تجاوز إلى المحتوى الرئيسي
رجوع طباعة مخصصة نص فقط النص الغني الطباعة

  • نظـام إدارة المخاطـر والضـوابط الداخلية لشـــركات التأمـــين

    تعميم رقـم:2022/25

    التاريخ:2022/12/30

    إلـــى:كافـــة شركــات التأميـن

    الموضوع:نظام ومعايير إدارةالمخاطر والضوابط

    الداخلية لشركات التأمين

    مجلس الإدارة،

    بعــد إلاطلاع على المرسوم بقانون اتحادي رقم (14) لسنة 2018 في شأن المصرف المركزي وتنظيم المنشآت والأنشطة المالية وتعديلاته؛

    وعلى القــانون الاتحــادي رقم (6) لســـنة 2007 في شـــأن تنظـــيم أعمال التأمـــين وتعـــديلاته، ولائحــــته التـــنفيذية؛

    وقـــرار مجلس إدارة هـيئة التأمين رقم (49) لسنة 2019 بشــأن تعليمات التأمين على الحياة والتأمين التكافلي العائلي؛

    وقــرار مجلس إدارة هيئة التأمـــين رقم (25) لسنة 2014 بشـــأن التعليمات المالية لشـــركات التأمين، وقـــرار مجلس إدارة هـــيئة التأمـــين رقم )26( لسنة 2014 بشأن التعليمـــات المالية لشـــركات التأمـــين التكافلي؛

    وقــرار مجلس إدارة هيئة التأمين رقم (11) لسنة 2016 بشأن مراجعـــة سياسة التســــعير التي تطبقها الشركة في فروع تأمين الممتلكات والمسؤوليات؛

    وقرار مجلس إدارة هيئة التأمين رقم (9) لسنة 2017 في شأن ترخيص وقيد الإكتواريين وتنظيم أعمالهم؛

    وقـــرار مجلس إدارة هـــيئة التأمين رقم (19) لسنة 2020 في شــــأن الدليل الإرشادي للمعلومات والبيانات والتقــــارير الرقابية الواجب تقديمها من شركات التأمين والمهن المرتبطة به؛

    وقــــرار مجلس إدارة مصرف الإمارات العربية المتحدة المركزي المنشور في عدد الجريدة الرسمية رقم (740) بتاريخ 30 نوفمبر 2022 نظام بشأن التأمين التكافلي.

    وبناء على توصية المحافظ وموافقة مجلس الإدارة؛

    قرر ما يلـــي:

    • الهــــدف

      يهدف هــــذا النظام إلى وضع الحـــد الأدنى لمتطلبات المصرف المركزي فيما يتعلق بمنهجية الشركات في إدارة المخاطر والضوابط الداخلية، وذلك بهدف:
       
      أ. ضمان ســـلامة أحوال الشركات؛ و
       
      ب. المساهمة في تعزيز الاستقرار المالي في الدولة.
       

    • نطــــــاق التطــــبيق

      ينطبق هذا النظام والمعايير المرفقة به على كافة الشركات. ويجب على الشركات المؤسسة في دولة الإمارات العربية المتحدة ممن لديها علاقات بكيانات أخرى في مجموعاتها، بما في ذلك أي شركات تابعة أو شركات شقيقة أو فروع دولية، أن تتحقق من الالتزام بالنظام والمعايير من جانب كل كيان على حدة وعلى مستوى المجموعة.

       

      سيطبق المصــرف المركـــزي مبدأ النسبة والتناسب في إنفاذ هذا النظام والمعايير المرفــقة به، بحيث يكــون ممكنًا للشركات الصغيرة أن تثُبت للمصرف المركزي أن الأهداف المحددة قــد تحققــت دون حاجة إلى التعامل مع كافة التفاصيل المنصوص عليها. وسوف يحــدد المصرف المركـــزي إلى أي مدىً يتوقع من الشـــركة أن تستوفي المتطلبات.

    • المـــادة (1): تعريفـــات

      1.نظـــــام الاكتـــــواريين: قـــرار مجلس إدارة هيـــئة التأمـــــين رقـــم (9) لســــنة 2017 في شــــأن نظام ترخــيص وقـــــيد الاكتواريين وتنظــــــيم أعمــــالهم.
       
      2.شــركة شـــقيقة: كيان يكون، بصورة مباشرة أو غير مباشرة مسيطراً أو مسيطر عليه أو تحت سيطــرة مشتـركة مع كيان آخر. ويعني مصطلح السيطرة المــستخدم هنا الامتلاك المباشر أو غير المباشر لحقــوق التصويت في كيان آخــــر، أو السلطة لتوجـــيه أو التسبب في توجيه إدارة كيان آخر.
       
      3.المـدير المفـــوّض: الشــخص المـــعين مـــن قبل شــــركة تأمـــين أجنبية لإدارة فرعــــها في الدولـــة
       
      4.المجلس: مجلس إدارة الشـــركة
       
      5.المصرف المركزي: مصرف الإمارات العربية المتحدة المركزي.
       
      6.الرئيس التنفيذي: المسؤول التنفيذي الأعلى رتبة الذي يعينه مجلس الإدارة، وفي حالة فرع الشركة الأجنبية يشير هذا المصطلح إلى المدير المفوض.
       
      7.قوانين المصـــرف المركزي: المرســوم بقانون اتحـــادي رقم (14) لسنة 2018 في شــــأن المصرف المركـــزي وتنظيم المنشآت والأنشـطة المالية وتعديلاته، والقــانون الاتحادي رقم (6) لســنة 2007 في شــأن تنظيم أعمـــال التأمـــين وتعديلاته ولائحته التنفيذية.
       
      8.الشركة: شركة التأمين وإعــادة التأمين المؤسسة في الدولة، وفـــرع شــــركة التأمين الأجنبية المرخص له بالاكتتاب بأعمـــــال التأمين وإعـــــادة التأمين، بما في ذلك شــــركات التأمين التكافلي.
       
      9.تضارب في المصالح: وضعية تضارب فعلي أو محتمل بين الواجـــبات والمصالح الخاصة لشخص مـــا، والتي يمكـــن أن تؤثر على نحــو غير سليم، في أداء ذلك الشخص لواجـــباته ومســـؤولياته.
       
      10.البيانات الســريّة: بيانات حساب أو معلومات أخرى تتعلق بعميل الشركة الذي يتم التعرف عليه أو يمـكن التعّرف عليه من خلال البيانات السرية أو من خلال البيانات السرية مقرونة بمعلومات أخرى يكون قد حصل عليها، أو يمكن أن يحصل عليها، شخص أو مؤسسة قد تم منحه أو منحها إمكانية الوصول إلى البيانات الســــرية.
       
      11.وظائف الضبط: هي وظيفة (سواء كانت شخصا أو وحدة أو دائرة) تكون مسؤولة في الشركة عن إجراء تقييم موضوعي وتقديم تقارير و/أو تأكيدات؛ وتشمل إدارة المخاطر، والامتثال، والأعمال الاكتوارية والتدقيق الداخلي، كما تنطبق على الرقابة الشرعية والتدقيق الداخلي الشرعي، حسب مقتضى الحالي.
       
      12.إدارة مخاطر المؤسسة (ERM): الاستراتيجيات والسياسات والعمليات المعتمدة لتحديد المخاطر وتقييمها وقياسها ومراقبتها وضبطها وتخفيفها ورفع التقارير بشأنها على مستوى مؤسسة شركة التأمين ككل.
       
      13.التعليمات المالية: قـــرار مجلس إدارة هيــئة التأمين رقــم (25)لسنة 2014 بشـــأن التعليمات المالية لشــركات التأمــين وقـــرار مجلس إدارة هــيئة التأمين رقم (26) لسنة 2014 بشــأن التعليمات المالية لشــركات التأمين التكــافلي.
       
      14.

      المجموعة: مجموعة من الكيانات التي تتضمن كياناً ("الكيان الأول") و:
       

      أ. أي شركة أم للكيان الأول؛
       
      ب.أيُ شركة تابعة للكيان الأول أو تابعة لأي شركة أم للكيان الأول؛
       
      ج. أي شركة شقيقة.
       
      15.الضوابط الداخلية: مجمــوعة من العمــليات والسياسات والأنشــطة التي تحكم الهيكل التنظيمي والتشغيلي للشـــركة، بما في ذلك رفــع التقارير ووظائف الضبط.
       
