤسسات المالية.
		10)	التعليمات الصادرة في شأن إدارة المخاطر.
		11)	تعليمات إسناد المهام إلى طرف ثالث.
		12)	الدليل التنظيمي لأمن المعلومات.
		13)	الدليل التنظيمي لادارة استمرارية الاعمال.
		14)	الدليل التنظيمي لحوكمة تقنية المعلومات.
6-3	تحظى وظيفة المراجعة الداخلية باهتمام دوليّ؛ حيث أصدرت عدد من الهيئات والمنظمات الدولية تعليمات ‏إرشادية لها، وينبغي الرجوع لها والاسترشاد بها. ومن هذه الهيئات والمنظمات الآتي:
		1)	لجنة بازل للرقابة المصرفية‎(BCBS).
		2)	‏معهد المراجعين الداخليين (IIA).
		3)	لجنة المؤسسات الراعية (COSO) للجنة الوطنية للتقارير المالية المحرفة (تريدواي).

4- نطاق التطبيق
تسري هذه المبادئ على البنوك المحلية العاملة في المملكة.

الفصل الثاني اختصاصات ومسؤوليات المجلس والإدارة التنفيذية تجاه المراجعة الداخلية

المبدأ (1): مهام ومسؤوليات المجلس تجاه المراجعة الداخلية

5-	لضمان أداء الجمعية العامة العادية لاختصاصاتها تجاه لجنة المراجعة والمراجعة الداخلية المحددة، وفقاً لأحكام نظام الشركات ولوائحه التنفيذية، ولائحة حوكمة الشركات المدرجة الصادرة عن هيئة السوق المالية، والمبادئ الرئيسة للحوكمة في المؤسسات المالية الصادرة عن البنك المركزي؛ يجب على المجلس الآتي:
		1-5	تقديم المقترحات والتوصيات الفاعلة التي تمكن الجمعية العامة العادية من القيام باختصاصاتها.
		2-5	متابعة أي تطورات تحدث في الأنظمة واللوائح والتعليمات ذات العلاقة بالمراجعة الداخلية من الجهات المختصة من وقت لآخر.
6-	بالرغم أن لجنة المراجعة مستقلة في أداء عملها عن عمل المجلس وعن الإدارة التنفيذية، إلا أن ذلك لا يعفي المجلس- وفقاً للمبادئ الرئيسة للحوكمة في المؤسسات المالية- من مسؤولية الإشراف الفعال على لجنة المراجعة ومتابعة أعمالها وواجباتها المنوطة بها.
7-	يقع على عاتق المجلس فيما يتعلق بأدوار ومسؤوليات الإدارة التنفيذية تجاه المراجعة الداخلية المسؤوليات الأتية:
		1-7	المسؤولية النهائية عن التأكد من قيام الإدارة التنفيذية بوضع إطار رقابي داخلي ملائم ذي كفاءة وفاعلية والحفاظ عليه، ويعمل على تحديد جميع المخاطر التي يتعرض لها البنك، وقياسها، ومتابعتها، وإدارتها.
		2-7	التأكد من مراجعة فاعلية وكفاءة نظام الرقابة الداخلية بناء على المعلومات المقدمة من وحدة المراجعة، ولكن دون الاقتصار عليها وحدها.
8-	مع‏ عدم الإخلال باختصاصات ومهام ومسؤوليات المجلس، وفقاً لتعليمات البنك المركزي ذات العلاقة والجهات التنظيمية الأخرى؛ يقع عليه تجاه وحدة المراجعة مسؤولية التأكد بصفة مستمرة من الآتي:
		1-8	اتخاذ جميع الإجراءات اللازمة؛ لضمان وجود واستمرار وحدة مراجعة داخلية دائمة ومستقلة وفاعلة في البنك، وتحديث تنظيمها وسياسة عملها بشكل دوري.
		2-8	التأكد من تناسب حجم الوحدة وكفاءة ومؤهلات رئيسها والعاملين بها مع حجم البنك، وطبيعة أعماله، والأنظمة الآلية قيد الاستخدام، ومع مستوى تعقيد هيكله التنظيمي.
		3-8	التأكد من قيام لجنة المراجعة بإجراء تقييم خارجي مستقل لجودة أداء الوحدة مرة واحدة كل خمس سنوات على الأقل.

المبدأ (2): مهام ومسؤوليات لجنة المراجعة تجاه الوحدة

9-	مع عدم الإخلال باختصاصات ومهام ومسؤوليات لجنة المراجعة المحددة، وفقا للأنظمة والتعليمات ذات العلاقة الصادرة عن البنك المركزي والجهات التنظيمية الأخرى: يقع على عاتقها في متطلبات الإشراف الفعال الآتي:
		1-9	التوصية للمجلس بالموافقة على الهيكل التنظيمي للوحدة، ومراجعته بشكل دوري كلما دعت الحاجة إلى ذلك.
		2-9	التوصية للمجلس بتعيين أو إعادة تعيين أو إقالة رئيس الوحدة أو قبول استقالته.
		3-9	التأكد من وجود الموارد البشرية المناسبة في الوحدة من ناحية العدد والمؤهلات والمهارات، وخاصة في المواضيع المتخصصة، ومنها على سبيل المثال وحدات: الخزينة، المالية، ومعايير التقارير المالية الدولية، ومكافحة غسل الأموال وتمويل الإرهاب، ومخاطر التقنية/ الأمن السيبراني، والحوكمة. ومعايير بازل، والسيولة. والائتمان ووضع المخصصات، وغيرها.
		4-9	دراسة واعتماد خطة المراجعة التي أعدها رئيس الوحدة المبنية على نتائج تقييم المخاطر السنوي، ويشمل ذلك نطاق الخطة والميزانية المخصصة لها.
		5-9	اعتماد استراتيجية الوحدة المعدة من رئيسها ومراقبة أدائها جنباً إلى جنب مع أداء خطة المراجعة السنوية،وبما يتوافق مع الاستراتيجية والأهداف العامة للبنك، وبعد التنسيق في شأنها مع الجهة المختصة في البنك.
		6-9	دراسة ومناقشة تقارير المراجعة الداخلية.
		7-9	مراجعة أداء الوحدة للتأكد من قدرتها على أداء مسؤولياتها باستقلالية وموضوعية.
		8-9	اعتماد مؤشرات قياس أداء رئيس الوحدة، وتقييم أدائه.
		9-9	التأكد من تحلّي رئيس الوحدة بالنزاهة، والقدرة على أداء مهام عمله بصدق وحرص ومسؤولية. والتأكد من تقيده بالأنظمة والتعليمات، وأنه لم يسبق تورطه في أي أنشطة مخالفة.
		10-9	التأكد من اتخاذ الإدارة التنفيذية الإجراءات التصحيحية اللازمة في التوقيت وبالشكل المناسبين؛ لمعالجة نقاط الضعف في الرقابة، ومسائل الالتزام بالسياسات والأنظمة والتعليمات، وغيرها من المخالفات والملاحظات، وجوانب القصور التي تحددها وحدة المراجعة وتبلغ عنها وتوصي بشأنها
		11-9	إجراء التقييم الخارجي المستقل المطلوب- وفقاً لسياسة المراجعة المعتمدة- للتحقق من جودة أعمال الوحدة مرة واحدة كل خمس سنوات على الأقل.

