Nel pianificare l’incarico, gli internal auditor devono considerare:
- le strategie e gli obiettivi dell’attività oggetto di revisione e le modalità con cui l'attività controlla la propria prestazione;
- i rischi significativi per gli obiettivi, risorse e operazioni dell'attività nonché le modalità di contenimento dei rischi entro i livelli di accettabilità;
- l’adeguatezza e l’efficacia dei processi di governance, di gestione dei rischi e di controllo dell’attività in riferimento a un quadro o modello di riferimento riconosciuto;
- le possibilità di apportare significativi miglioramenti ai processi di governance, di gestione dei rischi e di controllo dell’attività.
2201.A1 – Nel pianificare un incarico per conto di terze parti esterne all’organizzazione, gli internal auditor devono definire con queste un accordo scritto che chiarisca obiettivi, ambito di copertura, rispettive responsabilità ed eventuali aspettative e che stabilisca restrizioni alla diffusione dei risultati dell’incarico e all’accesso alla relativa documentazione.
2201.C1 – Gli internal auditor devono concordare con i clienti di un incarico di consulenza gli obiettivi, l’ambito di copertura, le rispettive responsabilità e le altre eventuali aspettative. Per gli incarichi di maggiore rilevanza, tale accordo deve essere formalizzato in un documento scritto.