REGOLAMENTO DI INTERNAL AUDITING - asp.messina.it · L'attività di Internal Auditing è regolata a...
12
REGOLAMENTO DI INTERNAL AUDITING Febbraio 2019 AZIENDA SANITARIA PROVINCIALE
Transcript of REGOLAMENTO DI INTERNAL AUDITING - asp.messina.it · L'attività di Internal Auditing è regolata a...
REGOLAMENTO DI INTERNAL AUDITING
Febbraio 2019
AZIENDA SANITARIA PROVINCIALE
pag. 1
Sommario
Articolo 1 - Introduzione .............................................................................................................................. 2
Articolo 2 - Scopo e Campo di applicazione ............................................................................................. 2
Articolo 3 - Riferimenti normativi .............................................................................................................. 3
Articolo 4 - Funzione e Attività ................................................................................................................... 3
Articolo 5 - Organizzazione, ruoli, compiti e responsabilità ................................................................ 4
Articolo 6 - Tipologia dei controlli ............................................................................................................. 5
Articolo 7 - Metodologia: Ciclo di Audit ................................................................................................... 6
7.1 Identificazione e valutazione del rischio (Risk Assessment) ............................................................ 6
7.1.1 – Identificazione dei rischi ............................................................................................................ 6
7.1.2 – Valutazione dei rischi ................................................................................................................. 7
7.2 Pianificazione ........................................................................................................................................ 8
7.3 Riunione di apertura dell'incontro di Audit……………………………………………………….9
7.4 Conduzione dell'incontro……………………………………………………………………………9
7.5 Rapporto .............................................................................................................................................. 10
7.6 Archiviazione...................................................................................................................................... 10
Articolo 8 - Obbligo di denuncia .............................................................................................................. 10
Articolo 9 – Formazione…………………………………………………………………………………………………………………………10
pag. 2
REGOLAMENTO DI INTERNAL AUDITING
Articolo 1 - Introduzione
L’Internal Auditing (di seguito in breve “I.A.”), secondo la definizione validata dall’organizzazione mondiale cui fa riferimento l’Associazione Italiana Internal Auditors (A.I.I.A.), è “un'attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo e di governance”. L'attività di Internal Auditing è regolata a livello internazionale dai relativi Standard
professionali emanati dall'I.A. (Institute of Internal Auditors) che ha redatto un Codice Etico
con i Principi e le Regole di condotta (Integrità, Obiettività, Riservatezza, Competenza) cui gli auditor devono conformarsi. A tali principi si ispira anche il presente Regolamento. Gli obiettivi strategici della Funzione di I.A. consistono nel verificare la funzionalità del sistema di controllo interno, che mira a migliorare l’efficacia/efficienza dell’attività di controllo, razionalizzandola in funzione dei rischi, individuare i punti di debolezza dei processi aziendali, ridurre gli impatti economici dei rischi e validare modelli interni.
Articolo 2 - Scopo e Campo di applicazione
II presente Regolamento descrive i principi, le procedure, le metodologie e gli strumenti di lavoro utilizzati per l'attività di auditing. I destinatari del Regolamento, che costituisce lo strumento guida del Responsabile della funzione di Internal Audit (di seguito in breve “Responsabile I.A.”) e del Team di Auditor (di seguito in breve “Team I.A.”), sono tutte le Strutture aziendali a vario titolo interessate all’attività di auditing. L’obiettivo che si intende perseguire attraverso il Regolamento è quello di definire la metodologia per assistere il management nell'identificazione, mitigazione e monitoraggio dei rischi e dei relativi controlli, armonizzare e standardizzare le fasi e le modalità operative nonché gli output dell’attività di Auditing e definire il ruolo della funzione di audit . II Regolamento potrà essere soggetto a revisioni nel caso di mutamento del contesto organizzativo e sulla base dei risultati annuali dell'attività di auditing. Le revisioni del Regolamento dovranno essere approvate seguendo l'iter procedurale previsto per l’adozione dello stesso.