المبدأ (3): مهام ومسؤوليات الإدارة التنفيذية تجاه المراجعة الداخلية

10-	يقع على عاتق الإدارة التنفيذية المسؤوليات الآتية:
		1-10	وضع وتطبيق نظام وإجراءات رقابة داخلية ملائمين وفاعلين والحفاظ علهما.
		2-10	تمكين الوحدة بشكل تام وغير مقيد من الاطلاع على السجلات كافة، والوصول إلى الأشخاص والأنظمة والمباني، وتزويدهم بالمعلومات والبيانات والإيضاحات اللازمة لأداء مهامهم في التوقيت وبالشكل المناسبين.
		3-10	موافاة الوحدة بأي مستجدات، ومبادرات، ومشاريع، ومنتجات، وتغييرات تشغيلية جديدة، أو أي تعديلات على السياسات والإجراءات في وحدات البنك.
		4-10	التأكد من تحديد جميع المخاطر ذات العلاقة (المعروفة أو متوقعة الحدوث)، والإبلاغ عنها إلى الوحدة في مرحلة مبكرة.
		5-10	مشاركة تقييمها لمختلف المخاطر مع الوحدة؛ لتمكينها من تخطيط المراجعة وفق المنهج القائم على المخاطر.
		6-10	اتخاذ التدابير الملائمة والإجراءات التصحيحية في التوقيت وبالشكل المناسبين في شأن جميع النتائج والتوصيات التي ترد إليها من الوحدة.
		7-10	تشجيع دعوة ممثلين للوحدة لحضور اجتماعات اللجان الإدارية المختلفة بصفة مدعو دائم، دون إعطائهم الحق في التصويت على قراراتها.
		8-10	تضمين مؤشرات الأداء الرئيسة للإدارة التنفيذية مؤشرا عن فاعلية تعاملها مع الملاحظات التي تراقبها الوحدة بالشكل وفي التوقيت المناسبين.

الفصل الثالث اختصاصات ومهام ومسؤوليات الوحدة

المبدأ (4): السمات الرئيسة للوحدة

الاستقلالية والموضوعية

	11-	يجب أن تكون الوحدة مستقلة إدارياً عن جميع وحدات العمل الأخرى ذات الأنشطة الخاضعة للمراجعة، وعن خطي الدفاع الأول والثاني استقلالاً تكاملياً معهما، حيث يمكن للوحدة استخدام تقييمهما للمخاطر، ويتطلب ذلك أن تحظى بوضع تنظيمي وصلاحيات كافيين ضمن وحدات البنك بما يمكنها من تأدية مهامها بموضوعية. ويجب عدم تولي أو تكليف رئيس الوحدة والعاملين بها أي مهام وأعمال أخرى في البنك قد تلغي أدوارهم سوى أنشطة المراجعة الداخلية، ومراجعة وتقييم فاعلية وكفاءة تطبيق نظام الرقابة الداخلية.
	12-	يجب أن تتمتع الوحدة بصلاحية تأدية مهامها في جميع مجالات عمل البنك ووحدات العمل فيه، دون أي قيد من الإدارة التنفيذية، أو أي مصدر كان خلاف مرجعها الوظيفي.
	13-	يجب أن يكون للوحدة الحرية في مناقشة المرئيات، والنتائج، والتقييمات، والاستنتاجات التي تتوصل إليها مع لجنة المراجعة والمجلس مباشرة وموافاتهما بتقاريرها مباشرة عبر هيكل تنظيمي -ارتباط وظيفي- واضح بلجنة المراجعة.
	14-	يجب عدم إشراك الوحدة في عملية إعداد (تصميم) إجراءات رقابة داخلية محددة، أو اختيارها، أو تطبيقها، أو إدارتها. ومع ذلك، لا يمنع استقلالها أن تطلب الإدارة التنفيذية منها مدخلات المراجعة الداخلية على مسائل تخص المخاطر والرقابة الداخلية في حال كان دورها الاستشاري للإدارة التنفيذية موثقاً بشكل مفصل في إجراءات وأدلة المراجعة، ولن يؤدي أو يفسر بأنه متعارض مع استقلاليتها.
	15-	يجب أن يخضع التدوير الوظيفي للعاملين في الوحدة لدى وحدات العمل الأخرى لسياسة تدوير وظيفي مكتوبة سليمة داخل إطار عملها؛ تفاديا لتعارض المصالح. ويدخل في ذلك مراعاة وضع فترة فاصلة لا تقل عن اثني عشر شهراً بين ممارسة الموظف لعمله في الوحدة، وتمكينه من مراجعة الأنشطة في مجال عمل البنك الذي تم التدوير الوظيفي فيه.
	16-	يجب تنظيم مكافآت أداء رئيس الوحدة والعاملين بها - إن وجدت - على نحو يضمن عدم نشوء تعارض في المصالح أو المساس باستقلالية الوحدة، وقدرتها على العمل بموضوعية، وبما يتوافق مع التعليمات ذات العلاقة الصادرة عن البنك المركزي، ومع سياسات وممارسات المكافآت المتبعة لدى البنك. ويجب ألا تربط مكافآتهم بالأداء المالي لأنشطة الأعمال التي يتم إجراء مراجعة داخلية عليها، وأن يوصى بمكافآت رئيس الوحدة من قبل لجنة المراجعة وفقا لسياسات وممارسات المكافآت المتبعة لدى البنك.
	17-	يجب أن يؤكد رئيس الوحدة للجنة المراجعة بشكل سنوي -على الأقل- الاستقلال التنظيمي والوظيفي لنشاط الوحدة، إما في بند مخصص في التقرير السنوي أو بموجب مكتوب رسمي مستقل.
	18-	يجب أن يكون للوحدة الحق في طلب اجتماع مع لجنة المراجعة في أي وقت متى ما دعت الحاجة إلى مناقشة أي موضوع ترغب في طرحه.

