این دستورالعمل در راستای حمایت از حقوق سرمایهگذاران، پیشگیری از وقوع تخلفات و نیز ساماندهی و توسعه بازار شفاف و منصفانه اوراق بهادار طبق بندهای 8، 11 و 18 ماده 7 قانون بازار اوراق بهادار جمهوری اسلامی ایران (مصوب آذر ماه 1384 مجلس شورای اسلامی) و با هدف اجرای مواد 25 و 35 دستورالعمل پذیرش اوراق بهادار در بورس اوراق بهادار تهران (اصلاحیه مصوب 15 مرداد ماه 90 )، به تصویب هیات مدیره سازمان بورس و اوراق بهادار رسید.
در این دستورالعمل آمده است: سیستم کنترلهای داخلی باید در برگیرندۀ سیاست ها، رویهها، وظایف، فعالیتها و سایر جنبههایی باشد که به حصول اطمینان معقول از این که از منابع و دارایی های آن در برابر اتلاف، تقلب و سوء استفاده محافظت میشود، کمک کند.
همچنین به حصول اطمینان معقول از این که عملیات شرکت، کارا و اثر بخش انجام میشود، کمک نماید، به حصول اطمینان معقول از کیفیت گزارشگری مالی کمک کند.
این امر مستلزم بکارگیری فرآیندها و نگهداری مستندات مناسب جهت انتقال اطلاعات قابل اتکا، مربوط و به موقع است و به حصول اطمینان معقول از رعایت قوانین و مقررات مربوط و همچنین رعایت سیاست های داخلیِ مرتبط با کسب و کار توسط مدیران و کارکنان شرکت کمک کند.
سیستم کنترلهای داخلی هر شرکت با توجه به اندازه و نوع فعالیت آن متفاوت است، اما این سیستم در هر شرکت باید به گونهای طراحی، مستقر، اجرا و مستندسازی شود که در برگیرندهی محیط کنترلی، ارزیابی ریسک، فعالیتهای کنترلی، اطلاعات و ارتباطات و نظارت باشد.
** محیط کنترلی
مدیریت ارشد شرکت باید با ایجاد نظم و انضباط سازمانی، تدوین مقررات داخلی و تأثیر بر وجدان کاری و ارزشهای اخلاقی کارکنان، محیط کنترلی را به گونهای فرآهم آورد که پایه و اساسی مناسب برای اجرای سایر اجزای کنترلهای داخلی باشد.
صداقت، درستکاری و پایبندی مدیریت ارشد به رعایت کنترلهای داخلی، حسابرسی داخلی، کمیته حسابرسی، رعایت ارزشهای اخلاقی، صلاحیت کارکنان، تعیین حدود مسئولیتها و اختیارات هر جایگاه سازمانی، ساماندهی تفویض اختیارات، نظاممند کردن ارتقای کارکنان و رهنمودهای مدیریت برای کمک به بهبود محیط کنترلی، برخی از عوامل اصلی محیط کنترلی شرکت هستند.
** ارزیابی ریسک
مدیریت ارشد شرکت باید فرآیند ارزیابی ریسکهای مربوط به شرکت شامل شناسایی ریسک، اندازهگیری ریسک، تجزیه و تحلیل ریسک و طراحی و اجرای روشهای مدیریت ریسک را پیاده سازی کند.
با توجه به این که پیش شرط لازم برای شناسایی ریسکها، تعیین اهداف اصلی شرکت (شامل اهداف عملیاتی، اهداف گزارشگری مالی، و اهداف رعایتی موضوع بندهای الف تا د ماده 2 این دستورالعمل) است.
بنا بر این مدیریت ارشد شرکت باید ضمن تعیین این اهداف، ریسکهای دستیابی به هر یک از آنها را نیز شناسایی، تجزیه و تحلیل و برای کنترل و مدیریت آنها فعالیتهای مناسبی را طراحی و اجرا کند.
** فعالیتهای کنترلی
فعالیتهای کنترلی هر شرکت باید متناسب با اهداف عملیاتی، گزارشگری مالی، و رعایتی آن باشد.
هر چند که این فعالیتها باید بسته به اندازه، نوع عملیات، اهداف، و شرایط هر شرکت طراحی و پیادهسازی شوند، اما فعالیتهای کنترلی هر شرکت باید علاوه بر کنترلهای عمومی و کاربردیِ حاکم بر سامانههای اطلاعاتی، دربرگیرنده و مبتنی بر اصول (بررسی های مدیریت ارشد، مدیریت مستقیم فعالیت ها و کارکردها، کنترل های اعتباری و پردازش معاملات، کنترل های فیزیکی، شاخص های عملکرد، تفکیک وظایف، خط مشی ها و رویه ها و مستندسازی) باشد.
** اطلاعات و ارتباطات
شرکت باید مسیرهای ارتباطی مناسب و دو سویهای را بین کارکنان و مدیریت برقرار کند.
مدیریت شرکت از طریق این مسیرهای ارتباطی باید بتواند مسئولیتهای کارکنان در رابطه با کنترلهای داخلی را به آنان اعلام کند و کارکنان نیز از این طریق باید بتوانند اطلاعات مهم را به مدیریت گزارش کنند.
** نظارت
عملکرد سیستم کنترلهای داخلی شرکت باید به طور مداوم مورد نظارت قرار گیرد.
این نظارت باید از طریق فعالیتهای نظارتی مستمر، ارزیابیهای موردی یا ترکیبی از این دو انجام شود.
فعالیتهای نظارتی مستمر باید در روال عادی عملیات و از طریق فعالیتهای مدیریتی و سرپرستی معمول، حسابرسی داخلی و دیگر اقداماتی که کارکنان برای ایفای وظایف خود انجام میدهند اعمال شود.
ارزیابیهای موردی به نتیجه ارزیابی ریسکها و میزان اثربخشی فعالیتهای نظارتی مستمر بستگی دارد؛ چنانچه در نتیجهی ارزیابی ریسکها لزوم طراحی و اجرای ارزیابیهای موردی، ضروری تشخیص داده شود یا فعالیتهای نظارتی مستمر به میزان کافی اثربخش نباشند، ارزیابیهای موردی بیشتری باید طراحی و اجرا شوند.
** گزارش کنترلهای داخلی
هیات مدیره مکلف است نسبت به استقرار و به کارگیری کنترلهای داخلی مناسب و اثر بخش بمنظور دستیابی به اهداف شرکت، اطمینان حاصل نماید.
برای ایفای این مسئولیت، هیئت مدیره شرکت باید سیستم کنترلهای داخلی را با توجه به چارچوب کنترلهای داخلی ذکر شده در فصل دوم این دستورالعمل، حداقل به طور سالانه بررسی و نتایج آن را در گزارشی تحت عنوان 'گزارش کنترلهای داخلی' درج و افشا نماید.