Guida Interpretativa 2120-3: Copertura dell'Internal Audit sui rischi per il raggiungimento degli obiettivi strategici

1. Il management aziendale ha la responsabilità di individuare e gestire i rischi derivanti dall’attuazione degli obiettivi strategici dell'organizzazione. Il Board ha la responsabilità di assicurare che tutti i rischi strategici siano individuati, capiti e gestiti ad un livello accettabile, all’interno di margini di tolleranza del rischio. L’Internal Audit deve avere conoscenza della strategia dell'organizzazione, di come questa è attuata, dei rischi connessi e di come questi sono gestiti.

2. Per consentire all'Internal Audit di concentrarsi sui rischi rilevanti, la strategia dell'organizzazione deve essere considerata come elemento fondamentale nello sviluppo di un piano di audit basato sul rischio. Ciò consente di allineare l'Internal Audit alle priorità strategiche dell'organizzazione e contribuisce a garantire che le sue risorse siano allocate nelle aree di significativa importanza.

3.Nello sviluppare il piano di audit, l'Internal Audit deve fare leva sul lavoro del management e delle altre funzioni di assurance, per contribuire a individuare i rischi che presentano le minacce e le opportunità più significative per il raggiungimento degli obiettivi strategici di un'organizzazione.

4. Le minacce e le opportunità strategiche orientano il management nella creazione e nella definizione delle priorità tra le iniziative strategiche dell'organizzazione a breve e a lungo termine, o tra gli investimenti più significativi, per fornire valore ai propri stakeholders.

5. L'Internal Audit, quando sviluppa il proprio piano di audit, deve considerare di fornire servizi di assurance per queste iniziative strategiche. Ciò consente all'Internal Audit di valutare se i rischi strategici sono gestiti a un livello accettabile, valutando alcuni o tutti gli sforzi attuati per mitigare i rischi. Questa impostazione potrebbe anche permettere all’Internal Audit di fornire servizi di consulenza che abbiano un impatto diretto sull'evoluzione dell'organizzazione.

6. Dopo avere determinato i rischi strategici da includere in un piano di audit, l'Internal Audit deve valutare se al proprio interno sono presenti tutte le competenze e le conoscenze necessarie per svolgere un’appropriata assurance o gli incarichi di consulenza. Potrebbe essere necessario acquisire (all’interno o all’esterno) competenze e conoscenze specialistiche, prima che l’Internal Audit sia qualificato a svolgere l’attività.

***
giugno 2013

Standard 2120-Gestione del Rischio