pag. 3
Articolo 3 - Riferimenti normativi
La normativa PAC recepita dalla Regione Siciliana prevede l’Azione A.1.7 (Parte Generale): «l’Istituzione di una funzione d'internal audit indipendente ed obiettivo, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione amministrativo-contabile aziendale». L’Assessorato della Salute della Regione Siciliana (Servizio 2 del Dipartimento Regionale per la Pianificazione Strategica) ha fornito dei chiarimenti, con nota prot. 65013 del 2 agosto 2016, in merito alle specifiche caratteristiche della funzione IA. Con delibera n. 2058/DG del 11/09/2016 è stata individuata la figura aziendale Responsabile della funzione di I.A. Inoltre, con delibera n.1698/DG del 15/06/2017 è stato adottato il Piano di Audit per l’anno 2017, e con delibera n. 453/CS del 21/02/2019 è stato adottato il Piano Triennale di Audit anno 2019-2021. Con la delibera n. 3054/C del 27/10/2017 sono state individuati i Referenti Multidisciplinari già a supporto del Responsabile della Prevenzione della Corruzione nell’ambito delle varie UU.OO. aziendali, da assegnare alla funzione di I.A. quale supporto anche alle attività di audit, costituenti il Team di auditor. Tale assetto è stato recentemente ridefinito con delibera n.3115/C del 2/11/2018 che individua il nuovo Team di Auditor negli Operatori dell’URP: “…un gruppo che strutturalmente e stabilmente svolga, unitamente alle attività dell’U.O. di appartenenza, le funzioni di internal audit sotto la guida del Responsabile I.A.”, assegnando al Gruppo Multidisciplinare dei Referenti “la funzione di interfaccia con il Gruppo I.A. per la verifica dell’attuazione dei P.A.C. e per il corretto funzionamento dei controlli interni”.
Articolo 4 - Funzione e Attività
L’attività di I.A. è una funzione di verifica indipendente, operante all’interno dell’Azienda, con la finalità di esaminarne e valutarne i processi. Il suo obiettivo è fornire un supporto al vertice aziendale per un costante miglioramento di efficacia ed efficienza di gestione, e a tutti i componenti dell’organizzazione per un corretto adempimento alle loro responsabilità (ruolo consultivo/propositivo, rivolto a favorire l’individuazione di opportunità di miglioramento, in coerenza con gli obiettivi istituzionali). In particolare, la Funzione di I.A., adottando la metodologia di lavoro basata sull’analisi dei processi, dei relativi rischi e dei controlli previsti per ridurne l’impatto, assiste la Direzione nel valutare l’adeguatezza del sistema dei controlli interni e la rispondenza ai requisiti minimi definiti dalle normative, verifica la conformità dei comportamenti alle procedure operative definite, identifica e valuta le aree operative maggiormente esposte a rischi e implementa misure idonee per ridurli. Grazie all’analisi sui processi, la Funzione contribuisce a individuare al loro interno eventuali aree e opportunità di miglioramento. Secondo tali premesse, la Funzione di I.A. fornisce suggerimenti volti a migliorare il processo di governance con lo scopo di:
• favorire lo sviluppo di valori e principi etici nell’organizzazione; • migliorare l’efficace gestione dell’organizzazione e l’accountability; • comunicare informazioni su rischi e controlli ai responsabili interessati delle
strutture interne;
pag. 4
• coordinare le attività e il processo di scambio di informazioni su rischi e controlli tra la Direzione, gli Organismi di controllo Esterno e la Dirigenza.
Nello specifico il compito del Responsabile I.A. e del Team I.A. è quello di: • identificare e valutare i fattori di rischio, tramite analisi dei processi basata sul
rischio; • verificare e monitorare la regolarità degli atti adottati dall’Azienda, nonché la
regolarità dei processi che hanno portato all’adozione dei suddetti atti e gli eventuali scostamenti rispetto alle leggi, alle norme, alle regole e alle disposizioni interne;
• verificare l’affidabilità dei sistemi di controllo; • avanzare proposte di modifica regolamentare o altri suggerimenti volti a superare
le difficoltà riscontrate. In quest’ottica, il controllo di auditing si ispira al principio di autotutela della amministrazione che, nell’ipotesi in cui ravvisi nei propri atti elementi di irregolarità o di illegittimità, può procedere a rettificarli, integrarli o annullarli. Il Responsabile I.A. e il Team I.A. hanno una funzione di verifica indipendente operante all’interno dell’Azienda e hanno come obiettivo quello di prestare assistenza a tutti i componenti dell’organizzazione per garantire l’efficienza, l’economicità e l’efficacia delle attività poste in essere, nonché di fornire supporto al vertice aziendale.