الجدارة المهنية والعناية الواجبة لها

19-	يجب أن يتحلى رئيس الوحدة بمهارات القيادة والمهارات اللازمة للحفاظ على فاعلية الوحدة.
20-	يجب أن يكون رئيس الوحدة حاصلا على شهادة أكاديمية حسب الآتي:
		1-20	إما في المحاسبة أو المراجعة أو إدارة الأعمال أو غيرها من الشهادات ذات الصلة بالمراجعة الداخلية، ويفضل أن يكون حاصلا معها على إحدى الشهادات المهنية المتخصصة في مجال المراجعة الداخلية أو المحاسبة مثل:(QIAI)‏ أو (CIA) أو (SOCPA)أو (CPA) أو إحدى الشهادات العليا المتخصصة في المحاسبة أو المراجعة أو إدارة الأعمال.
		2-20	وإما في مجال الأعمال التقنية المتخصصة مثل: (مدقق نظم معلومات معتمد ‎(CISA) أو مدير أمن المعلومات المعتمد (CISM) على أن يكون في هذه الحالة حاصلاً بالإضافة إليها على إحدى الشهادات المهنية أو الشهادات العليا المحددة في (1) أعلاه. وفي كلا الخيارين يكون لديه خبرة عملية كافية في مجال المراجعة الداخلية، ويتمتع بالمهارات القيادية المناسبة للوفاء بمسؤولياته، والحفاظ على استقلالية الوحدة وموضوعيتها.
21-	يجب على رئيس الوحدة - وبما لا يتعارض مع سياسة وإجراءات واشتراطات التوظيف العامة للبنك- وضع معايير تضمن استقطاب كفاءات للوحدة تتحلى بالجدارة المهنية، والمعارف العلمية، والخبرات، والمؤهلات، والمهارات الكافية، والقدرة على جمع المعلومات وفهمها، وفحص وتقييم المؤيدات / الأدلة اللازمة خلال عملية المراجعة، والتواصل مع أصحاب المصلحة. ويجب في هذا المطلب دعم وتمكين الكوادر الوطنية وتأهيلها.
22-	يجب على رئيس الوحدة تقييم مهارات العاملين في الوحدة ومتابعة تطويرهم، والتأكد من حصولهم على التدريب المستمر الملائم واللازم لتلبية المتطلبات الفنية للأنشطة المصرفية والتنوع المتزايد في المهام التي يلزم أداؤها نتيجة تقديم منتجات وخدمات وإجراءات جديدة، وبغية مواكبة المستجدات الأخرى في القطاع المالي.

الأخلاقيات المهنية لرئيس الوحدة والعاملين بها

23-	مع مراعاة مبادئ السلوك وأخلاقيات العمل في المؤسسات المالية الصادرة عن البنك المركزي، وبهدف ضمان المحافظة على معايير مهنية للوحدة في جميع الأوقات؛ يجب أن تشتمل -بحد أدنى- سياسة السلوك وأخلاقيات العمل الخاصة بالبنك على مبادئ الموضوعية، والسلوك، والكفاءة، والسرية، والنزاهة، وبأن تنص على الآتي:
		1-23	وجوب التحلي بالمهنية والنزاهة والصدق والأمانة.
		2-23	التأكيد على الحفاظ على سرية المعلومات التي يتم الحصول علها أثناء أداء المهام، وعدم استغلال تلك المعلومات للحصول على مكاسب شخصية أو للقيام بأنشطة مضرة، وتوخي الحرص في حماية المعلومات التي يتم الحصول عليها.
		3-23	تجنب التعارض في المصالح، وفي سبيل ذلك يجب على رئيس الوحدة اتخاذ الإجراءات الكافية للتأكد باستمرار من تحلي العاملين بها بالنزاهة، والالتزام بمبادئ المراجعة الداخلية، ومبادئ السلوك وأخلاقيات العمل في المؤسسات المالية الصادرة عن البنك المركزي.

المبدأ (5)‏: سياسة المراجعة الداخلية

24-	يجب على رئيس الوحدة إعداد سياسة للمراجعة الداخلية وتحديثها بشكل دوري، واعتمادها من المجلس بتوصية من لجنة المراجعة.
25-	يجب أن تشتمل البنود الرئيسة للسياسة -كحد أدنى- على الآتي:
		1-25	الغرض من إنشاء الوحدة ونطاق ومنهجية عملها.
		2-25	موقعها التنظيمي في البنك، وصلاحياتها، ومسؤولياتها، وعلاقاتها مع وحدات الرقابة الأخرى.
		3-25	السمات الرئيسة للوحدة المبينة في هذه المبادئ كحد أدنى.
		4-25	ضمان ما يعزز دورها وأداؤها لمهامها ومسؤولياتها.
		5-25	الحق في التواصل مباشرة مع أي من العاملين في البنك، وفحص نشاط أي وحدة في البنك أو كيان تابع له، وذلك في حال لم يكن للكيانات التابعة للبنك وحدات ولجان مراجعة مستقلتان، وبما لا يخل بالأنظمة والتعليمات ذات العلاقة.
		6-25	الحق في الاطلاع على أي سجلات، أو ملفات، أو بيانات، أو ممتلكات مادية للبنك، وبما لا يتعارض مع تعليمات البنك المركزي ذات العلاقة.
		7-25	الحق في الحصول على نسخ من السجلات والوثائق المؤيدة لأعمال وأنشطة المراجعة، ويتضمن ذلك حق الدخول على أنظمة المعلومات الإدارية والسجلات والمحاضر الخاصة بجميع الجهات الاستشارية في البنك والجهات المعنية باتخاذ القرار.
		8-25	الحق في تمكين الوحدة من أداء دورها وتحقيق مسؤولياتها تجاه مراجعة جميع أنشطة وحدات البنك والكيانات التابعة له داخليا وخارجيا، في حال لم يكن للكيانات التابعة له وحدات ولجان مراجعة مستقلتان، وبما لا يخل بالأنظمة والتعليمات الصادرة ذات العلاقة.
		9-25	الحق في التصعيد إلى لجنة المراجعة دون أي قيود متى ما دعت الحاجة لذلك.
		10-25	الالتزام بإيصال نتائج المراجعين الداخليين المستخلصة من أعمالهم، وتوضيح أسلوب القيام بذلك، وتحديد الجهات المستقبلة- التبعية الإدارية- لتلك الأعمال.
		11-25	مسؤولية الوحدة أمام لجنة المراجعة عن جميع الأمور المتعلقة بأدائها لمهامها ومسؤولياتها.
		12-25	مسؤولية رئيس الوحدة.
		13-25	الشروط والأحكام للتنسيق والمتابعة للعمل بين الوحدة والمراجعين الخارجيين.
		14-25	الشروط والأحكام التي يتم بموجبها طلب خدمات استشارية أو إرشادية من الوحدة أو تكليفها بمهام خاصة أخرى، ولا تخالف التعليمات ذات العلاقة.
		15-25	الالتزام بالقيام بتقييم خارجي مستقل لجودة أعمال الوحدة وتقيدها بسلوك وأخلاقيات العمل والتزامها بمتطلبات مبادئ المراجعة الداخلية للبنوك المحلية في المملكة، مرة واحدة كل خمس سنوات على الأقل.
		16-25	مع مراعاة لتعليمات إسناد المهام إلى طرف ثالث الصادرة عن البنك المركزي؛ الشروط والأحكام التي تحدد طريقة ووقت وأحوال إسناد إحدى مهام الوحدة المتخصصة المحدودة إلى مقدمي خدمات خارجيين، بحيث يكون الأساس فيها والحد الأدنى لها عدم توافر خبرات وكفاءات متخصصة لدى الوحدة في المهمة المتخصصة مثل أمن المعلومات وغيرها من الأعمال المتخصصة، ومسؤولية المجلس عنها في المقام الأول والوحدة عن الرقابة الملائمة على تنفيذها، وأدائها بموجب اتفاقية عدم إفصاح، وتحقيقها لنقل المعرفة واكتساب الخبرة إلى العاملين في الوحدة، وعدم تأثيرها على قدرة الوحدة على العمل باستقلالية وموضوعية، وعدم التعاقد مع جهة سبق لها التعاقد على المهمة نفسها إلا بعد مضي فترة لا تقل عن ثلاث سنوات، وألا يكون مقدم الخدمة من مراجعي الحسابات الخارجيين الحاليين للبنك، ولا يعيق الإسناد فاعلية رقابة البنك المركزي، والحصول على عدم ممانعته المسبقة على إسنادها.
		17-25	المتطلبات والآليات لمراجعة الكيانات التابعة للبنك التي ليس لديها وحدات مراجعة ولجان مراجعة مستقلتان.
		18-25	الالتزام بالمعايير الدولية للمراجعة الداخلية المعتمدة ذات الصلة.
		19-25	نطاق ومضامين التقرير الدوري للوحدة المقدم للمجلس.
		20-25	صلاحية الرجوع إلى ميثاق المراجعة الداخلية الموحد لمعهد المراجعين الداخليين، واستخدام المعايير المنصوص عليها في ذلك الميثاق كدليل إرشادي عند إعداد سياسة المراجعة الداخلية. وللبنوك إضافة ما تراه مهمّاً، حسب الاقتضاء، دون إخلال بالأنظمة واللوائح والسياسات ذات العلاقة.
26-	يجب التركيز في السياسة على المبادئ التوجيهية لمجالات المراجعة الداخلية والرقابة، بما في ذلك التوجيه رفيع المستوى لكل نشاط من أنشطة وحدة المراجعة، إضافة إلى آلية موثقة بشكل رسمي لحل أي تباينات في وجهات النظر التي قد تنشأ مع الوحدة، على سبيل المثال: ما يخص تصنيف الملاحظات، والتصنيف العام للتقرير، والمحتويات، والمخاطر البارزة، ... إلخ.
27-	يجب إتاحة تلك السياسة لجميع أصحاب المصلحة للبنك للاطلاع عليها وفق الآلية الملائمة المتبعة في البنك.

