13.1. Организация должна проводить оценку системы внутреннего контроля с целью определения уровня ее организации и разработки мероприятий по развитию и совершенствованию системы внутреннего контроля.
13.2. Оценка организации системы внутреннего контроля должна предусматривать проверку функционирования системы внутреннего контроля в ходе финансово-хозяйственной деятельности с целью своевременного информирования руководителей о выявленных ошибках, противоречиях и недостатках для принятия мер по их устранению.
13.3. Порядок, частота осуществления оценки организации системы внутреннего контроля должны определяться в зависимости от характера и масштабов финансово-хозяйственной деятельности организации, изменений в финансово-хозяйственной деятельности и общего уровня развития и надежности системы внутреннего контроля.
13.4. Оценка организации системы внутреннего контроля должна проводиться с учетом результатов фактически выполняемых и документально подтвержденных контрольных процедур.
13.5. Организация должна проводить оценку системы внутреннего контроля в разрезе пяти компонентов:
контрольная среда;
система управления рисками;
контрольные процедуры;
информационная система;
мониторинг средств контроля.
13.6. При анализе и оценке контрольной среды должны учитываться следующие критерии:
внедрение в организации и соблюдение сотрудниками организации профессиональных, этических и поведенческих стандартов;
участие руководителя организации в процессе оценки результатов функционирования системы внутреннего контроля, в том числе закрепление за руководителем организации функций рассмотрения и утверждения оценки результатов мониторинга и оценки системы внутреннего контроля;
распределение (разграничение) полномочий и обязанностей, закрепленное в организационной структуре, реализующей надлежащий учет ключевых сфер полномочий, обязанностей и определенного порядка подчиненности сотрудников;
наличие требований к квалификации сотрудников, в том числе к образованию, опыту работы, достижениям, сведениям о добросовестности и этическом поведении, а также наличие программ подготовки специалистов, предусматривающих обучение их функциям и обязанностям.
13.7. При выявлении и оценке рисков должны учитываться следующие критерии:
наличие системы управления рисками;
утверждение комплексной стратегии управления рисками на уровне руководителя организации;
документирование результатов выявления и оценки рисков;
использование современных информационных систем для организации системы управления рисками.
13.8. При анализе и оценке контрольных процедур должны учитываться следующие критерии:
описание контрольных процедур;
документирование выполнения контрольных процедур;
оценка эффективности контрольных процедур;
наличие автоматизированных контрольных процедур;
соотношение автоматизированных и ручных контрольных процедур.
13.9. При анализе и оценке информационных систем должны учитываться следующие критерии:
частота проведения внутреннего и (или) внешнего аудита информационных систем;