Articolo 5 - Organizzazione, ruoli, compiti e responsabilità
L’I.A. è un’attività indipendente, pertanto la relativa Funzione aziendale, per svolgere il suo compito in modo obiettivo, dovrà godere della necessaria autonomia, libera da condizionamenti, quali potrebbero essere conflitti di interesse individuali, limitazioni del campo di azione, restrizioni nell’accesso a informazioni, rapporto di dipendenza gerarchica nei confronti di coloro che verifica o difficoltà analoghe. La responsabilità della Funzione di I.A. è assegnata ad un Dirigente/Funzionario, posizionato nell’organizzazione in staff al Direttore Generale e solo a quest’ultimo dovrà relazionare e rispondere per tutte le proprie attività. In attuazione di quanto precede, la Direzione Generale attribuisce alla Funzione I.A. le risorse ritenute necessarie per adempiere al suo mandato e ne supporta l’attività per consentirle di conseguire i relativi obiettivi. All’interno dell’Azienda il Team I.A., i cui componenti sono nominati dal Direttore Generale, si avvale delle competenze dei Referenti Multidisciplinari di cui alla delibera n.3115/C del 2/11/2018 , costituenti l’interfaccia del Team nei seguenti ambiti:
• Legali; • Economiche; • Qualità; • Informatiche.
Col Team I.A. potranno interfacciarsi anche altre competenze, a cui il Responsabile I.A. potrà attingere di volta in volta al bisogno, in occasione di valutazioni di processi specifici e complessi e che richiedano competenze differenti da quelle già disponibili per il Team I.A. Al Responsabile I.A. compete:
• assistere la Direzione Strategica nel valutare il funzionamento del sistema dei controlli e delle procedure operative;
pag. 5
• effettuare il risk assessment; • pianificare l’attività di audit, con particolare riferimento alla redazione del Piano di
Audit; • coordinare e garantire lo svolgimento delle attività di audit; • approvare i rapporti finali di audit; • al termine degli incontri di audit, sottoporre le conclusioni agli interessati e fornire
le raccomandazioni in merito ai rilievi emersi in esito alle verifiche effettuate, in condivisione con le funzioni manageriali sottoposte ad audit;
• individuare e proporre le azioni migliorative; • effettuare il monitoraggio dei correttivi (cosiddetto follow-up); • curare la revisione del presente Regolamento, qualora se ne verifichino i
presupposti; • assicurare una efficace gestione delle risorse assegnate, garantendo altresì una
idonea formazione del personale. Al Team I.A. compete:
• partecipare e/o condurre le attività di audit; • raccogliere, ordinare ed archiviare tutta la documentazione e le evidenze necessarie
ad effettuare gli audit e a supportare le conclusioni tratte nel corso degli stessi; • redigere le bozze dei verbali degli audit e dei rapporti preliminari e finali; • individuare e proporre le azioni migliorative; • aggiornare le tavole di follow up al termine di ciascun intervento di audit; • collaborare alla predisposizione del Piano di audit ed alla revisione del presente
Regolamento.
Articolo 6 - Tipologia dei controlli
L’Internal Audit effettua le seguenti tipologie di controllo: • conformità alle leggi e ai regolamenti in vigore; conformità dei comportamenti alle
procedure e alle prassi interne; adeguatezza e chiarezza delle stesse alle esigenze operative: audit di conformità (compliance audit);
• efficacia ed efficienza delle attività operative e dei processi per monitorare il rispetto degli obiettivi: audit operativo (operational audit);
• attendibilità delle informazioni di bilancio e salvaguardia del patrimonio: audit finanziario - contabile (financial audit).