      16.تعليمات التأمين على الحياة: قرار مجلس إدارة هيئة التأمين رقم (49) لسنة 2019 بشأن تعليمات التأمين على الحياة والتأمين التكافلي العائلي.
       
      17.نشاط أعمال جوهري: نشاط من أنشــطة الشــركة يُحتمـــل، في حال تعطله، أن يكــون له تأثير كبير على عمليات الشـــركة، أو قدرتها على إدارة المخاطر على نحـــو فعّال.
       
      18.الأمـــور ذات الأهمــية: أمر أو مجموعـــة من الأمور يكون لها تأثير هـــام على أنشطة الشــركة أو وضعها المالي. ويشــــمل ذلك على سبيل المثال عدم المحافظة على أصــول الشركة والمؤمن لهم، وعدم الامتثال لقوانين المصرف المركزي أو التعليمات المالية، والانحرافات الجوهرية عن بيان تقبل المخاطر، و/أو أي أمور أخرى يُرجّح أن تكون ذات أهمية بالنسبة لوظيفة المصـرف المركـــزي كسلطة رقابية.
       
      19.نظام السجلات الرئيس: يجمع كافة البيانات، بما في ذلك البيانات السرية، المطلوبة لإجراء جميع الأنشطة الأساسية للشركة، بما في ذلك تقديم الخدمات للمؤمن لهم وإدارة جميع المخاطر، والامتثال لكافة المتطلبات القانونية والرقابية.
       
      20.نمــــوذج: طريقة أو نظام أو نهج كمي يطبق نظريات وأساليب وافتراضات احصائية أو اقتصادية أو مالية أو رياضية معيّنــة، لمعالجة بيانات الإدخال وتحويلها إلى تقديرات كمية.
       
      21.التعهيد: ترتيبات بين الشركة ومـزوّد خدمة، سواء كان مـــزوّد الخدمـة يعمل داخـــل أو خارج الدولة، يقوم بموجبها الأخير بأداء عملية أو خدمـــة أو نشاط كانت الشــركة ستؤديه بنفسهــا إن لم يتم عمـــل هذه الترتيبات.
       
      22.التقــييم الذاتي للمخاطــر والمــلاءة (ORSA): عملية داخلية تقــــوم بها الشركة / المجموعة لتقـــييم كفاية إدارتها للمخاطــــر، والمراكز الحالية والمستقبلية للملاءة في ظـــل سيناريوهات الضغط العادية والحــادة. وتستدعي هذه العملية من الشــركة أن تقوم بتحليل جميع المخاطر الجوهرية ذات الصلة والتي يمكن توقعها بشكل معقـــول. و تغطي هذه العملية المخاطر الحالية والمستقبلية، وتتطلب تقديرات خاصة بالشــركة حول إدارة المخاطر و كفاية رأس المال الخاص بها والذي يمكن أن يكون له تأثير على قدرتها على تحقيق أهدافها وتلبية التزاماتها تجاه المؤمن لهم. ومـــن شأن ذلك أن يشـــجع إدارة الشـــركة على أن تتوقع تحديات الأعمــــال المحتملة واحتياجـــات رأس المال، وأن تتخذ خطوات استباقية لتقليل المخاطر. ولا يعُد التقييم الذاتي للمخاطر والملاءة ممارسة يتم إجراءها مرة واحدة، فهو عملية مستمرة ومتطورة باستمرار، ويتعيّن أن تكون إحدى مكونات إطار إدارة المخاطر (ERM) الخاص بالشركة. وبينما لا توجد طريقة واحدة محددة لإجراء عملية التقييم الذاتي للمخاطر والملاءة، فإن من المتوقع أن تكون المخرجات عبارة عن مجموعة من الوثائق التي توضح نتائج نهج الإدارة الإستباقي في التقييم الذاتي.
       
      23.

      الشركة الأم: الكيان ("الكيان الأول") الذي:
       

      أ. يمتلك أغلبية حقوق التصويت في كيان آخر ("الكيان الثاني")؛
       
      ب.

       يكون مساهماً في الكيان الثاني، ولديه حق تعيين أو إقالة أغلبية أعضاء مجلس الإدارة أو مديري الكيان الثاني؛

      أو
       

      ج. يكون مساهماً في الكيان الثاني، ويسيطر وحده، عملاً بأحكام اتفاقية مبرمة مع مساهمين آخرين، على أغلبية حقوق التصويت في الكيان الثاني، أو
       
      د. إذا كان الكيان الثاني شركة تابعة لكيان آخر تابع للكيان الأول.
       
      24.نظام التسعير: قـــرار مجلس إدارة هيئة التأمين رقم (11) لسنة 2016 بشـــأن مراجعــــة سياسة التسعير فـــرع تأمين الممتلكات وفـــــرع تأمين المسؤوليات.
       
      25.الأنظمة: أي قرار أو نظام أو تعميم أو قاعدة أو معيار أو إشعار يصدره المصرف المركزي.
       
      26.تقبّل المخاطر: المستوى الإجمــالي وأنواع المخاطر التي ترغب الشــركة في تحمّلها، في حـــدود قدرتها على تحمل المخاطر، لتحقيق أهدافها الاستراتيجية وخطة عملها.
       
      27.إطـــار حوكمـــة المخاطر: هو جــزء من المنهجية الشاملة لحوكمة الشركــات، ويمثل الإطـــار الذي يقوم من خلاله مجلس الإدارة والإدارة العليا بوضع وأخذ القرارات حول استراتيجية ومنهـجية الشـــركة في التعامل مع المخاطر، ويتولـــون صياغة حدود المخاطر وتقبلها ومراقبة الالتزام بها في ضــــوء استراتيجية الشــــركة، كما يقومون بتحديد وقياس وإدارة وضبط المخاطر.
       
      28.ثقافــــة المخاطر: مجمـــوعة القـواعد والقيم ووجهات النظر والسلوكيات الخاصـــة بالشـــركة والتي تحــدد الطريقة التي تجُري بها أنشــــطتها المتعلقة بالتوعــــية بالمخاطر، واتخّاذ المخاطــر، وإدارتها، والضوابط الخاصة بها.
       
      29.حـــدود المخاطر: مقياس كمي يعتمد على مدى تقبل الشركة للمخاطر ويعطي إرشادات واضحة حول مستوى المخاطر التي تكون الشركة على استعداد للانكشاف له ويتم تحديدها وتطبيقها في وحدات مجمعة أو فردية مثل فئات المخاطر أو فروع الأعمال.
       
      30.ملف المخاطر: التقييم، في نقطة زمنية محددة، لإجمالي انكشاف الشركة للمخاطر، وعند الاقتضاء لصافي تلك الانكشافات المجمّعة ضمن وعبر كل فئة من فئات المخاطر ذات الصلة بناءً على افتراضات استشرافية.
       
      31.إدارة المخاطر: العملية التي يتم من خلالها إدارة المخاطر، والتي تسمح بتحـــديد جميع مخاطر الشركة وتقييمها ومراقبتها والتخفيف من حدتها (حسب الحاجة) ورفع التقارير بشأنها في المواقيت المناسبة وعلى أساس شامل.
       
      32.الإدارة العليا: الأشخاص أو الجهات المسؤولة عن إدارة الشركة على أساس يوميوفقًا للاستراتيجيات والسياسات والإجراءات التي يضعها مجلس الإدارة، وتشمل بصورة عامة، على سبيل الذكر لا الحصر، الرئيس التنفيذي والمسؤول المالي الرئيسي ومسؤول المخاطر الرئيسي ورؤساء وظائف الامتثال والتدقيق الداخلي.
       
      33.متطلبات ملاءة رأس المال: الأموال التي يجب على الشركة الاحتفاظ بها لتغطية الأعمــال الحالية والمتوقعة خــــلال الاثني عشر شهراً المقبلة، والتي يتم قياسها للتأكد من أن كافة المخاطر الكمية قد تم أخذها بعين الاعتبار.
       
      34.الموظفون: كافة الأشخاص العاملين في الشركة، بما في ذلك أعضاء الإدارة العليا، باستثناء أعضاء مجلس الإدارة.
       
      35.الدولـة: دولة الإمارات العربية المتحدة.
       
      36.اختبار الضغط: طريقة تقييم، يتم بموجبها قياس الأثر المالي للضغط على عامل واحد أو أكثر من عامل والذي يمكن أن يؤثر تأثيراً حاداً على الشركة.
       
      37.

