Il “Risk based thinking”, cioè l’approccio basato sul rischio introdotto dall’AICPA (American Institute of Certified Public Accountants) attraverso lo standard SSAE 18 (Statement on Standards Attestation Engagements no. 18) dal 1° maggio 2017, assume importanza cruciale sulla messa in compliance del Sistema di Controllo Interno (SCI) di particolari organizzazioni di servizi.  Tali organizzazioni, outsourcer di aziende soggette al Sarbanes Oxley Act, con l’entrata in vigore dello standard suddetto, hanno uno strumento in più per l’individuazione dei rischi (minacce) esterni e interni (debolezze), esistenti o solo potenziali, che affliggono il proprio sistema di controllo interno: la Risk Analysis.

La Risk Analysis, individuando i rischi a più ampio raggio rispetto al passato, consente sia di appurare l’esistenza delle azioni di mitigazione già in essere all’interno dell’organizzazione, sia di pianificare le azioni di mitigazione da implementare, nel brevissimo o medio termine, per affrontare i rischi che, in base all’analisi effettuata, possono avere un impatto grave o addirittura devastante per l’organizzazione medesima. Tale strumento trova la sua utilità anche per la messa in compliance del SCI secondo lo standard ISAE 3402 (International Standards for Assurance Engagements no. 3402) emesso dallo IAASB (International Auditing and Assurance Standards Board) nel 2011. (di seguito, uno stralcio)