Emergency procedury potřetí

Jak může interní audit testovat emergency procedury? Pokud je procedura procesně popsána, velmi snadno a nepotřebuje k tomu ani pomoc manažera rizik nebo vlastníka konkrétního rizika. Protože událost rizika musí ústit do nějaké činnosti, oznámí auditor jednoduše nositeli role, která tuto činnost vykonává, že simuluje riziko. A dál jen sleduje a dokumentuje průběh emergency sekvence a vyhodnocuje odchylky od předepsaného průběhu, v jednotlivých činnostech, v obsazení rolí, ve vytvořených datech atd.

Pokud společnost používá pro řízení rizik nějaký IS, je proto nutné, aby umožnil i testovací a auditní režim včetně záznamu výsledku.