يجب تصميم نظام إدارة مخاطر الشركة بحيث يعمـل على جميع المستويات للسماح بتحديد وتقييم ومراقبة وقياس كافة مخاطر الشركة والسيطرة عليها ورفع التقارير بشأنها وتقليلها، وذلك في المواقيت المناسبة. كما يجب على النظام أن يأخذ بعين الاعتبار الاحتمالية والتأثير المحتمل والآفاق الزمنية للمخاطر. كما يجب أن يتضمن نظام إدارة المخاطر الفعال العناصر التالية:
أ.
اســــتراتيجية موثقّة لإدارة المخاطر، بما في ذلك بـــيان تقبّل مخاطر محـــدد بوضوح ومعتمـــد من قبل المجلس، ومتماش مع أنشطة أعمال الشركة.
ب.
توزيع وتخصيص مســـؤوليات إدارة المخاطر.
ج.
إجــــراءات موثقّة لموافقــة المجلس على أي انحراف عن تقبّل المخاطر.
د.
سياسات تحتوي كافــة المخاطر الجوهرية التي تتعرض لها الشركة ومستويات الحدود المقبولة للمخاطر. ويجب أن تصف هذه السياسات التزامات الموظفين في التعامل مع المخاطر، بما في ذلك تصعيد المخاطر وأدوات تخفيف المخاطر.
هـ.
عملــيات وأدوات تشمل اختبارات الضغط وتحليلات السيناريوهات ونماذج لتحديد وتقييم وقياس ومراقبة المخاطر والسيطرة عليها ورفع التقارير بشأنها وتقليلها، بالإضافة إلى خطط طوارئ.
و.
مراجعة منتظمــة لنظــام المخاطر.
ز.
وظيفة فعــاّلة لإدارة المخاطـر.
2.
يجب أن يشمل نظام إدارة المخاطر كحد أدنى الاكتتاب والاحتياطيات وإدارة الأصول والخصوم والاستثمارات والسيولة وإعادة التأمين وتركز المخاطر والمخاطر التشغيلية وآليات تخفيف المخاطر وسلوكيات الأعمــال. كما يجب أن يغطي النظام المخاطر الواجب تضمينها عند احتساب متطلبات ملاءة رأس المال كما هو منصوص عليها في التعليمات المالية، كما يجب أن يغطي المخاطر التي لم يتم تضمينها، أو لم يتم تضمينها بشكل كلي عند احتساب تلك المتطلبات.
3.
ويتعين أخذ الأمور الواردة أدناه في الاعتبار عند تطويـر نظام إدارة المخاطــــر:
أ.
يتعين تعديــل ملف مخاطر الشركة تبعا للظروف، الأمر الذي يستلزم تضمين المخاطر الجديدة، بالإضافة إلى تحديث المعلومات الخاصة بالمخاطر التي سبق أن تم تحديدها. كمــا يتعين أخذ التطلعات المتغيّرة للمؤمن لهم وغيرهم من أصحــــاب المصلحة بعين الاعتبار.
ب.
يجب الحصول على موافقة المجلس على أي تغييرات جوهرية على نظام إدارة المخاطر وتحديدا تلك التي يمكن أن تؤثر على ملف المخاطر، كما يجب أن يتم توثيقها وتوفيرها للتدقيق الداخلي والتدقيق الخارجي والمصرف المركزي.
ج.
يجب أن يتضمن نظام إدارة المخاطر حلقة لجمع الملاحظات تتضمن عملية لتقييم أثر التغييرات الخاصة بالمخاطر التي تؤدي إلى تغييرات في سياسة إدارة المخاطر، وحدود المخاطر وإجراءات تخفيف المخاطر. ويتعين أن يتوفر تنسيق كاف بين الشركة الأم والشركات التابعة والشركات الشقيقة ضمن ذات المجموعة، وذلك كجزء من حلقة جمع الملاحظات.
4.
في الحالات التي لا يكون فيها المصرف المركزي هو السلطة الرقابية الرئيسة لأي شركة في مجموعة، ويكون أي عنصر من عناصر منهجية الشركة الشـــاملة لإدارة المخاطر خاضـــعًا لسيطرة أو تأثير كيان آخر في المجموعة، عندها يجــب أن يأخذ نظام إدارة المخاطر لدى الشركة بعين الاعتبار المخاطر التي تنشأ عن علاقات المجموعة، مع تحديد ما يلي بوضوح:
أ.
الروابط، وأية اختلافات جوهرية بين إطار حوكمة المخاطر المعتمد لدى الشركة والمعتمد لدى المجموعة؛
ب.
ما إذا كانت وظيفة إدارة المخاطر لدى الشركة مستمدة كلياً أو جزئياً من وظائف إدارة المخاطر للمجموعة؛ و
ج.
إجراءات المراقبة بواسطة المجموعة أو إجراءات رفع التقارير إليها حول إدارة المخاطر.
5.
يجب على الشركة إجراء تقييم ذاتي للمخاطر والملاءة (ORSA) وذلك كجزء من نظام إدارة المخاطر الخاص بها، ويتعيّن أن تقوم بإجرائه وظيفة إدارة المخاطر. ويجب أن يتضمن هذا التقييم ما يلي، كحد أدنى:
أ.
احتياجات الملاءة المالية الشاملة، مع الأخذ بعين الاعتبار ملف المخاطر المحدد، والحدود المعتمدة لتحمل المخاطر واستراتيجية أعمــال الشركة. وتلتزم الشركة بإثبات الأساليب المستخدمة في هذا التقييم.
ب.
الامتثال المســـتمر لمتطلبــــات رأس المـــال، على النحو المنصوص عليــه في التعليمــات المالية؛
ج.
الامــــتثال المستمر للمتطلبات المتعلقة بالمخصــصات الفــنية، على النحو المنصوص عليه في التعليمات المالية؛
د.
مدى شـــدة انحراف ملف مخاطر الشركة عن الافتراضات التي تقوم عليها متطلبات ملاءة رأس المال كمـا هو منصوص عليها في التعليمات المالية. ويجب على الشــركة أن تقوم بعمــل تقييم يبيّن فيمـــا إذا كانت التغــيرات في النموذج القياسي منســجمة مـــع انكشافاتها الفعلية.
هـ.
استكمــال التقييم الذاتي للمخاطر والملاءة (ORSA) والذي يجب أن يكون جزءًا لا يتجزأ من استراتيجية الأعمـال وعملية تخطيط الأعمال، ويجب أن يؤخذ بعين الاعتبار بشكل مستمر في القرارات الاستراتيجية للشركة ودون أي تأخير، وذلك عند حدوث أي تغيير جوهري في ملف مخاطر الشركة؛
و.
إبلاغ المصرف المركزي بنتائج كل تقييم ذاتي للمخاطر والملاءة (ORSA) تزامنا مع تقديم خطة الأعمال السنوية للشركة وفقًا للجدول الزمني الذي ينشره المصرف المركزي.
ز.
إبلاغ المصرف المركزي بأي متطلبات إضافية خاصة بالتقييم الذاتي للمخاطر والملاءة (ORSA)، والتي قد يتم فرضها بموجب أنظمة أو قرارات يصدرها المصرف المركزي بهذا الخصوص.