L’attività di internal audit deve valutare l’efficacia e contribuire al miglioramento dei processi di gestione del rischio.
Interpretazione:
Determinare se i processi di gestione del rischio siano efficaci è un giudizio che l’internal auditor esprime in base alla propria valutazione dei seguenti aspetti:
- che gli obiettivi aziendali supportino e siano coerenti con la mission dell'organizzazione;
- che i rischi significativi siano identificati e valutati;
- che vengano individuate opportune azioni di risposta ai rischi, al fine di ricondurli entro i limiti di accettabilità dell'organizzazione;
- che le informazioni sui rischi vengano raccolte e diffuse tempestivamente all’interno dell’organizzazione, consentendo al personale, al management e al board di adempiere alle rispettive responsabilità.
L’attività di internal audit può raccogliere le informazioni utili ai fini di questa valutazione nel corso di molteplici incarichi. I risultati di questi incarichi, visti nel complesso, permettono di capire i processi di gestione del rischio dell’organizzazione e la loro efficacia.
I processi di gestione del rischio sono monitorati attraverso attività di gestione continua, specifiche valutazioni, o entrambi.
2120.A1 – L’attività di internal audit deve valutare l’esposizione ai rischi relativi alla governance, alle attività e ai sistemi informativi dell’organizzazione, in termini di:
- raggiungimento degli obiettivi strategici dell’organizzazione;
- affidabilità e integrità delle informazioni finanziarie e operative;
- efficacia ed efficienza delle operazioni e dei programmi;
- salvaguardia del patrimonio;
- conformità a leggi, regolamenti, direttive, procedure e contratti.
2120.A2 – L’attività di internal audit deve valutare la potenziale presenza di casi di frode e le modalità con cui l’organizzazione gestisce i rischi di frode.
2120.C1 – Nello svolgimento di incarichi di consulenza, gli internal auditor devono valutare i rischi attinenti agli obiettivi dell’incarico e prestare attenzione a qualsiasi altro rischio significativo.
2120.C2 – Nella valutazione dei processi di gestione del rischio dell'organizzazione, gli internal auditor devono tenere conto delle conoscenze dei rischi acquisite in occasione di incarichi di consulenza.
2120.C3 – Quando assistono il management nella definizione o nel miglioramento dei processi di gestione del rischio, gli internal auditor devono evitare di assumere responsabilità manageriali tramite una gestione diretta dei rischi.