      شركة تابعة: يكون الكيان ("الكيان الأول") شركة تابعة لكيان آخر ("الكيان الثاني") إذا كان الكيان الثاني:
       

      أ. يملك أغلبية حقوق التصويت في الكيان الأول؛
       
      ب. مســاهماً في الكـــيان الأول، ولديه الحـــق في تعيين أو إقالة أغلبية أعضاء مجلس إدارة الكيان الأول أو مديريه؛ أو
       
      ج. مساهماً في الكيان الأول، ويسيطر وحده، عملاً بأحكام اتفاقية مبرمة بينه وبين مساهمين آخرين، على أغلبية حقوق التصويت في الكيان الأول، أو
       
      د. إذا كـــان الكيان الأول شــــركة تابعـــة لكيان آخر تابع للكيان الثاني.
       
      38.التأمين التكافلي: تنظـيم تعاقدي جماعي يهـدف إلى تحقيق التعاون بين مجموعة من المشتركين في مواجهة مخاطر معينة حيث يقوم كل منهم بدفع اشتراك معين يؤدي إلى إنشاء حساب يسمى حساب المشتركين يتم من خلاله دفـــع التعويض المستحق لمـــن يتحقق الخطر بالنسبة إليه، وتقــــوم شركة التأمين التــــكافلي بإدارة هذا الحساب واستثمار الأموال المجتمعة فيه مقابل مكافأة معينه.
       
      39.نظـــام التكافل: قــــرار مجلس إدارة مصرف الإمارات العربية المتحدة المركزي المنشور في عدد الجريدة الرسمية رقم (740) بتاريخ 30 نوفمبر 2022 نظام بشأن التأمين التكافلي والتعديلات التي تطرأ عليه من وقت لآخر.
       

    • المــــــادة(2): نظم إدارة المخاطــر والضــــوابط الداخلـــــية

      1.يجب أن يكون لدى الشركة أنظمة شاملة وفعّالة لإدارة المخاطر والضوابط الداخلية. ويجب أن توفر هذه الأنظمة رؤية لجميع المخاطر الجوهرية التي تكون أو يمكن أن تكون منكشفة لهـا ومدى ترابط تلك المخاطر، وذلك على مستوى الشركة وعلى مستوى المجموعة، حسب مقتضى الحال. ويشمل ذلك الاستراتيجيات والسياسات والعمليات والإجراءات والضوابط اللازمة لتحديد وتقييم وقياس ومراقبة المخاطر والسيطرة عليها ورفع التقارير بشأنها وتقليل مصادر المخاطر الجوهرية، وذلك في الوقت المناسب. ويجب أن تأخذ الشركة بعين الاعتبار عند تعريف وتقييم المخاطر الجوهرية موضوع تقبل المخاطر وملف المخاطر الخاص بها وطبيعة وحجم ودرجة تعقدّ أعمالها وهيكلها.
       
      2.يجــب أن يكون المجلس متحكما في الشركة، ويتحمّل المسؤولية النهائية عن التحقق من وجـــــود أنظمة فعّالة لإدارة المخاطر وضوابط داخلية تتلاءم مع ملف مخاطر الشركة وطبيعة وحجم ودرجة تعقّد أعمالها وهيكلها.
       
      3.الإدارة العليا مسؤولة عن تنفيذ السياسات السليمة والإجراءات الفعّالة والأنظمة الرصينة المتوافقة مع أنظمة إدارة المخاطر والضوابط الداخلية المعتمدة من المجلس. وتبقى المسؤولية النهائية على عاتق المجلس، بغض النظـر عن المسؤوليات المحددة التي يتم تفويضها إلى الإدارة العليا.
       
      4.

      يجـــب أن يتضـــمن الهيكــــل التنظيمي للشــركة منهجــــية "خطــوط الدفـــاع الثلاثة" التي تشمل ما يلي:
       

      أ. خطوط الأعمــال؛
       
      ب. وظائف المخاطر والوظائف الاكتوارية ووظائف الامتثال؛
       
      ج. وظيفة تدقيق داخلي مستقلة.
       
      5.يلتزم المجلس بالإشراف على الإدارة العليا، كما يجب عليه مساءلة أعضاء الإدارة العليا ومحاسبتهم على أفعالهم إذا لم تكن متوافقة مع استراتيجية وأهداف الشركة.
       
      6.

      يتعين على الشركات التي لديها علاقات بكيانات أخرى في مجموعتها، الالتزام بما يلي: -
       

      أ. يجب على الشركات التي يكون المصرف المركزي سلطتها الرقابية الرئيسة والتي لديها علاقات هامة بكيانات أخرى في المجموعة بما في ذلك شركات تابعة أو شركات شقيقة أو فروع دولية، يجب عليها أن تطوّر وتحافظ على إجراءات لتنسيق تحديد وتقييم وقياس وتقدير ومراقبة وتقليل كافة مصادر المخاطر الجوهرية الداخلية والخارجية ورفع التقارير بشأنها، وذلك على مستوى المجموعة. ويجب أن توفر هذه العملية نظرة شاملة للمجلس حول كافة المخاطر الجوهرية للمجموعة ولكل كيان فيها على حدة، بما في ذلك أدوار وعلاقات الكيانات الأخرى في المجموعة مع بعضها البعض، ومع الشـــركة.
       
      ب. يجب أن تكون الوسائل والإجراءات المطبقة بواسطة الشركات التابعة، والشركات الشقيقة والفروع الأجنبية داعمة لعملية إدارة المخاطر على مستوى المجموعة. ويجب على الشركات أن تقوم بإجراء عملية إدارة المخاطر على مستوى المجموعة، وأن تضع سياسات وإجراءات للمجموعة، بينما يجب أن تكون لمجالس إدارات والإدارات العليا للشركات التابعة والشركات الشقيقة مساهمات فيما يتعلق بالتطبيق المحلي أو الإقليمي لتلك السياسات والإجراءات، وفي تقييم المخاطـر المحلية و الإقليمــية.
       

    • المـــــادة (3): نظـام فعـــال لإدارة المخاطـــر

      1.

      يجب تصميم نظام إدارة مخاطر الشركة بحيث يعمـل على جميع المستويات للسماح بتحديد وتقييم ومراقبة وقياس كافة مخاطر الشركة والسيطرة عليها ورفع التقارير بشأنها وتقليلها، وذلك في المواقيت المناسبة. كما يجب على النظام أن يأخذ بعين الاعتبار الاحتمالية والتأثير المحتمل والآفاق الزمنية للمخاطر. كما يجب أن يتضمن نظام إدارة المخاطر الفعال العناصر التالية:
       

      أ.اســــتراتيجية موثقّة لإدارة المخاطر، بما في ذلك بـــيان تقبّل مخاطر محـــدد بوضوح ومعتمـــد من قبل المجلس، ومتماش مع أنشطة أعمال الشركة.
       
      ب. توزيع وتخصيص مســـؤوليات إدارة المخاطر.
       
      ج. إجــــراءات موثقّة لموافقــة المجلس على أي انحراف عن تقبّل المخاطر.
       
      د. سياسات تحتوي كافــة المخاطر الجوهرية التي تتعرض لها الشركة ومستويات الحدود المقبولة للمخاطر. ويجب أن تصف هذه السياسات التزامات الموظفين في التعامل مع المخاطر، بما في ذلك تصعيد المخاطر وأدوات تخفيف المخاطر.
       
      هـ. عملــيات وأدوات تشمل اختبارات الضغط وتحليلات السيناريوهات ونماذج لتحديد وتقييم وقياس ومراقبة المخاطر والسيطرة عليها ورفع التقارير بشأنها وتقليلها، بالإضافة إلى خطط طوارئ.
       
      و. مراجعة منتظمــة لنظــام المخاطر.
       
      ز.وظيفة فعــاّلة لإدارة المخاطـر.
       
      2.يجب أن يشمل نظام إدارة المخاطر كحد أدنى الاكتتاب والاحتياطيات وإدارة الأصول والخصوم والاستثمارات والسيولة وإعادة التأمين وتركز المخاطر والمخاطر التشغيلية وآليات تخفيف المخاطر وسلوكيات الأعمــال. كما يجب أن يغطي النظام المخاطر الواجب تضمينها عند احتساب متطلبات ملاءة رأس المال كما هو منصوص عليها في التعليمات المالية، كما يجب أن يغطي المخاطر التي لم يتم تضمينها، أو لم يتم تضمينها بشكل كلي عند احتساب تلك المتطلبات.
       
      3.