المبدأ (6)‏: تنظيم الوحدة ومهامها ومسؤولياتها

الهيكل التنظيمي ورفع التقارير

28-	يجب أن يكون للوحدة هيكل تنظيمي محدد بوضوح معتمد من المجلس يتبع لجنة المراجعة وظيفياً والرئيس التنفيذي إدارياً، ويعكس الأدوار المتخصصة داخل الوحدة، ويتناسب مع حجم وطبيعة وتعقيد أعمال البنك.
29-	يفضل أن تشكل الوحدات فريقاً متخصصاً من كبار المراجعين-أصحاب الخبرة و الكفاءة-لإدارة و التأكد من تنفيذ كافة طلبات إجراء المراجعة التي يطلبها البنك المركزي،و تلبيتها بمخرجات ذات جودة عالية بصورة مستمرة.
30-	يجب أن ترفع الوحدة تقارير المراجعة التي تنفذها إلى لجنة المراجعة وإلى الرئيس التنفيذي، مع عدم تأثير نتائج تلك التقارير على تقييم أداء رئيس الوحدة والعاملين بها وتحديد أجورهم.
31-	يجب أن تبلغ الوحدة الإدارة التنفيذية بجميع النتائج المهمة التي تتوصل إليها بشأن تطبيق نظام وإجراءات رقابة داخلية ملائمة وفعالة والحفاظ علها؛ لكي تتمكن الإدارة التنفيذية من اتخاذ الإجراءات التصحيحية في التوقيت وبالشكل المناسبين. ويجب على الوحدة متابعة نتائج تلك الإجراءات التصحيحية مع الإدارة التنفيذية.

متطلبات ومسؤوليات رئيس الوحدة

32-	يجب أن يتمتع رئيس الوحدة بالاستقلالية والموضوعية والجدارات والأخلاقيات اللازمة لممارسة دوره ومهامه.
33-	يجب تحديد مسؤولياته بشكل واضح، على أن تتضمن -كحد أدنى- الآتي:
		1-33	العمل على استقطاب موارد بشرية تتمتع بمؤهلات ومهارات مناسبة، بناءً على تحليل رسمي للاحتياجات الفعلية للوحدة اللازمة لتأدية نشاطها بالكفاءة المطلوبة، ومقارنة تلك الاحتياجات مع الموارد البشرية المتوافرة بشكل فعلي لدى الوحدة ومستوى كفاءتها. ووضع خطة لتوفير تلك الاحتياجات والكفاءات اللازمة، ومشاركتها مع لجنة المراجعة بشكل رسمي؛ لتتولى متابعة تنفيذ عملية الاستقطاب وتقييم مناسبتها. ويجب أن يراعى في تحليل الاحتياجات المعايير الدولية ومجالات المخاطر الناشئة وخبرة المراجعة.
		2-33	العمل على سعودة وظائف الوحدة بحسب ما تقضي به التعليمات ذات العلاقة.
		3-33	تطوير الفرق والمهارات المتعلقة بتقنيات المراجعة بمساعدة النظم (الوسائل) التقنية، وبرامج تحليل الأداء الوظيفي؛ من أجل توسيع نطاق تغطية مراجعاتهم وإدارة المخاطر المتعلقة بالأنظمة بصورة أكثر شمولا.
		4-33	متابعة وتقييم وتطوير العاملين في الوحدة بشكل مستمر.
		5-33	التأكد من تحلي والتزام الوحدة بالنزاهة والعمل وفقاً لمعايير مراجعة داخلية سليمة.
		6-33	وضع خطة المراجعة الداخلية والعمل على اعتمادها من لجنة المراجعة، ومراجعتها وتحديثها بشكل دوري.
		7-33	وضع وإعداد سياسة المراجعة الداخلية ومراجعتها بشكل دوري كلما دعت الحاجة إلى ذلك ومع كل دورة للجنة المراجعة، والرفع بها وأي تحديثات عليها لاعتمادها من المجلس بتوصية من لجنة المراجعة.
		8-33	إعداد إستراتيجية للمراجعة الداخلية بما يتماشى مع إستراتيجية البنك واعتمادها من لجنة المراجعة، والرفع إلى اللجنة دورياً بنتائجها ومدى الالتزام بها.
		9-33	المشاركة في اللجان ذات العلاقة، ومنها على سبيل المثال لا الحصر: المخاطر، والالتزام، مع مراعاة المبادئ الرئيسة للحوكمة في المؤسسات المالية.
		10-33	الاجتماع مع لجنة المراجعة بشكل منفرد كلما دعت الحاجة والضرورة إلى ذلك.
		11-33	متابعة أعمال مقدمي الخدمات الخارجيين في حال إسناد بعض أو جزء من مهام المراجعة الداخلية لهم، والتحقق من التزامهم بسياسة المراجعة الداخلية، والتأكد من عدم تأثيرهم على استقلالية وموضوعية الوحدة، ومن نقلهم المعرفة والخبرة ذات العلاقة إلى العاملين في الوحدة.
		12-33	وضع قائمة (مصفوفة) تفصيلية تحتوي على حصر وتصنيف للمخاطر المحتملة نتيجة لتعليق أو تأجيل إحدى عمليات المراجعة أو جزء منها بما يتجاوز عام الخطة، وتحتوي أيضا على تقييم ودرجة تصنيف لتلك الاحتمالات، سواء كان التعليق أو التأجيل رغبة من الوحدة نفسها أو طلبا واردا لها من الوحدات الأخرى، والرفع إلى لجنة المراجعة لأخذ موافقتها عن كل حالة من حالات التعليق/ التأجيل المصنفة عالية ومتوسطة المخاطر، موضحاً في الطلب الأسباب والمرئيات مع التأكيد على استمرار المخاطر.
		13-33	تحديد قائمة بالعوامل التي يجب أخذها بعين الاعتبار أثناء اختيار عينات الفروع للمنطقة الجغرافية المراد مراجعتها ميدانيا.
		14-33	تشجيع العاملين في وحدة المراجعة على الحصول على شهادة مراجع داخلي معتمد وشهادات مهنية أخرى (أو إحداهما) لرفع كفاءة المراجعين الداخليين العاملين في القطاع المصرفي.
		15-33	تمكين ودعم إجراء التقييم الخارجي المستقل لجودة أعمال وحدة المراجعة المطلوب تنفيذه مرة واحدة كل خمس سنوات على الأقل؛ للتأكد من جودة مخرجات المراجعة -تنفيذاً للسياسة المعتمدة من المجلس- المبني على توجيه وموافقة لجنة المراجعة واختيارها للجهة المستقلة. بحيث تقدم نتائجه إلى اللجنة، ويتم العرض به للمجلس.

