Tale piano viene sottoposto all’approvazione del Comitato Esecutivo ed è basato sull’analisi dei rischi.

Per la sua formulazione devono essere considerati i seguenti aspetti:

• risultati delle attività di Control Risk Self Assessment svolte dal management di IIT (i.e.: rischio inerente dei diversi sotto-processi);
• tempo trascorso dalle precedenti attività di audit (necessaria una copertura ciclica dell’intera matrice dei processi della Fondazione);
• esiti delle precedenti attività di verifica svolte dalla Direzione Internal Audit o da altri assurance provider;
• livello di proceduralizzazione dei diversi sotto-processi e/o presenza o meno di controlli automatici.

Periodicamente (minimo ogni tre mesi o con frequenza maggiore per i rilievi più critici) l’Internal audit effettua un’attività di monitoraggio (follow up), per mezzo di e-mail inviate alle funzioni interessate, al fine di accertare che siano state intraprese le azioni correttive condivise.

L’attività consiste principalmente nel predisporre tabelle di riepilogo delle azioni ancora da completare, richiedendo un aggiornamento sul grado di implementazione delle stesse e conferma sulla data di ultimazione prevista.

Con cadenza trimestrale viene presentato un aggiornamento al Comitato Esecutivo, tramite il quale sono specificamente segnalate le azioni ancora non completate per le quali è “scaduta” la data di realizzazione prevista e quelle per le quali i tempi di ultimazione concordati sono stati già più volte differiti nel tempo.

La Direzione Internal Audit, laddove necessario e funzionale alle attività di verifica in corso, ha accesso diretto ed incondizionato a tutti i luoghi, dati, archivi, documenti e beni della Fondazione e può incontrare ed avere colloqui con il personale delle diverse aree, richiedendo qualsiasi informazione o spiegazione.