      ويتعين أخذ الأمور الواردة أدناه في الاعتبار عند تطويـر نظام إدارة المخاطــــر:
       

      أ. يتعين تعديــل ملف مخاطر الشركة تبعا للظروف، الأمر الذي يستلزم تضمين المخاطر الجديدة، بالإضافة إلى تحديث المعلومات الخاصة بالمخاطر التي سبق أن تم تحديدها. كمــا يتعين أخذ التطلعات المتغيّرة للمؤمن لهم وغيرهم من أصحــــاب المصلحة بعين الاعتبار.
       
      ب. يجب الحصول على موافقة المجلس على أي تغييرات جوهرية على نظام إدارة المخاطر وتحديدا تلك التي يمكن أن تؤثر على ملف المخاطر، كما يجب أن يتم توثيقها وتوفيرها للتدقيق الداخلي والتدقيق الخارجي والمصرف المركزي.
       
      ج. يجب أن يتضمن نظام إدارة المخاطر حلقة لجمع الملاحظات تتضمن عملية لتقييم أثر التغييرات الخاصة بالمخاطر التي تؤدي إلى تغييرات في سياسة إدارة المخاطر، وحدود المخاطر وإجراءات تخفيف المخاطر. ويتعين أن يتوفر تنسيق كاف بين الشركة الأم والشركات التابعة والشركات الشقيقة ضمن ذات المجموعة، وذلك كجزء من حلقة جمع الملاحظات.
       
      4.

      في الحالات التي لا يكون فيها المصرف المركزي هو السلطة الرقابية الرئيسة لأي شركة في مجموعة، ويكون أي عنصر من عناصر منهجية الشركة الشـــاملة لإدارة المخاطر خاضـــعًا لسيطرة أو تأثير كيان آخر في المجموعة، عندها يجــب أن يأخذ نظام إدارة المخاطر لدى الشركة بعين الاعتبار المخاطر التي تنشأ عن علاقات المجموعة، مع تحديد ما يلي بوضوح:
       

      أ. الروابط، وأية اختلافات جوهرية بين إطار حوكمة المخاطر المعتمد لدى الشركة والمعتمد لدى المجموعة؛
       
      ب. ما إذا كانت وظيفة إدارة المخاطر لدى الشركة مستمدة كلياً أو جزئياً من وظائف إدارة المخاطر للمجموعة؛ و
       
      ج. إجراءات المراقبة بواسطة المجموعة أو إجراءات رفع التقارير إليها حول إدارة المخاطر.
       
      5.

      يجب على الشركة إجراء تقييم ذاتي للمخاطر والملاءة (ORSA) وذلك كجزء من نظام إدارة المخاطر الخاص بها، ويتعيّن أن تقوم بإجرائه وظيفة إدارة المخاطر. ويجب أن يتضمن هذا التقييم ما يلي، كحد أدنى:
       

      أ. احتياجات الملاءة المالية الشاملة، مع الأخذ بعين الاعتبار ملف المخاطر المحدد، والحدود المعتمدة لتحمل المخاطر واستراتيجية أعمــال الشركة. وتلتزم الشركة بإثبات الأساليب المستخدمة في هذا التقييم.
       
      ب. الامتثال المســـتمر لمتطلبــــات رأس المـــال، على النحو المنصوص عليــه في التعليمــات المالية؛
       
      ج. الامــــتثال المستمر للمتطلبات المتعلقة بالمخصــصات الفــنية، على النحو المنصوص عليه في التعليمات المالية؛
       
      د. مدى شـــدة انحراف ملف مخاطر الشركة عن الافتراضات التي تقوم عليها متطلبات ملاءة رأس المال كمـا هو منصوص عليها في التعليمات المالية. ويجب على الشــركة أن تقوم بعمــل تقييم يبيّن فيمـــا إذا كانت التغــيرات في النموذج القياسي منســجمة مـــع انكشافاتها الفعلية.
       
      هـ. استكمــال التقييم الذاتي للمخاطر والملاءة (ORSA) والذي يجب أن يكون جزءًا لا يتجزأ من استراتيجية الأعمـال وعملية تخطيط الأعمال، ويجب أن يؤخذ بعين الاعتبار بشكل مستمر في القرارات الاستراتيجية للشركة ودون أي تأخير، وذلك عند حدوث أي تغيير جوهري في ملف مخاطر الشركة؛
       
      و.إبلاغ المصرف المركزي بنتائج كل تقييم ذاتي للمخاطر والملاءة (ORSA) تزامنا مع تقديم خطة الأعمال السنوية للشركة وفقًا للجدول الزمني الذي ينشره المصرف المركزي.
       
      ز. إبلاغ المصرف المركزي بأي متطلبات إضافية خاصة بالتقييم الذاتي للمخاطر والملاءة (ORSA)، والتي قد يتم فرضها بموجب أنظمة أو قرارات يصدرها المصرف المركزي بهذا الخصوص.
       

    • المــــــادة (4): نظــــــام فعــــــال للضوابــط الداخلــية

      1.

      يجب أن يضمن نظام الضوابط الداخلية وجود عمليات فعّالة وسيطرة كافية على المخاطر، وسلوكيات أعمال حصيفة، وموثوقية المعلومات المالية وغير المالية المبلغ عنها، والامتثال لقوانين المصرف المركزي والقوانين الأخرى ذات العلاقة والأنظمة والمتطلبات الرقابية والقواعد والقرارات الداخلية للشركة. كما يجب أن يغطي نظام الضوابط الداخلية جميع وحدات العمل والأنشطة، ويتعين تقييمه ومراجعته بانتظام من قبل المجلس أو من قبل لجنة التدقيق المنبثقة عنه وتحديثه حســـب الضرورة. كما يجب أن يتضمــن نظام الضوابط الداخلية هيكل ضبط ملائــم مع أنشطة ضبط محددة على مستوى كل وحدة عمل، حيث يجب على جميع الوحدات التنظيمية أن تمتلك وتدير وتبلغ عن المخاطر، ويجب أن تكون تلك الوحدات مسؤولة عن وضــع وحفظ سياسات وإجراءات ضبط داخلي فعّالة. ويجب أن تقـــوم وظائف الضبط بتقييم مدى كفاية الضوابط المســــتخدمة من قبل وحدات العمل. يتعين أن يحتوي نظام الضوابط الداخلية على المكوّنات التالية، كحــــد أدنى:
       

      أ.

      الفصل بين الواجــــبات، وتدابير لمنع التضـــارب في المصــــالح، وذلك على النحو التالي:
       

      1.استقلالية كافية مع وضوح التسلسل الإداري وفصل الواجبات بين الأشخاص المسؤولين عن عمليات أو سياسات معينة، وأولئك الذين يتحققون من تطبيق هذه العمليات أو السياســات.
       
      2.استقلالية كافية مع وضوح التسلسل الإداري وفصل الواجبات بين أولئك الذين يصممون أو يتولون تشغيل ضوابط معينة، وأولئك الذين يتحققون من فعالية تلك الضوابط.
       
      ب.

       سياسات وعمليــات:
       

      1.تضمين ضوابط ملائمة لجميع إجراءات وسياسات الأعمال الرئيسة، بما في ذلك إجراءات اتخاذ القرارات الهامة الخاصة بالأعمال والموافقة على المعاملات، والوظائف الهامة في مجال تقنية المعلومات، والأمن السيبراني وإمكانية الوصول إلى البنية التحتية الهامة لتقنية المعلومات من قبل الموظفين والأطراف الثالثة ذوي العلاقة، والالتزامات القانونية والرقابية الهامة.
       
      2.تضمين سياسات للتدريب على الضــوابط وعلى وجه الخصوص بالنسبة للموظفين الذين يؤدون أدوارا تتطلب ثقــة أو مسؤولية عالية، أو الموظفين المشاركين في الإشراف على أنشطة عالية المخاطر.
       
      3.إجراءات وسياسـات رئيســة مركزية موثقة بالإضــــافة إلى الضـــوابط المقابلة لها.
       
      ج.

       المعلومات والاتصال:
       

      1.يجب أن يكون جميع الموظفين على دراية بمتطلبات الالتزام بنظام الضوابط الداخلية للشركة.
       
      2.يجب توفير المعلومات اللازمة لاتخاذ القرارات لمتخذي القرارات في المواقيت المناسبة، بما في ذلك، على سبيل الذكر لا الحصر، المعلومات المالية والتشغيلية والمعلومات الخاصة بالسوق والامتثال.
       
      د.