عدم ممانعة البنك المركزي على تعيين رئيس الوحدة وتغييره

34-

مع مراعاة ما ورد في متطلبات التعيين في المناصب القيادية في المؤسسات المالية الخاضعة لإشراف البنك المركزي، والمبادئ الرئيسية للحوكمة في المؤسسات المالية الصادرة عن البنك المركزي؛ يجب على البنك الحصول على عدم ممانعة البنك المركزي المسبقة على تعيين أو تكليف أو تمديد تكليف مسؤول الوحدة، كما يجب على البنك أن يحصل على عدم ممانعة البنك المركزي المسبقة في حال ترك رئيس الوحدة لمنصبه (استقالة -تغيير لوظيفة أخرى- إنهاء خدمة-...إلخ)، مع توثيق وذكر السبب للتغيير.

إجراءات العمل الداخلية للوحدة

35-	يجب وضع أدلة إجراءات عمل للوحدة (مستقلة أو كقسم ضمن دليل المراجعة)؛ لتوجيه العاملين بها عند قيامهم بأداء الأنشطة اليومية، بحيث يغطى فها جميع أنشطة الوحدة بشكل مفصل وكافٍ لتوفير الإرشادات للعاملين بها خطوة بخطوة، وأن يحتوي كل نشاط من أنشطة الوحدة على مهام سير عمل تسلسلية تظهر الدورة الكاملة لكل عملية من عمليات ذلك النشاط جنبا إلى جنب مع توجيه وصفي له، ويجب أن تتماشى الأدلة مع إرشادات مفصلة لتنفيذ سياسة المراجعة.
36-	يجب أيضا وضع (توفير) أدلة عمل مفصلة لاستخدام أنظمة المراجعة التقنية، تسهل على العاملين الحاليين في الوحدة والمنضمين حديثاً إليها من سهولة استخدامها ومعرفة إمكاناتها.
37-	يجب عند وضع إجراءات العمل للوحدة الرجوع إلى معايير وإرشادات معهد المراجعين الداخليين "المعايير الدولية للممارسة المهنية للمراجعة الداخلية" ومستجداته، وإلى أفضل الممارسات والاسترشاد بها في الإجراءات.

‏الوحدات والكيانات التابعة للبنك الخاضعة للمراجعة الداخلية ودورة المراجعة

38-	يجب أن توثق الوحدة قائمة شاملة بالوحدات في البنك والكيانات التابعة له الخاضعة للمراجعة؛ لتكون إطاراً شاملاً لعمليات المراجعة.
39-	يجب أن يغطى في تلك القائمة جميع وحدات العمل والمنتجات والخدمات والأنظمة والمخاطر والعمليات الخاصة بالبنك.
40-	يجب أن تشتمل تلك القائمة على جميع متطلبات البنك المركزي على الوحدة، وتكون جزءاً من إطار المراجعة الشامل.
41-	يجب التأكد أن برامج المراجعة الشاملة لتلك القائمة تغطي تعليمات البنك المركزي ذات الصلة والسياسات الداخلية، وأنه تم تطويرها على مستوى كل وحدة في البنك وكيان تابع له في إطار المراجعة الشامل.
42-	يجب أن تطور الوحدة إطاراً رسميا لتقييم مخاطر كل وحدة في البنك وكيان تابع له -تم حصر في القائمة- على حدة، ويجب أن يحدد هذا الإطار أيضا عوامل المخاطر، على سبيل المثال: آخر تقييم للمراجعة، والوقت المنقضي منذ آخر عملية مراجعة، وحجم المخاطر القابلة للتطبيق والمتحققة، ومدى تعقيدها. وما إلى ذلك كأساس لتقييم المخاطر. وقد يعتمد معدل تكرار المراجعة لكل وحدة في البنك وكيان تابع له على نتائج تقييم المخاطر هذا (أي أنه يزيد معدل التكرار للوحدات والكيانات التابعة ذات المخاطر العالية).
43-	يجب أن تراجع الوحدة بشكل سنوي -على الأقل- جميع الوحدات في البنك والكيانات التابعة له الموثقة رسمياً في القائمة؛ للتأكد بأنها مكتملة وتشمل جميع الوحدات والمنتجات والأنظمة والإجراءات الخاصة بالبنك.
44-	يجب أن توثق الوحدة دورة رسمية لعملية المراجعة يُغطى فيها جميع الوحدات في البنك والكيانات التابعة له التي جرى توثيقها في القائمة، وتنفيذ تلك الدورة خلال فترة زمنية محددة قد تمتد من ثلاث إلى أربع سنوات حسب درجة تصنيف درجة مخاطر كل ما تم حصره، وبما يتفق مع المنهج القائم على المخاطر.

منهجية تقييم المخاطر

45-	يجب أن تشتمل منهجية تقييم المخاطر على الآتي:
		1-45	إرشادات موثقة ومفصلة توضح وتساعد المراجعين الداخليين في تصنيف المخاطر عند إعداد كل ملاحظة.
		2-45	إرشادات موثقة ومفصلة لتقييم المخاطر في تقرير المراجعة الإجمالي.
		3-45	تحديد العوامل الكمية والنوعية اللازمة لتسهيل الفهم والتطبيق المتسق للعاملين في المراجعة.
		4-45	تصنيف مواضيع بلاغات المخالفات الداخلية للبنك -التي يجب أن تُزود وحدة المراجعة بنسخ منها- حسب مستوى مخاطرها ومدى الالتزام بوصولها إلى جهة الاختصاص في البنك ومن توثيقها.
		5-45	تصنيف جميع حالات عدم الالتزام بتعليمات البنك المركزي على أنها عالية المخاطر، ما لم يستند عدم التصنيف إلى مبررات محددة موافق عليها من وحدة الالتزام بعدم التصنيف على المخاطر، وتكون المبررات مستندة إلى آلية تصنيف مخاطر تتضمن حجم وتأثير عدم الالتزام.