Ulteriori tipologie di audit sono: • IT audit: per verificare la conformità dei sistemi informativi alle necessità aziendali
(coerenza logica delle informazioni trattate, etc.), alle normative vigenti (livelli di sicurezza e di affidabilità, etc.), etc;
• audit direzionale: per analizzare la definizione e condivisione aziendale degli obiettivi strategici, i rischi correlati e verificare nel tempo la coerenza dei comportamenti gestionali rispetto a tali obiettivi.
pag. 6
Articolo 7 - Metodologia: Ciclo di Audit
Il Ciclo di audit è il processo che comprende le attività di controllo dell’I.A. Esso è articolato nelle seguenti fasi:
7.1. Identificazione e valutazione del rischio (Risk Assessment)
La prima fase dell’attività di I.A. è costituita dal Risk Assessment, ossia da un processo sistematico di identificazione e valutazione dei rischi per individuare le aree maggiormente esposte a rischio, che potrebbero pregiudicare il raggiungimento degli obiettivi posti dal management. Il Risk Assessment rappresenta l'analisi preliminare utile per la stesura del Piano di Audit e può essere definito dai Responsabili I.A., o costituito dai Modelli Organizzativi contenenti le mappature dei processi sensibili già presenti a vario titolo in Azienda. L’identificazione delle aree critiche si articola nelle seguenti fasi:
- identificazione dei rischi; - valutazione dei rischi (Risk Assessment).
7.1.1 – Identificazione dei rischi
In fase di avvio dell’attività di I.A., l’individuazione delle aree critiche dell’Azienda avviene tramite l’analisi e la valutazione dell’insieme dei rilievi/richieste/informazioni provenienti da strutture interne/organismi esterni all’Azienda, dall’analisi di documenti/dati aziendali, dall’accadimento di fatti dai quali emergano aree di rischio non adeguatamente presidiate. In questo ambito, punto di avvio sono le aree di intervento individuate nei Percorsi Attuativi di Certificabilità (PAC), di seguito riportate:
- Area A – Generale; - Area D – Immobilizzazioni; - Area E – Rimanenze;
pag. 7
- Area F – Crediti e Ricavi; - Area G – Disponibilità Liquide; - Area H – Patrimonio Netto; - Area I – Debiti e Costi.
L’Azienda ha prodotto le procedure di cui alle suddette aree rispettando le scadenze previste dal DA 1559/2016 e le ha formalizzato attraverso le delibere 2714-2715-2716-2717 del 29.11.2016, la delibera 3053 del 27.10.2017 e le delibere 3057-3058-3059 del 30.10.2017. Altre fonti interne ed esterne, a titolo esemplificativo e non esaustivo, a partire dalle quali è possibile individuare i rischi aziendali sono le seguenti:
- Verbali del Collegio Sindacale; - Piano annuale di Risk Management; - Verbali del Collegio di Direzione; - Verbali del Comitato Valutazione dei Sinistri; - Verbali Ispezioni dell’UPG; - Confronti con l’Ufficio Legale; - Piano Triennale dell’Anticorruzione; - Confronti con il Responsabili dell’Anticorruzione aziendale, in particolare
attraverso gli Audit congiunti; - Richieste di informative da parte della Corte dei Conti, del Ministero e della
Regione; - Confronti con l’UOS Comunicazione.
7.1.2 – Valutazione dei rischi
Uno degli strumenti utilizzati per la valutazione dei rischi aziendali è la matrice di RACM
– Risk Assessment Criteria Matrix – attraverso la quale è possibile valutare il rischio in
termini di probabilità di accadimento e di impatto.
Il rischio deve intendersi come “evento potenziale il cui verificarsi potrebbe pregiudicare
la capacità dell’Azienda di perseguire gli obiettivi definiti dal Management”.
È necessario, in primo luogo, valutare il rischio in cui l’Azienda incorre, misurando lo
stesso in termini di probabilità di accadimento e di impatto, secondo la seguente
equazione:
RISCHIO = PROBABILITA’ x IMPATTO
La PROBABILITA’ è la “frequenza del manifestarsi del rischio o di possibile accadimento
dell’evento negativo”.
VALUTAZIONE DELLA PROBABILITA’
QUASI CERTO È presumibile che l’evento si manifesti sistematicamente o ripetutamente nell’arco di un periodo definito (ad es. anno).
MOLTO PROBABILE La probabilità di accadimento dell’evento è da considerarsi reale, anche se non con caratteristiche di sistematicità.