       المراقبة والمراجعة:
       

      1.يجب أن يتم فحص العمليات بانتظام من قبل وظيفة التدقيق الداخلي للتأكد من فعالية الضوابط.
       
      2.يجب على وظيفــــة التدقيق الداخلي أن تقوم بتقييم نظام الضوابط الداخلية بانتظام، وذلك لتحديد مدى كفـــاءته وفعاليته.
       
      هـ. يجب أن تشُير التقارير بشأن نظام الضوابط الداخلية إلى الســـياسة الخاصة بالضوابط الداخلية )مثل المسؤوليات ومستويات الامتثال والتحقق من صلاحية النظام وتطبيق الخطط التصحيحية( ومرحلة التطوير، ومستوى وأداء وحدات العمل، وأوجه القصور في التطبيق.
       
      2.يتعـــين على المجلس أن يفهــم بيئة الضــبط، وأن يوجّه الإدارة العليا لضـــمان وجــــود رقابة مناسبة لكل إجراءات العمل وسياســاته. كما يجب على المجلس أن يتأكد من توزيع المســـؤوليات من حيث تصميم وتوثيق وتشغيل الضوابط الداخلية.
       
      3.
      أ. بالنسبة لفروع الشركات الأجنبية، يجب أن يتم تكوين لجنة إدارة عليا أو ما يعادلها، تتألف من وظائف الضبط المحلية. ويتعيّن على وظائف الضبط هذه أن ترفع التقارير مباشرة إلى وظائف الضبط المقابلة على مستوى المؤسسة، و/أو المجلس و/أو اللجان ذات الصلة.
       
      ب. لا يجوز لوظائف الضبط المحلية المشار إليها في الفقرة (أ) أعلاه، أن تقوم بأكثر من وظيفة ضبط واحدة.
       

    • المـــــادة (5): وظــــــائف الضـــــــبط

      1.يجـب أن تتوفر لدى الشـــركة وظائف ضبط فعّالة تتمتع بالاســــتقلالية والسلطة والموارد اللازمـــة، وتغطي إدارة المخاطـــر، والتدقـــــيق الداخلي، والامــــتثال، والأعمــــــال الاكتـــوارية. ويتعين أن يتــــم تقييـــم فعـّــالية وظـــائف الضبط بشـــكل دوري مـــن قبل المجلس.
       
      2.لا يُعفــي وجــــود وظائف الضبـــط المجلس والإدارة العليا من مســـــؤولياتهم.
       
      3.يجب أن تكون وظائف الضبط مزودة بالموارد اللازمة، بما في ذلك كوادر مؤهلة يتم تدريبهم بشكل منتظم في ما يخص واجباتهم.
       
      4.يجب أن يكون لدى وظائف الضبط قدر مناسب من السلطة. ويتعيّن على رؤساء وظائف الضبط الامتناع عن المشاركة في مسؤوليات عمليات الشركة التشغيلية، بما في ذلك الاكتتاب والاستثمار وإعادة التأمين والمبيعات والمحاسبة.
       
      5.يجب أن يكون لرئيس كل وظيفة ضبط حق الوصول إلى المجلس أو إلى لجنة المخاطرو/أوالتدقيق التابعة له، ويجب أن يقدم تقارير دورية عن الأمور التي يحددها المجلس. يجب أن يكون رئيس كل وظيفة ضبط قادرا على الاجتماع بانتظام - دون وجود الإدارة - مع رئيس أي لجنة من لجان المجلس ذات الصلة.
       
      6.

      تتضمن التزامات المجلس بشأن وظائف الضبط الأمور التالية:
       

      أ. يجب أن يتم اعتمــاد وتوثيق صلاحيات ومسؤوليات وظائف الضــبط من قبل المجلس، كمــا يجب أن تتم مراجعـــة هذه الصلاحيات والمسؤوليات بشكل دوري بناءً على توصية كل وظيفــــة ضــبط.
       
      ب. يتعين الحصول على موافقة المجلس أو لجنته التابعة ذات الصلة على تعيين رؤساء وظائف الضبط، وعــزلهم، ومكافأتهم، وتقييم أدائهم واتخاذ الإجراءات التأديبية بحقهم.
       
      ج. يجب على الشركة ألا تنُهي خدمات رؤساء وظائف الضبط قبل الحصول على عدم الممانعة من المصرف المركزي.
       
      7.يجــــب أن يتم تحــديد مكافـــآت الموظـــفين العاملين في وظـــائف الضــــبط بشكل مستقل عن نتائـــج أداء الشـــركة.
       
      8.يجب أن تتجنّب وظائف الضــــبط حصول تضــارب في المصــالح. وفي حـــال بقــاء أي تضارب في المصالح وعدم القدرة على حله مع الإدارة العليا، فيجب عندئذ رفع الأمر إلى المجلس للتقرير بشــأنه.
       

    • المــــادة (6): وظيفة إدارة المخاطر

      1.

      يجب على نظام إدارة المخاطر أن يقوم بمعالجة الأمور التالية:
       

      أ. يجب أن تتوفر لدى الشركة وظيفة إدارة مخاطر فعّالة لتحديد وتقييم وقياس ومراقبة المخاطر الرئيسة والسيطرة عليها ورفع التقارير بشأنها في المواقيت المحددة وتخفيفها، وكذلك لتعزيز واستدامة ثقافة سليمة حول المخاطر.
       
      ب. تقع على عاتق وظيفة إدارة المخاطر مسؤولية مســاعدة المجلس واللجان المنبثقة عنه والإدارة العليا في تطوير نظام حوكـمة المخاطر والحفاظ عليه.
       
      ج. يجب أن تتوفـــر لدى الشركة وظيفة إدارة مخاطر مزودة بمـــوارد كافية، ويرأسها مسؤول مخاطر رئيسي أو ما يعادله. ويجب أن تكون الوظيفة مستقلة عن الإدارة وعن عملية صنع القرارات في وظــائف تحمل المخاطر في الشركة.
       
      2.

      يجب أن يكون لوظيفة إدارة المخاطر إمكانية الوصول مباشرة إلى المجلس و/أو لجنة المخاطر المنبثقة عنه، ويجب أن تقوم بتزويدهم بتقارير حول الأمور التالية كحد أدنى:
       

      أ. تقييم أوضاع المخاطر والانكشافات والخطوات التي يتم اتخاذها لإدارتها؛
       
      ب. تقييم التغييرات في ملف مخاطر الشركة بالنسبة لبيان تقبّل المخاطر؛ بما في ذلك التقييم الذاتي للمخاطر والملاءة (ORSA).
       
      ج. تقييم حدود المخاطر التي تم تحديدها مسبقا؛ً
       
      د. قضايا إدارة المخاطر الناتجة عن الشؤون الاستراتيجية، مثل استراتيجية الشركة، وعمليات الدمج والاستحواذ والمشاريع الكبرى والاستثمارات.
       
      هـ. تقييم أحداث المخاطر، وتحديد الإجراءات التصحيحية المناسبة وتقييم النتائج بعد أن يتم تطبيقها.
       
      3.

      يجب أخذ الأمور التالية بعين الاعتبار عند تطوير نظام إدارة المخاطر:-
       

      أ.يجـــب أن يكــون رئيس وظــيفة إدارة المخاطــر،أو مسؤول المخاطر الرئيسي أو ما يعادله، من ذوي الأقدمية والمكانة داخل الشركة، وذلك ليواجه رؤساء خطوط ووظائف الأعمال. ويجب أن تكون لرئيس وظيفة إدارة المخاطر الصلاحية والالتزام بإبلاغ مجلس الإدارة فورا بأي ظرف قد يكون له تأثير جوهري على نظام إدارة المخاطر في الشــــركة.
       
      ب. يجب أن تظل كافة الأنشطة التي تقوم الشركة بتعهيدها ضمن نطاق مسؤوليات إدارة المخاطر بالشــركة.
       

    • المــــــادة (7): قياس المخاطر واستخدام النماذج

      1.يجب أن تتوفر لدى الشركة نُظم لتحديد وقياس ومراقبة المخاطر، تكون متناسبة مع ملف مخاطر الشركة، وطبيعة وحجم ودرجة تعقد أعمالها وهيكلها، ويشمل ذلك إمكانيات تقنية المعلومات.
       
      2.يجب أن تكون لدى المجلس خبرات كافية لفهم نظم قياس المخاطر والإشراف عليها، بما في ذلك أي استخدام للنماذج.
       