خطة المراجعة الداخلية القائمة على المخاطر

46-	يقع على رئيس الوحدة مسؤولية وضع خطة المراجعة الداخلية السنوية والجداول الزمنية لتنفيذها، والعمل على اعتمادها من لجنة المراجعة، ويجب الاستناد عند وضع الخطة على تقييم وثيق للمخاطر (أخذاً في الاعتبار مدخلات الإدارة التنفيذية)، ويمكن أن تكون تلك الخطة ضمن خطة متعددة السنوات، وفي هذه الحالة يجب مراجعتها وتحديثها سنوياً؛ بهدف الاستجابة للتغييرات الحاصلة في القطاع وفي سجل مخاطر البنك، أو لمرات أكثر في السنة؛ للتمكن من إجراء تقييم بصورة مستمرة وآنية للمواطن التي تكمن فيها المخاطر المؤثرة.
47-	‏يجب أن تشتمل خطة المراجعة السنوية على قائمة بوحدات العمل والأنشطة الخاضعة لعملية المراجعة وتقييم المخاطر، مع الأخذ في الاعتبار أن إعدادها بشكل جيد يسهم في تقديم أسلوب مراجعة منهجي.
48-	يجب في تنفيذ خطة المراجعة السنوية أن تتضمن برامج عمل المراجعة إجراءات مراجعة تفصيلية لكل وحدة عمل تخضع للمراجعة، وتوضيحات كافية بشأن نطاق ارتباطها. واستبانات. وتحقق تغطية كافة المخاطر الأساسية أو الجوهرية المحتملة، وعناصر التحكم والتعليمات التنظيمية الإشرافية. والأخذ في الاعتبار أن التقييم والمهارات التحليلية للمراجعين الداخليين؛ تُعد أساسية لضمان جودة عالية للمراجعة الداخلية.
49-	يجب حصر قائمة بجميع توقعات الجهات الإشرافية من وحدات المراجعة، ويكون منصوص على هذا المتطلب في سياستها أو إجراءاتها. ويجب أن تشكل كلّ من تلك القائمة والمجالات المطلوبة في إطار المراجعة الشامل مصدرين من بين مصادر أخرى، على سبيل المثال: بناءً على دورة المراجعة، وأكبر المخاطر التي يواجهها البنك، ومجالات المخاطر الجديدة أو الناشئة، وما إلى ذلك؛ لتطوير خطة المراجعة الداخلية السنوية. ويجب أن يتجاوز معدل تكرار المراجعات -أينما هو محدد من البنك المركزي- تقييم المخاطر الداخلية الذي تجريه وحدة المراجعة.
50-	يجب توافر الموارد الملائمة لدعم الوحدة في تأدية مهامها، بما يتناسب مع خطة المراجعة الداخلية السنوية.
51-	يجب أن تقوم الوحدة بشكل دوري بإجراء تقييم ذاتي لمواضيع محددة في متطلبات البنك المركزي وأي جهات تنظيمية أخرى، ويجب تطوير الإمكانيات وتخصيص الموارد الكافية اللازمة لتلك المواضيع، ووضع مساحة كافية لها في خطة المراجعة الداخلية.

تقنية المعلومات للوحدة

52-

ينبغي أن تؤدي الوحدة أنشطتها بواسطة أنظمة تقنية مناسبة، وبما يمكن من جعل وظيفة المراجعة الداخلية أكثر كفاءة.

53-

ينبغي أن تجري الوحدة تحليل رسمي للثغرات باستخدام أدوات الأتمتة الحالية، والعمل على إغلاقها، وتسليط الضوء على الأنشطة التي يتم إجراؤها حالياً بشكل يدوي، وتطوير خطط عمل لأتمتة جميع تلك الأنشطة -حيثما أمكن ذلك- وتصعيدها إلى لجنة المراجعة لأغراض المراقبة.

برنامج تأكيد الجودة وتحسين الأداء

54-	يجب أن تنشئ الوحدة وحدة عمل داخلية لديها تتبع رئيس الوحدة إدارياً بشكل مباشر، تكون مخصصة للتأكد من الجودة وحسن الأداء، وبحيث يتم تزويدها بموارد مؤهلة وذات خبرة جيدة ومناسبة.
55-	يجب أن تضع وحدة المراجعة برنامجاً للتأكد من الجودة وتحسين الأداء. بحيث يغطي جميع جوانب نشاط المراجعة الداخلية. ويجب أن يحتوي على كلٍ من التقييمات الداخلية (التقييمات المستمرة والمراجعة السنوية الشاملة) والتقييمات الخارجية (التي تنفذ مرة واحدة كل خمس سنوات على الأقل)، وأن ترفع نتائجه إلى لجنة المراجعة.
56-	يجب أن تراجع وتقيّم وحدة تأكيد الجودة وتحسين الأداء جميع أنشطة وتقارير وحدة المراجعة على أساس مستمر. ويجب على رئيس وحدة المراجعة رفع تقارير منتظمة عن نتائج مراجعة وتقييمات تلك الوحدة (الجارية والسنوية) إلى لجنة المراجعة.
57-	يجب أن يكون من ضمن اختصاص وحدة تأكيد الجودة وتحسين الأداء مراجعة وتحديث سياسة وإجراءات العمل الداخلية لوحدة المراجعة، وتدريب العاملين بها وتحفيزهم، والعمل على الارتقاء بجودة العمل فيها وغيرها من مهمات تحسين الأداء،

التقارير الدورية إلى لجنة المراجعة

58-	يجب أن تُعد وحدة المراجعة تقارير دورية عن مراجعتها وترفعها إلى لجنة المراجعة، وتقوم اللجنة بدورها برفعها إلى المجلس بشكل مباشر ومستقل دون أي تنقيح من الإدارة التنفيذية أو من أي مصدر كان. وتكون في حدها الأدنى ونطاقها حسب الآتي:
		1-58	تقرير ربع سنوي: يتضمن تقييماً لنظام الرقابة الداخلية للوحدات التي جرى مراجعتها. والنتائج والتوصيات المتعلقة بوحدات العمل التي خضعت للمراجعة ضمن نطاق عمل الوحدة، والإجراءات التي اتخذتها كل وحدة في شأن النتائج والتوصيات التي وردت في عملية المراجعة السابقة، وتوضيح حالة النتائج التي لم تعالجها الإدارة التنفيذية، وحالات الإخفاق في الاستجابة بسرعة لتلك النتائج والتوصيات، وأسباب الإخفاق.
		2-58	تقرير سنوي عام (شامل): يتضمن تقييماً لنظام الرقابة الداخلية للبنك وأنشطة المراجعة المنفذة خلال السنة المالية بالمقارنة مع الخطة المعتمدة، وبيان أسباب أي قصور أو انحراف عن الخطة - إن وجد- في موعد لا يتعدى نهاية الربع التالي لنهاية السنة المالية المعنية، أو حسب تواريخ الخطة السنوية المعتمدة.

