يجـب على نظام حوكمة المخاطر أن يقوم بمعالجة الأمور التالية:
أ.
يجب أن تتضمّن نظم حوكمـــة مخاطر الشــركات سياسات وإجراءات لتقييم أي تعهيد مقترح وتحــــديد وتقييم وقياس ومراقبة المخاطر المرتبطة بترتيبـــات التعهيد القائمــة حاليــا والمقترحة، والسيطرة عليها ورفع التقارير بشأنهـا وتخفيفهــا.
ب.
يجب أن يوفر نظام حوكمة المخاطر رؤية شاملة على مســــتوى الكيان أو على مستوى المجموعة، حســـب مقتضى الحــال، للمخاطر المرتبطة بالتعهيد، بما في ذلك أي خدمــــات تقدمها الشـركة إلى أعضــــاء المجموعة الآخـــرين أو تتلقاها منهم.
ج.
يجـــب أن تحتفظ الشركات بسجل شامل ومحدث لجميع ترتيبات التعهيد على مستوى الكيان والمجموعة، بما في ذلك جميع ترتيبات التعهيد الجوهـــرية وغير الجوهـرية.
2.
عند القيام بعمليات التعـــــهيد، يتعيّن على الشـــركة أن تتحقق مــن وجود التدابير التالية، وذلك كحد أدنى:
أ.
يجب أن تكون طريقة الرقابة والمساءلة والمراجعة والتقييملوظائفوأنشــــطة الأعمـــال الجوهرية التي يتم تعهيدها مماثلة للطرق المطبقة على أي نشاط أو وظيفة لا يتم تعهيدها. ويجب ألا يؤثر التعهيد سلبا على قدرة الشركة على إدارة مخاطرها.
ب.
تتحمل الشــــركة المسؤولية الكاملة عـــن المخاطر الناشئة عــــن تعهــــيد أي عملية أو نشاط.
ج.
يجب أن يكون لدى الشركة اجراءات لتحديد جوهرية أنشطة الأعمال التي يتم تعهيدها. يجب أن تأخذ عملية تحديد نشاطات الأعمال الجوهرية بعين الاعتبار إمكانية تأثير النشاط الذي يتم تعهيده بشكل سلبي على عمليات الشركة وقدرتها على إدارة المخاطر، وذلك في حالة تعطل النشاطات التي تم تعهيدها أو ضعف أدائها.
د.
يجب على الشركات الحصول على عدم ممانعة المصرف المركزي قبل تعهيد أي نشاط أعمال جوهري.
3.
يتحمل المجلس والإدارة العليا المسؤولية النهائية عن أي وظائف أو أنشطة يتم تعهيدها. ويجب أن يقوم المجلس بتقييم مقدرة إدارة المخاطر والضوابط الداخلية في الشركة على إدارة مخاطر التعهيد بفعالية فيما يتعلق باستمرارية العمل.
4.
يجب أن تخضع الأنشــــطة التي يتم تعهيدها لعقــود خطيـــةّ تبيّن حقــــوق الأطراف والتزاماتها. وعند تعهــيد نشاط ما، فإنه يتوجب على المجلس والإدارة العليا النظر في تأثير ذلك على ملف مخاطر الشركة وخبرات مزود الخدمة، ومعرفته، والحوكمة الخاصة به، وإدارته للمخاطر وضوابطه الداخلية والجدوى المالية الخاصة به، إلى جانب الأمــور المتعلقة بتعاقب مزودي الخدمة وذلك عند إنهاء العلاقة التعاقدية مع أحدهم.
5.
الشركة مسؤولة عن الامتثال لقوانيــن المصرف المركزي وأنظمــته الرقابية، ولكــافة القوانين والأنظمة ذات الصلة المطبقة على أنشطتها التي يتم تعهيدها.
6.
يجب أن تقوم وظيفة الامتثال بالمراجعة المنتظمة لامتثال مزودي خدمات التعهيد بالقوانين والأنظمــــة الرقابية والســـياسات التي تنطبــق على الشركة، وتقديم تقارير إلى الإدارة العليا أو إلى المجلس متى كان ذلك ضروريا،َ في هذا الشـــأن.
7.
يجب الالتزام بما يلي عند التعهيد خارج الدولة:
أ.
يجــب أن يتـم حفــظ وتخزين نظام السجلات الرئيس، والذي يتضــمن جميع البيانات السرية، داخـــل الدولة بشكل مستمر.
ب,
واستثناءً لأحكام الفقرة (7.12.أ) أعلاه ورهنا بموافقة المصرف المركزي، يجوز لفروع الشركات الأجنبية الامتثال لهذا المتطلب من خلال الاحتفاظ بنسخة من نظام السجلات الرئيس داخل الدولة، على أن يتم تحديثه على أساس يومي على الأقل.
ج.
يجب عدم مشاركة البيانات السرية لعملاء الشركة خارج الدولة دون موافقة المصرف المركزي والحصول على موافقة كتابية مسبقة من العميل. وفي مثل هذه الحالات يجب على الشركات أيضًا الحصول على إقرار كتابي من عملائها بأنه يمكن الوصول إلى بياناتهم السرية كجزء من الإجراءات القانونية أو بناءً على أمر صادر عن محكمة في ولاية قضائية خارج الدولة.
د.
يجب ألا تدخل الشركة في اتفاقيات تعهيد تتضمن مشاركة البيانات السرية مع مزود خدمة مقيم في ولاية قضائية لا يمكنها توفير نفس المستوى من حماية البيانات السرية الذي قد ينطبق إذا تم الاحتفاظ بالبيانات في الدولة. ويسري هذا على جميع الولايات القضائية المنطبقة على جميع أطراف الاتفاقية.
هـ.
لا يُسمَح للشركات بالدخول في اتفاقيات تعهيد تتضمن تخزين البيانات في أي ولاية قضائية تقيِّد أو تحُِّد فيها قوانين السرية في الشركات أو غيرها من القوانين من الوصول إلى البيانات اللازمة للأغراض الإشرافية والرقابية.