      3.في حال استخدام نماذج لقياس مكونات المخاطر، فإنه يجب أن تكون لدى الشركة إجراءات داخلية ملائمة لتطوير هذه النماذج والموافقة على استخدامها، ويجب أن تقوم الشركة باختبار تلك النماذج و التحقق من صلاحيتها على نحو منتظم و مستقل. ويظل المجلس مسؤولا في نهاية الأمر، سواء تم تقديم الموافقة على استخدام النماذج من قبل المجلس أو من خلال صلاحيات تم تفويضها للإدارة.
       

    • المــــادة (8): اختبارات الضغط للمخاطر الجوهرية

      1.يجــب على الشركة أن تقوم بتطبيق برنامــج اختبارات ضغط استشرافي، كجزء من منهجيتها الشاملة في إدارة المخاطـــر. ويجب أن يتضمن برنامج اختبارات الضغط سيناريوهات سلبيــة ومتطرفة ولكنها معقولة وممكنة الحـــدوث، لمجمـــوعة من المخـــاطر الجوهـــرية، وتكون متناسبة مـــع حجـــم انكشــاف الشركة للمخاطــــر. ويجــب أن تنعكس نتائج برنامـــج اختبارات الضغط بشكل مستمر على إدارة مخاطر الشـــركة، وذلك لتمكـــين الشــركة من المحافظة على ادراكها لتأثير الضـــغوط على وضعها المـــالي، بما فــي ذلك التخطيط للطـــوارئ، وتقييم الشركة الداخلي لرأس المـــال والســــيولة.
       
      2.يجـب أن تأخــذ عملية الشركة الداخلية لتقييم متطلبات رأس المــــال والسيولة بعين الاعتبار طبيعة ومســـتوى المخاطر التي تأخذها الشـــركة. وبالإضــافة إلى المخاطــر المعيّنة التي يحددها المصرف المركزي في التعليمات المالية ، يجــب على الشـــركة أن تأخذ بعين الاعتبار كافة المخاطر الجوهرية الأخـــرى.
       

    • المــــــادة (9): وظيفـــة الامــــتثال

      1.يجب أن يكون لدى الشركة وظيفة امتثال فعّالة من أجل الوفـــاء بالتزاماتها القانونية والرقابية ولتعزيز واستدامة ثقافــــة الامتثال. ويجـــب على وظيفة الامتثـال أن تنُشِئ آليات وأنشــطة ملائمــة لتحــديد الالتزامــات القانونية والرقابية الرئيــسة وتقييمـــها والإبلاغ عنها ومعالجتها، وإجــراء التدريب على الالتزامات القانونية والرقابيـــة الرئيسة، وتسهيل الإبلاغ السري وإجـــراء التقييمات بشأن المسائل المتعلقـــة بالامـــتثال.
       
      2.تقـع على عــاتق المجلس المســـؤوليـة النهائية لخلق ثقافة مؤسسية تقوم على الصدق والنزاهة والالتزام بالامتثال لجميع التشريعات والأنظمة والضوابط الداخلية ذات الصلة. ويجــب أن يتم عكـــس هذا الالتزام في مدونة قواعد السلوك المعتمدة لدى الشركة.
       
      3.يجـــب أن تكون لدى الشركة سياسة امتثال معتمـــدة من المجلس، بحيث يتم مشاركتها مع جميع الموظفين مع تحـــديد غرض، ومقـام وصلاحيات وظيفة الامتثال داخل الشـــركة و المجمـــوعة، حسب مقتضى الحــــال.
       
      4.

      يجب أن يكون لوظيفة الامتثال إمكانية الوصول إلى المجلس والإدارة العليا وتقديم التقارير الخطيــةّ لهما بشأن الأمور المتعلقة بمخاطر الامتثال، ويشمل ذلك على سبيل الذكر لا الحصر:
       

      أ. تقييم مخاطـــر الامتثال الرئيســة التي تواجهها الشـــركة والخــطوات التي يتم اتخــاذها لمعالجتها؛
       
      ب. تقييم أداء الأجــزاء المختلفة في الشــركة، مثل الأقســـام ووحـــدات العمل الرئيسة والمنتجـــات، وذلك مقابل معايير وأهداف الامتثال؛
       
      ج. أي قضـايا خاصة بالامتثال تتعلـق بالإدارة أو أشخاص في مناصـــب بمســـؤوليات رئيسة داخل الشـــركة، وحالة أي تحقيقــات أو إجــــراءات أخرى يتم اتخاذها بهذا الخصوص؛ و
       
      د. مخالفات أو مخاوف امتثال جوهرية تتعلــق بأي شخـص آخر أو وحــدة عمل أخرى في الشركة وحالة أي تحقيقات مرتبطة أو إجراءات أخرى يتم اتخاذها.
       
      5.تكون لرئيس وظيفة الامتثال التزامات رئيسة برفع التقارير إلى الرئيس التنفيذي، كما يجب أن يكون له إمكانية الوصول مباشرة إلى المجلس أو إلى لجنة المخاطر و/أو لجنة التدقيق المنبثقتين عنه. ويجب أن يكون لرئيس وظيفة الامتثال إمكانية الوصول إلى رئيس المجلس للإبلاغ عن أي تأخير في تصحيح قضايا جوهرية تتعلق بعدم الامتثال.
       
      6.يجب أن يتوفر لوظيفة الامتثال عدد كاف من الموظفين المتمكنين ممن لديهم جماعيا الخبرات المناسبة لضمان إدارة مخاطــر الامتثال في الشركة على نحو فعّال.
       
      7.يجب أن تظل كافة الأنشطة التي تقوم الشركة بتعهيدها ضمن نطاق مسؤوليات وظيفة الامتثال.
       
      8.يجب أن تقــــوم وظــيفة الامتثال بإعـــداد برنامج لمخاطـــر الامتثال يحدد أنشطتها التي تم التخطيط لها، ويجب تحديثه بشكل منتظم. كما يجب أن يتم إخضاع أنشطة وظيفة الامتثــال لمراجعة دورية مستقلة مــن قبل وظيفة التدقيق الداخــلي.
       

    • المـــــــادة (10): الوظــــيفة الاكـــــــتوارية

      أ.

       يجب أن تكون لـــدى الشـــركة وظيفة اكـــتوارية فعّالة ومستقلة قـــادرة وبحد أدنى على تقــييم وتقــــديم المشـــورة بشـــــأن المخصــــصات الفنية، وملائمة أقســــاط التأمين والتســــعير، والمــلاءة، وكفاية رأس المال، وإعادة التأمين، وذلك كي تسهم في التطبيق الفعّال لنظام إدارة المخاطر لمقابلة كافة المتطلبات الاكتوارية وفقا للأطر القانونية التالية، وأي تعديلات تطرأ عليها من وقت لآخر:
       

      1.القانون الاتحــــادي رقم (6) لسنة 2007 بشأن تنظيم أعمال التأمين، وتعديلاته، ولائحته التنفيذية؛
       
      2.التعليمات المالية؛
       
      3.نظام الاكتواريين؛
       
      4.نظام التسعير؛
       
      5.نظام التأمين التكافلي؛
       
      6.تعليمات التأمين على الحياة؛
       
      7.أي نظام أو متطلب آخر يصدره المصرف المركزي.
       
      ب. يجب أن تكون للوظيفة الاكـــتوارية التزامات رئيسة برفع التقارير إلى الرئيس التنفيذي، كما يجب أن يكون لها الحق في الوصـــول مباشرة إلى المجلس أو إلى لجنة المخاطر و/أولجنة التدقيق المنبثقتين عنه.
       

    • المـــــــادة (11): وظـيفة التدقيق الداخلي

      1.يجب أن تكــون لدى الشــركة وظـــيفة تدقيق داخلي فعّالة تقـــوم بتزويد المجلس أو لجـــنة التدقــــيق التابعة له و الإدارة العليا تقييمـا مستقلا وتأكــــيدات بشــــأن كفـــــاءة وفعالية نظام الضــــوابط الداخلــــية وإدارة المخــــاطر والامــــتثال والعناصر الأخرى لإطار حوكمـــة الشركة.
       
      2.

      كما يجب على وظيفة التدقيق الداخلي أن تستخدم عمليات تدقيق ومراجعات واختبارات عامة ومحددة فيما يتعلق بما يلي: 

      أ. المحافظة على أصــول الشركة والمــؤمن لهم، ومنـــع الاحـــتيال وإساءة استخدام الأصول، وتقييم فعاليّة الضــــوابط المعمــــول بها في هذا الخصوص.
       