قاعدة البيانات وحفظ المستندات والتقارير

59-	يجب على وحدة المراجعة إنشاء قاعدة بيانات لأعمالها، وتحديثها بصفة مستمرة.
60-	مع مراعاة ما ورد في تعليمات البنك المركزي ذات العلاقة والجهات التنظيمية الأخرى؛ يجب حفظ جميع تقارير المراجعة الداخلية والنتائج والتوصيات وخطط التصحيح والمستندات الداعمة ذات الصلة في سجلات إلكترونية في قاعدة البيانات، إضافة إلى جميع ما قد يتوصل إليه المراجعون المستقلون من نتائج سبق أن توصل إليها موظفو المراجعة، وحفظ جميع المستندات الخاصة بالعمل، وما يتعلق بالمراجعة الداخلية من إنجازات، ونتائج وتوصيات، وجميع التدابير المتخذة في ذلك الشأن وفقاً لتعليمات البنك المركزي ذات العلاقة.
61-	يجب إعداد واعتماد دليل رسمي (بشكل مستقل أو كقسم ضمن دليل المراجعة) للاحتفاظ بالسجلات للمراجعة ‏الداخلية وآلية الاحتفاظ. ويجب أن يصف هذا الدليل طرق الحفظ وتفاصيل أوراق العمل والمعلومات جميعاً التي يجب الاحتفاظ بها، والحد الأدنى للفترة الزمنية للاحتفاظ بها، وتوصية وحدة المراجعة. أخذاً في الاعتبار الأنظمة والتعليمات ذات العلاقة بحفظ البيانات والمعلومات المبلغة من الجهات التنظيمية (الإشرافية) ‏المختصة.

المبدأ (7): نطاق عمل الوحدة

62-	يقع ضمن النطاق العام للوحدة كل وحدة في البنك وكيان تابع له (التي ليس لديها وحدات ولجان مراجعة مستقلة)، ويشمل ذلك جميع أنشطة وعمليات ومنتجات وخدمات البنك، والمهام المتخصصة المحدودة التي قد يتم إسنادها إلى مقدم خدمات خارجي بما في ذلك مراجعة وتقييم فاعلية تطبيق نظام الرقابة الداخلية، وأعمال وإجراءات المخاطر والحوكمة والالتزام والمتطلبات الإشرافية واللجان، وخدمات الاستشارات، وتقييمها للبنك بأكمله، بما في ذلك الفروع والكيانات التابعة.
63-	تتولى الوحدة مستقلة-ضمن نطاق اختصاصها وخطة عملها-تقييم الآتي:
		1-63	فاعلية وكفاية أعمال الرقابة الداخلية، وإدارة المخاطر، والحوكمة في إطار المخاطر الحالية والمخاطر ‏المستقبلية المحتملة، بما في ذلك اللجان.
		2-63	الإجراءات التي وضعتها وحدات الأعمال ووحدات الدعم.
		3-63	درجة موثوقية سياسات وإجراءات نظم المعلومات الإدارية، وفاعليتها، وسلامتها (يشمل ذلك: مدى ارتباط ‏البيانات، ودقتها، واكتمالها، وتوافرها، وسريتها، وشموليتها).
		4-63	مستوى الالتزام بالأنظمة واللوائح والتعليمات، والسياسات والإجراءات الداخلية للبنك.
		5-63	كفاية وفاعلية إجراءات حماية الأصول.
		6-63	كفاية وفاعلية التقارير كافة وآلية إعدادها.
64-	المشاركة -عند الطلب- في التحقيقات التي تتم داخل البنك التي لا تتعارض مع اختصاص ومهام ومسؤوليات الوحدة -متى ما دعت الحاجة- وفق تقدير رئيس الوحدة؛ على أن تُزود لجنة المراجعة بالتقارير التي أُعدت عن تلك التحقيقات.
65-	مع مراعاة التعليمات ذات العلاقة، ومتطلبات تطبيق النهج القائم على المخاطر وأساليبه: يجب على الوحدة في تطبيقها لنطاق أنشطتها أن تغطي بشكل صحيح في خطة المراجعة متطلبات المواضيع ذات الأهمية رقابياً وإشرافياً حسب المدد المحددة في كل متطلب أو بشكل سنوي (على الأقل) إذا لم تحدد المدد ما لم يتطلب تقييم المخاطر للوحدات فترة أقل من ذلك للأنشطة الآتية:

وحدة إدارة المخاطر

66-	يجب على الوحدة أن تضع في خطتها تجاه وحدة إدارة المخاطر بصفة أساسية الآتي:
		1-66	تنظيمها وصلاحياتها، ويشمل ذلك مخاطر: السوق، والائتمان، والسيولة، وأسعار الفائدة، والمخاطر ‏التشغيلية والمخاطر القانونية. وأي مخاطر أخرى.
		2-66	تقييم القدرة على تحمل المخاطر، وتصعيد القضايا والقرارات التي اتخذتها ورفع التقارير في شأنها.
		3-66	مدى كفاية سياسات وإجراءات العمل للكشف عن المخاطر الناشئة من أنشطة البنك، وقياسها، وتقييمها، ومتابعتها، ومعالجتها، ورفع التقارير في شأنها.
		4-66	سلامة أنظمة معلوماتها، ويشمل ذلك مدى دقة البيانات المستخدمة وموثوقيتها واكتمالها.
		5-66	اعتماد نماذج المخاطر والحفاظ على استمراريتها، ويدخل في ذلك عملية التحقق من درجة اتساق مصادر المعلومات المستخدمة في تلك النماذج، ومناسبة توقيتها، واستقلاليتها، وموثوقيتها.
		6-66	مدى وجود تباين كبير بين وجهات نظرها والإدارة التنفيذية بشأن مستوى المخاطر التي يواجهها البنك.
		7-66	مدى التزام جميع وحدات العمل والعاملين بها بمصفوفة الصلاحيات داخل البنك، وعدم تجاوز أي صلاحيات ممنوحة.

رأس المال والسيولة

67-	يجب على الوحدة وضع كافة متطلبات الإطار التنظيمي الخاص برأس المال والسيولة ضمن نطاق أنشطتها، ‏وبالأخص الآتي:
		1-67	وثيقة التقييم الداخلي لكفاية رأس المال، ووثيقة التقييم الداخلي لكفاية السيولة.
		2-67	تعليمات تحديد رأس مال البنك التنظيمي (المتطلب) وقياسه، وقياس مدى كفاية موارده الرأسمالية إلى تعرضاته للمخاطر، والحد الأدنى من المؤشرات التي تم إقرارها.
		3-67	دراسة الإجراء المتبع في تنفيذ اختبارات التحمل لمستويات رأس المال والسيولة، أخذاً في الاعتبار تكرار تلك الاختبارات، وغرضها، ومعقولية السيناريوهات المفترضة، والافتراضات المستخدمة، وموثوقية الإجراءات المتبعة.
		4-67	تعليمات البنك وإجراءاته في قياس أوضاع سيولته ومتابعتها بالنسبة إلى سجل مخاطره، والبيئة الخارجية المحيطة بأعماله، والحد الأدنى من المتطلبات التنظيمية (الإشرافية).

