Guida Interpretativa 2440.A2-1 - Comunicazioni all’Esterno dell’Organizzazione

1. Il mandato dell’attività di internal auditing, il mandato del board, le politiche dell’organizzazione o l’incarico di audit possono contenere indicazioni in merito alla comunicazione delle informazioni all’esterno dell’organizzazione. Laddove non siano fornite tali indicazioni, il Responsabile Internal Auditing (RIA) può favorire l’adozione di opportune politiche che possono prevedere:

  • la definizione dell’autorizzazione necessaria per comunicare le informazioni all’esterno dell’organizzazione;
  • l’iter da seguire per essere autorizzati a comunicare le informazioni all’esterno dell’organizzazione;
  • le istruzioni per individuare le informazioni per le quali possa essere ammessa o non ammessa la comunicazione all’esterno;
  • i soggetti esterni autorizzati a ricevere le informazioni e le tipologie di informazioni che essi possono ricevere;
  • la normativa sulla privacy, i requisiti normativi e le considerazioni legali relativi alla comunicazione di informazioni all’esterno dell’organizzazione;
  • la natura dell’assurance, dei suggerimenti, delle raccomandazioni, dei pareri, degli orientamenti e di altre informazioni che possano essere inseriti nella comunicazione verso l’esterno dell’organizzazione.

2. Le richieste possono riguardare informazioni già esistenti (per esempio, un report di internal auditing già trasmesso), nonché informazioni che devono ancora essere generate o determinate e che sfoceranno in un nuovo incarico di audit o in un nuovo audit report. Se la richiesta riguarda informazioni o un report già esistenti, l’internal auditor deve stabilire se esso è idoneo alla comunicazione
all’esterno dell’organizzazione.

3. In alcune situazioni, è possibile redigere un report ad hoc basato su un report o su informazioni già esistenti, in modo da rendere idoneo questo secondo report alla comunicazione all’esterno dell’organizzazione.

4. Di seguito vengono elencati alcuni aspetti che devono essere considerati ai fini della comunicazione di informazioni all’esterno dell’organizzazione:

  • utilità di un accordo scritto con il destinatario previsto riguardo alle informazioni che devono essere trasmesse e alle responsabilità dell’internal auditor;
  • individuazione dei fornitori di informazioni, delle fonti, degli autori dei report, dei destinatari e di altre persone connesse al report o alle informazioni oggetto della comunicazione;
  • individuazione di obiettivi, ambito di copertura e procedure da eseguire per generare le informazioni oggetto della comunicazione;
  • natura del report o di altra comunicazione che comprenda pareri, inclusione o esclusione di raccomandazioni, dichiarazioni di esclusione di responsabilità, restrizioni e tipo di assurance o di dichiarazioni da fornire;
  • aspetti relativi ai diritti d’autore, alla destinazione d’uso delle informazioni e alla successiva distribuzione o condivisione delle informazioni.

5. Se, nello svolgimento di incarichi che richiedono la comunicazione di informazioni all’esterno dell’organizzazione, l’internal auditor scopre informazioni che possano essere riferite al senior management o al board, il RIA deve darne opportuna comunicazione al board.

***
maggio 2010

Standard 2440.A2-Divulgazione dei Risultati