Guida Interpretativa 2330.A1-1 - Controllo della documentazione dell’incarico

1. La documentazione dell’incarico include il report, la documentazione di supporto, le note di revisione e la corrispondenza, indipendentemente dagli strumenti di archiviazione. La documentazione dell’incarico o le carte di lavoro, sono di proprietà dell’organizzazione. La struttura che svolge attività di internal audit controlla le carte di lavoro dell’incarico e consente l’accesso soltanto al personale autorizzato.

2. Gli internal auditor possono fornire istruzioni al management e al board, in merito alle modalità di accesso alla documentazione dell’incarico da parte di parti terze. Le direttive relative all’accesso alla documentazione dell’incarico, e alla gestione delle relative richieste e le procedure da seguire quando un incarico giustifica l’avvio di un’investigazione successiva, devono essere esaminate dal board.

3. Le direttive di internal audit devono indicare il soggetto responsabile nell’organizzazione per assicurare il controllo e la sicurezza della documentazione dell’incarico,a quali soggetti interni o esterni può essere garantito l’accesso a tale documentazione e come le richieste di accesso devono essere gestite. Tali politiche saranno diverse in funzione della natura dell’organizzazione, delle prassi adottate dal settore e dei diritti di accesso stabiliti dalla normativa vigente.

4. Il management e altri membri dell’organizzazione possono richiedere l’accesso a tutte o a specifiche carte di lavoro dell’incarico. Tale accesso può risultare necessario per sostanziare o spiegare osservazioni e raccomandazioni dell’incarico o per altre finalità aziendali. Le richieste di accesso sono approvate dal responsabile internal auditing.

5. Il responsabile internal auditing deve approvare l’accesso alle carte di lavoro dell’incarico, da parte dei revisori esterni.

6. Ci sono casi in cui soggetti esterni all’organizzazione, che non siano i revisori esterni, richiedono l’accesso alle carte di lavoro e alla relazione dell’incarico. Prima di rilasciare tale documentazione a parti terze, il responsabile internal auditing deve ottenere l’approvazione del senior management e/o, secondo le circostanze, il parere del legale dell’organizzazione.

7. Potenzialmente, la documentazione di internal audit che non abbia particolari restrizioni di accesso può essere utilizzata nelle azioni legali. Gli obblighi di legge si differenziano in maniera significativa a seconda della giurisdizione di appartenenza. In presenza di una specifica richiesta di documentazione dell’incarico, in relazione ad un’azione giudiziaria, il responsabile internal auditing deve collaborare con il legale dell’organizzazione per decidere quali atti fornire.

 

***

gennaio 2009

Standard 2330.A1 - Documentazione delle Informazioni