Il responsabile internal auditing deve predisporre un piano basato sulla valutazione dei rischi al fine di determinare le priorità dell'attività di internal audit in linea con gli obiettivi dell’organizzazione.
Interpretazione:
Per predisporre il piano risk based, il responsabile internal auditing si consulta con il senior management e il board per comprendere le strategie, i principali obiettivi di business, i rischi associati e i processi di gestione del rischio dell'organizzazione. Il responsabile internal auditing deve rivedere e adeguare opportunamente il piano, in risposta ad eventuali cambiamenti intervenuti a livello di attività, rischi, operatività, programmi, sistemi e controlli dell’organizzazione.
2010.A1 – Il piano degli incarichi dell’attività di internal audit deve basarsi su una documentata valutazione del rischio, effettuata almeno una volta l’anno. Tale processo deve tenere in considerazione le indicazioni del senior management e del board.
2010.A2 – Il responsabile internal auditing deve individuare e considerare le aspettative del senior management, del board e degli altri stakeholder per quanto attiene ai giudizi e alle conclusioni dell’internal audit.
2010.C1 – Il responsabile internal auditing dovrebbe decidere se accettare un incarico di consulenza sulla base delle possibilità di miglioramento della gestione dei rischi, delle possibilità di aggiungere valore e di migliorare l’operatività dell’organizzazione. Gli incarichi accettati devono essere inclusi nel piano.