POCO PROBABILE L’evento ha qualche probabilità di manifestarsi nel periodo
RARO La probabilità di accadimento dell’evento è da considerarsi remota
pag. 8
L’IMPATTO è il “livello in cui il manifestarsi del rischio potrebbe influenzare il
raggiungimento delle strategie e degli obiettivi” o, anche, il “danno economico potenziale
(perdita o mancato guadagno) provocato dal manifestarsi dell’evento negativo”.
VALUTAZIONE DELL’IMPATTO
GRAVE Impatto rilevante sul raggiungimento degli obiettivi strategici aziendali (ad es. frode o malversazioni, inefficacia dei sistemi informatici)
SIGNIFICATIVO Impatto rilevante sulla strategia o sulle attività operative dell’organizzazione
MODERATO Impatto contenuto sul raggiungimento degli obiettivi strategici dell’Azienda (ad es. inefficienze o interruzioni nell’operatività o nei pagamenti, problemi temporanei di erogazione del servizio, etc.)
IRRILEVANTE Nessun impatto concreto sul raggiungimento degli obiettivi, ma situazioni anomale che, a giudizio del Management, possono richiedere interventi correttivi sui controlli a presidio di tale rischio
Definiti in tal modo il rischio, la probabilità di accadimento e l’impatto, la MATRICE di
RACM è la seguente:
Le attività di valutazione dei rischi si concludono con un rapporto riepilogativo conclusivo in cui vengono evidenziati i processi che, sulla base del rischio residuo, si ritiene prioritario analizzare.
7.2. Pianificazione
La seconda fase consiste nella individuazione -sulla base del risk assessment e di eventuali ulteriori ambiti che la Direzione strategica valuta opportuno verificare- dei processi da sottoporre ad auditing nell’ambito di un Piano (di seguito in breve “Piano I.A.”) predisposto con periodicità almeno annuale. Il Piano I.A. viene approvato, entro il 31 dicembre dell’anno precedente all’anno di riferimento, con provvedimento del Direttore Generale. Per esigenze contingenti il Piano può subire variazioni: eventuali modifiche significative apportate in corso d’anno dovranno essere approvate con le stesse modalità. Il Piano I.A. viene proposto dal Responsabile I.A., con l’ausilio del Team di Audit. Esso individua l’ambito dell’audit, le modalità di verifica, l’area/struttura coinvolta, i tempi di svolgimento, senza escludere la possibilità di ulteriori verifiche per esigenze particolari. Il
pag. 9
Piano prevede anche le risorse da destinare alle attività comprese al suo interno, in termini quantitativi e di competenza. Gli audit previsti nel Piano di audit vengono formalmente notificati alle UU.OO. interessate unitamente al Programma di Audit, che include:
• data verifica; • sede di verifica; • attività/area/funzione coinvolta; • scopo della verifica; • gruppo di audit; • tempi presunti di svolgimento; • documentazione di interesse.
7.3 – Riunione di apertura dell’incontro di Audit
L’obiettivo della riunione di apertura dell’incontro di Audit è quello di chiarire alla
struttura auditata lo scopo e l’ambito dell’audit, nonché le metodologie che saranno
seguite nella sua conduzione. Nel corso di tale riunione si definiscono le fasi operative del
lavoro sul campo.
All’incontro partecipa il responsabile della struttura auditata, i collaboratori dallo stesso
individuati ed il Team I.A. una sintesi degli argomenti discussi e delle conclusioni
raggiunte nella riunione di apertura viene formalizzata dal Lead Auditor nel verbale della
riunione, che conterrà anche l’esito dell’incontro di audit (Allegato 1 al Piano di Audit
2019).
7.4 – Conduzione dell’incontro di Audit
La fase di conduzione dell’incontro di Audit è quella in cui il team I.A analizza la
normativa, le regole di funzionamento del processo, le procedure esistenti,
l’organizzazione dell’attività, le risorse impegnate e qualsiasi ulteriore informazione che
possa essere utile all’espletamento dell’audit, puntualizzando i rilievi emersi il livello dei
controlli interni, le osservazioni del responsabile uo auditata e infine le azioni di
miglioramento.
