Idee preliminaie sui rischi e sui controlli nell'internal auditing

* identificazione e scoring dei rischi;
* identificazione macro controlli;
* spesso i rischi sono nelle interfacce!
* la regola 80-20: gli auditor esperti trovano di solito l’80% dei rischi e controlli nell’analisi preliminare.
Bisogna valutare sempre i rischi e i controlli in rapporto agli obiettivi : l’Internal Audit può valutare le scelte strategiche, non decidere al posto del management. Se si accorge che una scelta non è fatta in maniera corretta, deve farlo notare ad un livello superiore, perché può correre il rischio chi paga. Se anche il livello superiore mantiene questa scelta negativa, l’internal auditor non fa più niente, ma ha l’obbligo deontologico di documentare le due posizioni contrastanti. Questa documentazione andrà all’assemblea degli azionisti, al Collegio Sindacale o al Comitato per il Controllo Interno.
L’obiettivo di internal audit è fare un’affidabile valutazione corretta del sistema e saper comunicare ciò che si è trovato.
E’ importante tenere conto del punto di vista dell’organizzazione e generare valore per questa più che per l’internal auditor.
INDIVIDUAZIONE AREE GRIGIE
OBIETTIVO:
* DARE UNA “VALUTAZIONE” AI RISCHI (SCORING) : è uno scoring del tipo alto – medio - basso
* IDENTIFICARLI IN RELAZIONE ALLE FASI DEL PROCESSO _ serve per collocare i rischi    
* DEFINIRE LE VERIFICHE SUI CONTROLLI : è la fase di test.
Gli errori più frequenti:
* PERDERE DI VISTA IL PROCESSO : il processo va tenuto in considerazione nel suo insieme.
* PERDERE DI VISTA GLI OBIETTIVI
* RIFARSI SOLO A MODELLI STANDARD : ma tenere conto della propria realtà.
* IDENTIFICARE I RISCHI NON SIGNIFICATIVI E TRALASCIARE LE VERE CRITICITÀ.