رفع التقارير التنظيمية (الإشرافية) والداخلية

68-	يجب تقييم فاعلية العملية التي تتواصل من خلالها وحدة المخاطر ووحدة العمل المختصة برفع التقارير لغرض ‏إصدار تقارير ذات علاقة بحيث تكون دقيقة، وذات توقيت مناسب ويعتمد عليها، سواء داخليا أو لأغراض ‏تنظيمية (إشرافية).

وحدة الالتزام

69-	يجب دراسة نطاق أنشطة وحدة الالتزام، وتقييم مدى فاعلية تنفيذها لمسؤولياتها فيما يتعلق بمخاطر عدم الالتزام.
70-	التعاون مع وحدة الالتزام عند قيامها بمتابعة المهام والمسؤوليات والأعمال التي يطلبها البنك المركزي من وحدة المراجعة بالشكل والتوقيت المحددين.

الحوكمة

71-	يجب دراسة نطاق أنشطة الحوكمة لدى البنك، وبصفة أساسية القيام بالآتي:
		1-71	تقييم مدى فاعلية تنفيذ تلك الوحدة المختصة لمسؤولياتها.
		2-71	مراجعة جميع السياسات والإجراءات المتعلقة بالحوكمة داخل البنك، والتأكد من مواءمتها للأنظمة واللوائح والتعليمات وتحديثاتها ومن تطبيقها وفعاليتها
		3-71	التأكد من التزام البنك بجميع الأنظمة من الجهات الرقابية داخل المملكة المتعلقة بالحوكمة.
		4-71	التأكد من وجود نظام رقابي فعال للحد من عمليات الاحتيال داخل البنك.
		5-71	طريقة ترشيح ممثلي البنك في الشركات التابعة له. والتأكد من وجود سياسات وإجراءات تحكم ذلك.

وحدة المالية

72-	يجب أن تضع وحدة المراجعة ضمن نطاق عملها -كحد أدنى- الجوانب الآتية:
		1-72	تنظيم وصلاحيات وحدة المالية.
		2-72	كفاية وسلامة البيانات المالية وأنظمة وتعليمات وإجراءات الشؤون المالية، وآلياتها لتحديد البيانات الرئيسة‎ ‏(مثل: الربح أو الخسارة، وتقديرات الأدوات المالية، والمخصصات)، ورصدها، وقياسها، ورفع التقارير في‎ ‏شأنها، بحيث يشمل ذلك التغيرات اللازمة وفقاً لمعايير المحاسبة الدولية، والمعايير الدولية للتقارير المالية.
		3-72	اعتماد نماذج التسعير والحفاظ على استمراريتها، ويدخل في ذلك عملية التحقق من اتساق مصادر المعلومات المستخدمة في تلك النماذج، ومناسبة توقيتها، واستقلاليتها، وموثوقيتها.
		4-72	الضوابط المعتمدة لمنع حصول المخالفات والكشف عنها.
		5-72	الضوابط على الميزانية العمومية، شاملةً عمليات التسويات والإجراءات المتخذة (مثل: التعديلات)، والمهام والأنشطة التنظيمية ذات العلاقة، وتعليمات أنشطة أخرى عديدة ومتتالية - من وقت لآخر- يتوجب على وحدات المراجعة مراجعتها خلال الفترات الزمنية يتم تحديدها، وينبغي توثيقها في إجراءات وإطار المراجعة الشامل، إلى جانب الوتيرة الزمنية المطلوبة للالتزام الدقيق، ومنها على سبيل المثال لا الحصر: وحدة أمن المعلومات (الأمن السيبراني)، واستمراريات الأعمال، ومكافحة غسل الأموال وتمويل الإرهاب، والحسابات الراكدة، وغيرها في الوقت الحالي وما يستجد مستقبلاً.

المبدأ ‎:(8)‏ علاقة الوحدة بوحدات خط الدفاع الثاني وبالمراجعين الخارجيين

(أ) علاقتها بوحدات خط الدفاع الثاني

73-

تخضع وحدات خط الدفاع الثاني لمراجعة مستقلة من وحدة المراجعة، ولكل وحدة من تلك الوحدات مجالات مرتبطة بشكل وثيق بالوحدات الأخرى عموماً وبوحدة المراجعة خصوصاً. ولكنها منفصلة جميعاً عن بعضها البعض تنظيمياً، وبناء على شمولية التغطية الرقابية يوفر العمل الرقابي الذي يؤديه خط الدفاع الثاني عموماً ووحدة إدارة المخاطر ووحدة الالتزام خصوصاً معلومات قيمة لوحدة المراجعة يعتمد عليها، إلا أن إمكانية الاعتماد على تلك المعلومات يخضع لتقييم رئيس وحدة المراجعة.

(ب) علاقتها بالمراجعين الخارجيين

74-

يقوم المراجعون الخارجيون المعينون من البنك بدور مهم في التحسين المستمر لأنظمة الرقابة الداخلية للبنك المتصلة بنطاق عملهم؛ لذا يجب أن يكون عملهم تكاملياً مع وحدة المراجعة. بموجب تنسيق من خلال آلية محددة واجتماعات دورية (استناداً إلى ما ورد في سياسة المراجعة الداخلية المعتمدة) تمكن كلا الجهتين من الاطلاع باستمرار على المخاوف ذات الأهمية الكبيرة. ويجب على لجنة المراجعة التأكد من ذلك التنسيق وفاعلية تطبيقه.

المبدأ (9):‏ المراجعة الداخلية لأنشطة الكيانات التابعة للبنك

75-	في الأحوال التي يكون للبنك كيان تابع له ولديه وحدة مراجعة ولجنة مراجعة مستقلتان – مع مراعاة عدم الإخلال بالأنظمة والتعليمات ذات الصلة- يفضل اتخاذ أي من الآتي:
		1-75	الحصول على مقعد لرئيس الوحدة في البنك أو من ينوبه في لجان المراجعة في الكيانات التابعة للبنك؛ بهدف متابعة التطورات والاطمئنان على وضع الرقابة الداخلية فيها.
		2-75	إجراء اختبارات محدودة للتأكد من جودة عمليات وحدة المراجعة للكيان التابع للبنك؛ للتحقق من سلامة سير أعمالها.
76-	في الأحوال التي يكون للبنك كيان تابع له ولا يوجد لديه وحدة للمراجعة ولجنة للمراجعة مستقلتان - مع مراعاة عدم الإخلال بالأنظمة والتعليمات الصادرة ذات العلاقة- يجب القيام بالآتي:
		1-76	أن تحدد سياسة المراجعة المعتمدة كيفية عمل مراجعتها.
		2-76	أن تبلغ الوحدة لجنة المراجعة بنتائج أنشطة مراجعة تلك الكيانات.

إطلاق تجريبي