La BCE sostiene che il buon governo societario è la pietra angolare di un sistema bancario sicuro e solido (documento integrale).

Per realizzare questo buon governo occorre rispettare i seguenti principi: 1) possedere una chiara definizione dei ruoli e delle responsabilità del consiglio di amministrazione e dei dirigenti di alto livello; 2) avere un sistema efficace e indipendente di gestione dei rischi, che comprenda una funzione di compliance e di internal audit; 3) la governance della banca deve essere trasparente, le informazioni importanti devono essere comunicate agli azionisti, ai depositanti, ai partecipanti al mercato e ad altre parti interessate, quali le autorità di vigilanza e le autorità di regolamentazione.

Questi principi costituiscono la base su cui le banche e le autorità di vigilanza dovrebbero ispirarsi. I suddetti obiettivi sono perseguiti sia a livello internazionale attraverso le linee guida del Comitato di Basilea per la vigilanza bancaria, sia a livello europeo attraverso la CRD IV e le linee guida dell\’ Autorità bancaria europea.

In particolare, per quanto riguarda le funzioni di internal audit la BCE invita tutti a fare affidamento sui principi pubblicati dal Comitato di Basilea sulla vigilanza bancaria nel giugno 2012; che permettono di garantire che le funzioni di internal audit delle banche operino in linea con le aspettative di vigilanza (documento integrale).

A tal proposito l’Internal Audit svolge un ruolo fondamentale per svariate ragioni: 1) essi possono coprire l\’intera gamma di attività bancarie, contribuendo a garantire che le operazioni e i flussi di lavoro siano efficienti e che l\’ informativa finanziaria sia affidabile; 2) potrebbero assumere il ruolo di “consulenti interni” al fine di proporre, ad esempio, nuove pratiche e procedure per migliorare i sistemi bancari, in settori non oggetto di audit interno, dato il rischio di conflitti che potrebbe insorgere.

A tal fine è necessario che abbiano una gamma molto ampia di competenze e che facciano una formazione continua. Pertanto è importante che collaborino con le altre aree di attività della banca e che utilizzino sistemi IT sofisticati e funzionali.

A tale riguardo, la BCE nel 2015, a seguito dell’attività di supervisione condotta anche tramite ispezioni in loco, ha rivolto diverse raccomandazioni alle funzioni di internal audit. In particolare ha sostenuto che 1) vi è il bisogno di rafforzare la sorveglianza esercitata dai consigli di amministrazione sulle funzioni di controllo; 2) l’internal audit dovrebbe essere pienamente indipendente dalle aree di attività, dovrebbe disporre di una linea di riporto diretta al consiglio di amministrazione o al comitato per il controllo interno e informare tempestivamente l\’alta dirigenza in merito alle sue constatazioni; 3) l’internal audit dovrebbe essere maggiormente coinvolto nell\’esame e nella supervisione delle funzioni di controllo del rischio e di conformità, dalle quali deve essere indipendente; 4) l’audit interno dovrebbe  coprire tutte le attività e entità di un gruppo bancario, in modo tale da mappare tutti i rischi potenziali; 5) sarebbe necessario formalizzare internamente le politiche di internal audit, indicando ruoli, responsabilità e linee di reporting, ad esempio, definendo “manuali” o “carte” di internal audit; 6) bisognerebbe pianificare l‘attività di revisione in modo risk based e in ottica pluriennale lasciando al contempo un margine di flessibilità al fine di monitorare le aree aziendali a maggior rischio residuo.