يجب أن يضمن نظام الضوابط الداخلية وجود عمليات فعّالة وسيطرة كافية على المخاطر، وسلوكيات أعمال حصيفة، وموثوقية المعلومات المالية وغير المالية المبلغ عنها، والامتثال لقوانين المصرف المركزي والقوانين الأخرى ذات العلاقة والأنظمة والمتطلبات الرقابية والقواعد والقرارات الداخلية للشركة. كما يجب أن يغطي نظام الضوابط الداخلية جميع وحدات العمل والأنشطة، ويتعين تقييمه ومراجعته بانتظام من قبل المجلس أو من قبل لجنة التدقيق المنبثقة عنه وتحديثه حســـب الضرورة. كما يجب أن يتضمــن نظام الضوابط الداخلية هيكل ضبط ملائــم مع أنشطة ضبط محددة على مستوى كل وحدة عمل، حيث يجب على جميع الوحدات التنظيمية أن تمتلك وتدير وتبلغ عن المخاطر، ويجب أن تكون تلك الوحدات مسؤولة عن وضــع وحفظ سياسات وإجراءات ضبط داخلي فعّالة. ويجب أن تقـــوم وظائف الضبط بتقييم مدى كفاية الضوابط المســــتخدمة من قبل وحدات العمل. يتعين أن يحتوي نظام الضوابط الداخلية على المكوّنات التالية، كحــــد أدنى:
أ.
الفصل بين الواجــــبات، وتدابير لمنع التضـــارب في المصــــالح، وذلك على النحو التالي:
1.
استقلالية كافية مع وضوح التسلسل الإداري وفصل الواجبات بين الأشخاص المسؤولين عن عمليات أو سياسات معينة، وأولئك الذين يتحققون من تطبيق هذه العمليات أو السياســات.
2.
استقلالية كافية مع وضوح التسلسل الإداري وفصل الواجبات بين أولئك الذين يصممون أو يتولون تشغيل ضوابط معينة، وأولئك الذين يتحققون من فعالية تلك الضوابط.
ب.
سياسات وعمليــات:
1.
تضمين ضوابط ملائمة لجميع إجراءات وسياسات الأعمال الرئيسة، بما في ذلك إجراءات اتخاذ القرارات الهامة الخاصة بالأعمال والموافقة على المعاملات، والوظائف الهامة في مجال تقنية المعلومات، والأمن السيبراني وإمكانية الوصول إلى البنية التحتية الهامة لتقنية المعلومات من قبل الموظفين والأطراف الثالثة ذوي العلاقة، والالتزامات القانونية والرقابية الهامة.
2.
تضمين سياسات للتدريب على الضــوابط وعلى وجه الخصوص بالنسبة للموظفين الذين يؤدون أدوارا تتطلب ثقــة أو مسؤولية عالية، أو الموظفين المشاركين في الإشراف على أنشطة عالية المخاطر.
3.
إجراءات وسياسـات رئيســة مركزية موثقة بالإضــــافة إلى الضـــوابط المقابلة لها.
ج.
المعلومات والاتصال:
1.
يجب أن يكون جميع الموظفين على دراية بمتطلبات الالتزام بنظام الضوابط الداخلية للشركة.
2.
يجب توفير المعلومات اللازمة لاتخاذ القرارات لمتخذي القرارات في المواقيت المناسبة، بما في ذلك، على سبيل الذكر لا الحصر، المعلومات المالية والتشغيلية والمعلومات الخاصة بالسوق والامتثال.
د.
المراقبة والمراجعة:
1.
يجب أن يتم فحص العمليات بانتظام من قبل وظيفة التدقيق الداخلي للتأكد من فعالية الضوابط.
2.
يجب على وظيفــــة التدقيق الداخلي أن تقوم بتقييم نظام الضوابط الداخلية بانتظام، وذلك لتحديد مدى كفـــاءته وفعاليته.
هـ.
يجب أن تشُير التقارير بشأن نظام الضوابط الداخلية إلى الســـياسة الخاصة بالضوابط الداخلية )مثل المسؤوليات ومستويات الامتثال والتحقق من صلاحية النظام وتطبيق الخطط التصحيحية( ومرحلة التطوير، ومستوى وأداء وحدات العمل، وأوجه القصور في التطبيق.
2.
يتعـــين على المجلس أن يفهــم بيئة الضــبط، وأن يوجّه الإدارة العليا لضـــمان وجــــود رقابة مناسبة لكل إجراءات العمل وسياســاته. كما يجب على المجلس أن يتأكد من توزيع المســـؤوليات من حيث تصميم وتوثيق وتشغيل الضوابط الداخلية.
3.
أ.
بالنسبة لفروع الشركات الأجنبية، يجب أن يتم تكوين لجنة إدارة عليا أو ما يعادلها، تتألف من وظائف الضبط المحلية. ويتعيّن على وظائف الضبط هذه أن ترفع التقارير مباشرة إلى وظائف الضبط المقابلة على مستوى المؤسسة، و/أو المجلس و/أو اللجان ذات الصلة.
ب.
لا يجوز لوظائف الضبط المحلية المشار إليها في الفقرة (أ) أعلاه، أن تقوم بأكثر من وظيفة ضبط واحدة.
كتاب روابط اجتياز لـ Article (4): Effective System of Internal Controls