Il responsabile della funzione di revisione interna (internal audit), ove istituita, dovrà:

• possedere requisiti di professionalità adeguati;
• essere collocato alle dirette dipendenze dell'organo con funzione di gestione;
• essere nominato o revocato dall'organo con funzione di gestione, sentito l'organo con funzione di controllo (se esistente);
• riferire direttamente agli organi con funzione di gestione e di controllo (se esistente);
• non svolgere mansioni operative.

In coerenza con il principio di proporzionalità, il responsabile della funzione di revisione interna potrà identificarsi in un componente dell'organo di gestione con specifiche deleghe, purché diverso dai titolari dei controlli di secondo livello.

In particolare l'Internal Audit, in qualità di responsabile dei controlli di III livello, ha l'obiettivo di valutare:

• la completezza, l'adeguatezza, la funzionalità e l'affidabilità del sistema dei controlli interni e della struttura organizzativa;
• l'adeguatezza, l'affidabilità complessiva e la sicurezza del sistema informativo.

Si rileva che, in assenza dell'organo di controllo nelle società con organo di gestione collegiale, la responsabilità dei controlli di terzo livello può essere affidata a un componente non esecutivo; nelle società monocratiche, il responsabile non può coincidere con l'amministratore.