Gli ulteriori strumenti di valutazione utilizzati dal team di I.A, anche in combinazione tra di loro, possono essere:
- interviste: il Responsabile della struttura auditata può essere intervistato dal team di I.A, anche con il supporto di una check list predefinita, quale ulteriore approfondimento delle conoscenze acquisite nel corso dello studio del processo e/o allo scopo di chiarire i punti dubbi;
- work-shop: possono essere organizzati in forma collegiale, per raccogliere i punti di vista e confrontare le differenti posizioni dei responsabili e dei funzionari che partecipano al processo, nelle sue diverse fasi;
- questionari a risposta aperta/chiusa: utili per richieder informazioni sulle procedure e sul funzionamento delle diversi fasi del processo. Nel caso si scelga di somministrare questionari, però, occorre sempre avvisare il Responsabile della struttura auditata;
- azioni di re-performance: tecnica utilizzata per testare l’efficacia della procedura di controllo; nel corso dell’audit viene “provata” e rifatta la procedura di controllo alla presenza degli operatori addetti per determinare se si perviene allo stesso risultato;
pag. 10
- osservazione diretta: la tecnica è basata sull’osservazione delle fasi della procedura o dei processi oggetto di audit e consente di avere maggiore affidabilità delle evidenze di audit. È spesso utilizzata sui controlli automatici;
- campionamento: si intende l’applicazione delle procedure di verifica a meno del 100% della popolazione, in modo da trarre una valida conclusione valutando le caratteristiche del campione esaminato. Il campionamento può essere casuale, mirato o sistematico.
7.5. Rapporto
Conclusa la fase di esecuzione di audit, il Responsabile I.A ed il team I.A predispongono
un Rapporto di verifica (Allegato 2 al Piano di Audit 2019) sullo stato del sistema di
controllo interno dell’attività auditata, contenente: la sintesi delle constatazioni, dei rilievi
e delle osservazioni, le azioni di miglioramento, la tempistica di realizzazione delle azioni,
la documentazione da produrre e la programmazione del follow-up.
Il Rapporto di verifica viene comunicato al Responsabile dell’U.O. auditata.
L’attività del Responsabile I.A. e del Team I.A. prosegue con il follow-up, ossia con il monitoraggio/verifica della Azioni Correttive da parte della struttura.
7.6. Archiviazione
Per ciascun intervento di audit viene creato un fascicolo contenete tutte le evidenze atte a documentare l’attività di audit. Tutta la documentazione relativa all’attività di audit viene fascicolata e custodita all’interno di apposito armadio che consenta di mantenere la segretezza degli atti e in formato digitale facilmente consultabile e reperibile.
Articolo 8 - Obbligo di denuncia
L’obbligo di denuncia sussiste nel caso di danno erariale ovvero nel caso di reati perseguibili penalmente. Qualora dall'attività di audit emergano fatti che possano dar luogo a responsabilità per danni causati alla finanza pubblica (responsabilità erariale) o venga acquisita notizia di un reato perseguibile penalmente, il Responsabile I.A. informerà per iscritto il Direttore Generale dell'obbligo di denuncia, che va redatta sulla base delle rilevazioni del Responsabile e del Team I.A. e deve contenere tutti gli elementi raccolti per l'accertamento della responsabilità e la determinazione del danno. L’obbligo di denuncia sussiste qualora il danno sia concreto e attuale e non quando i fatti abbiano solo una mera potenzialità lesiva.
Articolo 9 – Formazione
Il personale assegnato alla Funzione di I.A., infine, per svolgere il suo compito con la dovuta competenza, altro principio costitutivo nell’attività degli internal auditor, deve seguire un percorso formativo adeguato, migliorando continuamente la propria preparazione professionale in materia. Il Responsabile della Funzione di I.A. individua l’istruzione da fornire al personale mediante formazione interna, esterna, tirocini, etc.; le esigenze formative vengono inserite nel relativo piano annuale a seguito della rilevazione del fabbisogno formativo aziendale.
pag. 11
La formazione del Team I.A. deve svilupparsi su due direttrici: quella professionale (linee guida, normativa specifica, etc.) e quella generale di conoscenza dell’Azienda e dei suoi processi, con particolare riguardo all’organizzazione, alle sue regole, alle attività e ai controlli interni.