      ب. تقيــيم موثوقية وكفـــاءة معلومات التقارير المحاسبية والمــالية وتقارير المخاطـــر والامتثال ومـــدى فعاليّة الضوابط المعمول بها في هذا الخصوص؛ و
       
      ج. أي أمور أخرى يطلبها المجلس.
       
      3.يجب أن تكون وظيفة التدقيق الداخلي مستقلة عن الإدارة أو أي وظائف ضبط أخـــرى، وأن ترفع تقاريرها مباشرة إلى المجلس أو لجنة التدقيق التابعة له، ويجب أن تكون قادرة على الاجتماع معهم دون حضور الإدارة العليا، حسبما تكون الحاجة.
       
      4.يجــــب أن تكــون وظيفة التدقــــيق الداخلي مستقلة عن الأنشــــطة التي يتم تدقيـــقها، وأن يكون لديها المكانــة والصلاحيات الكافية داخل الشركة، التي تمـــكّن وظيفة التدقــــيق الداخلي من تنفـــيذ مهامها وواجباتها الأساسية المحـــددة في المعايير المرفقة، على نحــو مســـتقل.
       
      5.

      يجب على المجلس التأكد من أن لدى وظيفة التدقيق الداخلي الصلاحيات اللازمة للقيام بما يلي:
       

      أ. التواصل مع كافة الموظفين والحصول على كافة السجلات والمستندات والبيانات الخاصة بالشركة، أو المجموعة، أو الشركات الشقيقية، حسب مقتضى الحال، متى كان ذلك ذي صلة بأداء مهامها.
       
      ب. الشروع في مراجعة أي مسألة تقع ضمن مهامها؛ و
       
      ج. استلزام رد الإدارة على أي تقرير تدقيق، وطلب تفاصيل بشأن الإجراءات التصحيحية التي تم اتخاذها بهذا الخصوص.
       
      6.يجب أن تغطي وظيفة التدقيق الداخلي ضمن نطاق أعمالها جميع مجالات المخاطر الجوهرية بما في ذلك الاكتتاب والاحتياطيات وإدارة الموجودات والخصوم والاستثمارات والسيولة وإعادة التأمين وتركز المخاطر والمخاطرالتشغيلية وأساليب تقليل المخاطر وســلوكيات الأعمــال والمعاملات ما بين الكيانات المكوّنة للمجموعة، إن وجدت، والتعويضات ورفع التقارير في المواقيت المحددة. يجب أن تتوفر لدى وظيفة التدقيق الداخلي حق الوصول الكامل والتواصل مع أي موظف، وإمكانية الوصول الكامل لأي من سجلات أو ملفات أو بيانات الشركة، والمجموعة والشركات الشقيقية، حسب مقتضى الحال، وقتما يكون ذلك مطلوبا لأداء مهامها.
       
      7.

      يجب أن تقوم الضوابط الداخلية في الشركة بمعالجة الأمور التالية: 

      أ. يجــــب أن تظل كافـــــة الأنشــــطة التي تقوم الشركة بتعهــيدها ضمــــن نطـاق مسؤوليات وظيفة التدقيق الداخلي بالشركة.
       
      ب. يجب على وظيفة التدقيق الداخلي إجراء مراجعة دورية ورفع تقارير إلى المجلس أو لجنة التدقيق التابعة له بشــــأن الامتثال لسياسات وإجــــراءات التعهيد المعتمــدة لدى الشركة وفعاليّتها.
       
      8.يتعين رفع كافــة نتائج وتوصيات وظيفة التدقيق الداخلي إلى المجلس و/أو لجنة التدقيق التابعة له، الذي يقـــــوم بدوره بمراجعة الإجــــراءات التي يتوجب اتخاذها بشـــأن كل واحـــدة من نتائج وتوصيات التدقيق الداخلي، والتأكد من أن تلك الإجراءات قــد تم تنفيذهــا.
       
      9.يجب أن يتوفر لوظيفة التدقيق الداخلي عدد كاف من الموظفين المتمكنين ممن لديهم جماعيًا الخبرات المناسبة لفهم وتقييم جميع أنشطة الأعمال، ووظائف الدعم ووظائف الضبط في الشركة، و المجموعة، حسب مقتضى الحال.
       
      10.يجـــب أن يتحقـــق رئيس قســم التدقيق الداخلي من امتثال الوظيفـــة للمــــعايير الدوليــــة للممارســة المهنية التدقيق الداخلي الصــادرة عن معهد المدققين الداخليين (IIA).
       
      11.يجب أن يكــــون لدى الشــركات ميثاق تدقيق داخلي معتمــــــد مـن قبل لجــنة التدقيق التابعة للمجلس ، ويوضّح الغـــــرض من وظيفة التدقيق الداخلي ومكانتها وصلاحياتها في الشــــركة و المجمـــوعة، حسب مقتضى الحال. 
       
      12.يجب على الإدارة العليا أن تبلِّغ وظيفة التدقيق الداخلي في الوقت المناسب بأي تغييرات تطرأ على إطار حوكمة المخاطر الخاص بالشركة أو المجموعة، حسب مقتضى الحال.
       
      13.يتعيّن على الإدارة العليا التأكد من اتخاذ إجراءات ملائمة، في المواقيت المناسبة، بشـــأن جميع نتائج وتوصيات التدقيق الداخلي.
       

    • المـــــــادة (12): التعــــهيد

      1.

      يجـب على نظام حوكمة المخاطر أن يقوم بمعالجة الأمور التالية:
       

      أ. يجب أن تتضمّن نظم حوكمـــة مخاطر الشــركات سياسات وإجراءات لتقييم أي تعهيد مقترح وتحــــديد وتقييم وقياس ومراقبة المخاطر المرتبطة بترتيبـــات التعهيد القائمــة حاليــا والمقترحة، والسيطرة عليها ورفع التقارير بشأنهـا وتخفيفهــا.
       
      ب. يجب أن يوفر نظام حوكمة المخاطر رؤية شاملة على مســــتوى الكيان أو على مستوى المجموعة، حســـب مقتضى الحــال، للمخاطر المرتبطة بالتعهيد، بما في ذلك أي خدمــــات تقدمها الشـركة إلى أعضــــاء المجموعة الآخـــرين أو تتلقاها منهم.
       
      ج. يجـــب أن تحتفظ الشركات بسجل شامل ومحدث لجميع ترتيبات التعهيد على مستوى الكيان والمجموعة، بما في ذلك جميع ترتيبات التعهيد الجوهـــرية وغير الجوهـرية.
       
      2.

      عند القيام بعمليات التعـــــهيد، يتعيّن على الشـــركة أن تتحقق مــن وجود التدابير التالية، وذلك كحد أدنى:
       

      أ. يجب أن تكون طريقة الرقابة والمساءلة والمراجعة والتقييملوظائفوأنشــــطة الأعمـــال الجوهرية التي يتم تعهيدها مماثلة للطرق المطبقة على أي نشاط أو وظيفة لا يتم تعهيدها. ويجب ألا يؤثر التعهيد سلبا على قدرة الشركة على إدارة مخاطرها.
       
      ب. تتحمل الشــــركة المسؤولية الكاملة عـــن المخاطر الناشئة عــــن تعهــــيد أي عملية أو نشاط.
       
      ج. يجب أن يكون لدى الشركة اجراءات لتحديد جوهرية أنشطة الأعمال التي يتم تعهيدها. يجب أن تأخذ عملية تحديد نشاطات الأعمال الجوهرية بعين الاعتبار إمكانية تأثير النشاط الذي يتم تعهيده بشكل سلبي على عمليات الشركة وقدرتها على إدارة المخاطر، وذلك في حالة تعطل النشاطات التي تم تعهيدها أو ضعف أدائها.
       
      د. يجب على الشركات الحصول على عدم ممانعة المصرف المركزي قبل تعهيد أي نشاط أعمال جوهري.
       
      3.يتحمل المجلس والإدارة العليا المسؤولية النهائية عن أي وظائف أو أنشطة يتم تعهيدها. ويجب أن يقوم المجلس بتقييم مقدرة إدارة المخاطر والضوابط الداخلية في الشركة على إدارة مخاطر التعهيد بفعالية فيما يتعلق باستمرارية العمل.
       
