Definizione di internal auditing

Il monitoraggio del sistema di controllo di un'azienda complessa pone la questione della pianificazione degli interventi di verifica in modo che gli sforzi di analisi siano concentrati su quelle aree di attività ritenute più critiche; gli interventi di monitoraggio devono essere comunque mirati rispetto ai processi le cui condizioni di  vulnerabilità e affidabilità sono mutate.
A tale scopo le aziende di maggiori dimensioni hanno creato un'unità organizzativa interna, revisione interna o internal auditing, deputata ad ottimizzare l'allocazione dei propri interventi ai diversi sottosistemi aziendali. L'internal auditing pone sotto interventi di monitoraggio tutti i sottosistemi entro un ragionevole lasso di tempo (3-5 anni). I diversi sottosistemi hanno differenti condizioni di vulnerabilità, quindi in base alle rispettive criticità vi deve essere più frequente attenzione per quelli maggiormente critici. Ne consegue che l'allocazione delle attività di audit deve essere tale da garantire all'alta direzione che il monitoraggio interno si svolga con un adeguato grado di copertura (covarege) e di rilevanza.
Ciò significa che la funzione di IA deve pianificare le proprie attività in modo che:
- Nel periodo di pianificazione (3-5 anni) siano verificati tutti i sottosistemi aziendali;
- Nell'esercizio siano verificati quei sottosistemi ad alta criticità.
Il concetto di "copertura per rilevanza" è centrale nell'attività di pianificazione dell'attività della IA perché deve consentire di individuare quelle situazioni nelle quali la funzione appare sottodimensionata in quanto l'esigenza di dedicare risorse alle aree critiche richiede determinati interventi di audit e la funzione ha organici e risorse limitate. Per queste situazioni occorre che il fabbisogno di audit, ovvero la determinazione del numero e intensità degli interventi di audit, sia fatto dipendere dalle variabili esogene della funzione.
Tutti i sottosistemi devono essere verificati nel periodo quinquennale (o triennale) almeno una volta, in quanto in tali periodi generalmente si hanno cambiamenti tali da indurre delle verifiche. È generalmente diffuso il convincimento, da parte degli internal auditor, che si verificano cambiamenti rilevanti in uno o più seguenti elementi:
- Nei contenuti di uno o più degli obiettivi di riferimento;
- Nei contenuti di una o più componenti del sistema informativo aziendale;
- Nel personale o in altre variabili organizzative.
A volte si verificano cambiamenti anche nelle stesse modalità di svolgimento delle attività che compongono un sottosistema esaminato.
In conclusione, anche in assenza di cambiamenti radicali nel sistema degli obiettivi, nella struttura del sistema informativo è normale che si verificano nel corso di 3-5 anni cambiamenti che, anche se limitati, sono comunque tali da richiedere un nuovo intervento di monitoraggio.