      4.يجب أن تخضع الأنشــــطة التي يتم تعهيدها لعقــود خطيـــةّ تبيّن حقــــوق الأطراف والتزاماتها. وعند تعهــيد نشاط ما، فإنه يتوجب على المجلس والإدارة العليا النظر في تأثير ذلك على ملف مخاطر الشركة وخبرات مزود الخدمة، ومعرفته، والحوكمة الخاصة به، وإدارته للمخاطر وضوابطه الداخلية والجدوى المالية الخاصة به، إلى جانب الأمــور المتعلقة بتعاقب مزودي الخدمة وذلك عند إنهاء العلاقة التعاقدية مع أحدهم.
       
      5.الشركة مسؤولة عن الامتثال لقوانيــن المصرف المركزي وأنظمــته الرقابية، ولكــافة القوانين والأنظمة ذات الصلة المطبقة على أنشطتها التي يتم تعهيدها.
       
      6.يجب أن تقوم وظيفة الامتثال بالمراجعة المنتظمة لامتثال مزودي خدمات التعهيد بالقوانين والأنظمــــة الرقابية والســـياسات التي تنطبــق على الشركة، وتقديم تقارير إلى الإدارة العليا أو إلى المجلس متى كان ذلك ضروريا،َ في هذا الشـــأن.
       
      7.

      يجب الالتزام بما يلي عند التعهيد خارج الدولة:
       

      أ.يجــب أن يتـم حفــظ وتخزين نظام السجلات الرئيس، والذي يتضــمن جميع البيانات السرية، داخـــل الدولة بشكل مستمر.
       
      ب,واستثناءً لأحكام الفقرة (7.12.أ) أعلاه ورهنا بموافقة المصرف المركزي، يجوز لفروع الشركات الأجنبية الامتثال لهذا المتطلب من خلال الاحتفاظ بنسخة من نظام السجلات الرئيس داخل الدولة، على أن يتم تحديثه على أساس يومي على الأقل.
       
      ج. يجب عدم مشاركة البيانات السرية لعملاء الشركة خارج الدولة دون موافقة المصرف المركزي والحصول على موافقة كتابية مسبقة من العميل. وفي مثل هذه الحالات يجب على الشركات أيضًا الحصول على إقرار كتابي من عملائها بأنه يمكن الوصول إلى بياناتهم السرية كجزء من الإجراءات القانونية أو بناءً على أمر صادر عن محكمة في ولاية قضائية خارج الدولة.
       
      د. يجب ألا تدخل الشركة في اتفاقيات تعهيد تتضمن مشاركة البيانات السرية مع مزود خدمة مقيم في ولاية قضائية لا يمكنها توفير نفس المستوى من حماية البيانات السرية الذي قد ينطبق إذا تم الاحتفاظ بالبيانات في الدولة. ويسري هذا على جميع الولايات القضائية المنطبقة على جميع أطراف الاتفاقية.
       
      هـ. لا يُسمَح للشركات بالدخول في اتفاقيات تعهيد تتضمن تخزين البيانات في أي ولاية قضائية تقيِّد أو تحُِّد فيها قوانين السرية في الشركات أو غيرها من القوانين من الوصول إلى البيانات اللازمة للأغراض الإشرافية والرقابية.
       

    • المـــادة (13): مواجهة الاحتيال في التأمين

      1.

      لغـــايات تقليل مخاطـــر الاحتيال، تلتزم الشركة بالأمـــور التالية، وذلك كحد أدنى:
       

      أ.يجب أن تكون لدى الشركة تدابير فعّالة لردع ومنع واكتشاف الاحتيال الداخلي والخارجي، ورفع التقارير بشأنه، ومعالجة آثاره.
       
      b.ب. يتحمـــل المجلس والإدارة العليا المســؤولية النهـــائية عـــن إدارة مخاطر الاحتيال.
       
      c.ج. يجـــب أن يغطي نظام إدارة المخاطر في الشركة الاستراتيجـــية والهيكـــل التنظيمي والسياسات والإجــــراءات. ويجب أن تتم مراجعة استراتيجية إدارة مخاطــر الاحتيال بانتظام من قبل المجلس والإدارة العليا لضمــان استمرار فعاليتها.
       
      d.د. يجب على الشركة أن تقوم بتحديد و تقييم و قياس ومراقبة مخاطر الاحتيال، ورفع التقارير بشأنها والسيطرة عليها والعمل على تقليلها، ووضع سياسات وإجراءات ملائمة على مستوى الشركة.
       
      2.يجب على الشركة أن تلُزم أعضـاء مجلس إدارتها وموظفيها بمستويات عالية للنزاهة، وذلك كجـــزء من قيم أعمالها وثقافتها المؤسسية. كما يتعين نشر هــذه المتطلبات في كافة أقسام ووحدات الشركة.
       
      3.يجب على المجلس اعتماد استراتيجية لإدارة مخاطر الاحتيال، والتأكد من توفر الموارد والدعم والخبرات الكافية للتنفيذ الفعّال لهذه الاستراتيجية. ويجب أن يتطلب أي انحراف عن استراتيجية إدارة مخاطر الاحتيال موافقة من المجلس.
       
      4.يجـــوز فرض متطلبات إضـــافية بشـــأن مواجهة مخاطــر الاحتيال في التأمــــين، بموجــــب أنظمـــة أو قـــرارات قد يصــــدرها المصرف المركزي في هذا الشأن.
       

    • المـــــادة (14): وجوب رفع التقارير إلى المصرف المركزي

      1.على رؤساء وظائف إدارة المخاطر والامتثال والوظيفة الإكتوارية و/أو التدقيق الداخلي القيــام بإخطار المصرف المركزي فوراً بأيّة مخالفات لقوانين المصرف المركزي والأنظمة و/أو التعليمات الصادرة عن المصرف المركزي، وعن أي من الأمور ذات الأهمية. ولا يعتبر رؤساء وظائف إدارة المخاطـــر والامتثال والوظيفة الإكتوارية والتدقيق الداخلي الذين يقومون برفع هذه التقارير بحسن نية بأنهم قد أخلّوا بأي من التزاماتهم.
       
      2.يجب على الشركات إخطار المصرف المركزي فوراً في حال استقالة رئيس وظيفة إدارة المخاطر أو الامتثال أو التدقيق الداخلي، وإبداء أسباب الاستقالة.
       
      3.تلتزم الشركات أيضاً بإخطار المصرف المركزي فوراً إذا تناهى إلى علمها وقوع انحراف جوهري عن سياسات إدارة المخاطر و/أو الامتثال والأعمال الإكتوارية ومواثيق الضبط الداخلي المعتمدة من المجلس.
       

    • المــــــادة (15): التأمــــين التكـــــافلي

      يجب على الشركة التي تمارس التأمين التكافلي أن تضمن الامتثال لأحــكام الشريعة الإسلامية عملا بنظــام التكافل والتعليمات المالية، بالإضافة إلى متطلبات هذا النظــام.

    • المــــــادة (16): الإنفــــاذ

      1.يمكن لأي مخالفة لأي من أحكام هذا النظام والمعايير المصاحبة له أن تؤدي إلى اتخاذ إجراءات رقابية أو جزاءات، حسبما يراه المصرف المركزي ملائماً.
       
      2.دون الإخلال بأحكام قانون المصرف المركزي، يمكن أن تتضمن الإجراءات الرقابية والجزاءات التي يفرضها المصرف المركزي سحب أو استبدال أو تقييد صلاحيات الإدارة العليا أو أعضاء في المجلس، أو توفير إدارة مؤقتة للشركة، أو حظر أفراد من العمل في قطاع التأمين في دولة الإمارات العربية المتحدة.
       

    • المــــــادة (17): تفســير النظــام

      تكون إدارة تطوير الأنظمة الرقابية بالمصرف المركزي هي المرجــــع في تفسير أحكام هذا النظام.

    • المـــــادة (18): النشـر والتطـبيق

      1.يُنشر هذا النظام في الجريدة الرسمية باللغتين العربية والإنجليزية، وتسري أحكامه بعد مرور شهر واحد من تاريخ النشر.
       
      2.يجب على أي شركة لا تكون منسجمة مع أحكام هذا النظام في تاريخ سريان مفعوله، أن تزوّد المصرف المركزي خلال مدة (90) يوم، بخطة تفصيلية لتوفيق أوضاعها مع المتطلبات المنصوص عليها في هذا النظــــام. وسيقوم المصرف المركزي بتقرير مدى كفاية وملاءمة الخطة المقترحـــة.
       

       

       

       

      خالد محمد بالعمى

       محافظ مصرف الإمارات العربية المتحدة المركزي