Servizio di assistenza specialistica nelle attività di ......Roma. Costituita in società per...

Servizio di assistenza specialistica nelle attività di aggiornamento dell’assessment e test dei principali processi amministrativo-contabili societari e dei sistemi IT di supporto, con riferimento agli esercizi 2017-2018-2019 e nel rispetto dalla legge n 262 del 28/12/2005.

1

CAPITOLATO TECNICO

Servizio di assistenza specialistica nelle attività di assessment e test dei principali processi amministrativo-contabili societari e dei sistemi IT di supporto, con riferimento agli esercizi 2017-2018-2019 e nel rispetto dalla legge n 262 del 28/12/2005.


2

Indice Presentazione della Società Committente ...................................................................................................................... 3 Contesto Interno ................................................................................................................................................................. 4

ARTICOLO 1. — OGGETTO DEL SERVIZIO .......................................................................................................... 6 ARTICOLO 2. — INDIVIDUAZIONE DEI SERVIZI RICHIESTI ALL'AFFIDATARIO ........................................ 6 Lotto I: Assessment dei processi amministrativo-contabili; esecuzione e formalizzazione dei test sui controlli manuali selezionati per ciascuno dei processi identificati. ............................................................................................ 7 Lotto II : Assessment dei processi relativi all’ Information Technology tramite rilevazione e test degli ITELC (IT Entity Level Controls) e degli ITGC (IT General Controls); esecuzione e formalizzazione dei test sui controlli automatici e semi-automatici selezionati per ciascuno dei processi amministrativo contabili identificati (application controls) ...................................................................................................................................................................... 12 ARTICOLO 3. — MODALITA’ DI ESECUZIONE DEI SERVIZI .......................................................................... 15 ARTICOLO 4. — DURATA DELL'INCARICO ....................................................................................................... 20 ARTICOLO 5. — IMPORTO A BASE DI GARA .................................................................................................... 20 ARTICOLO 6. — Riferimento a disposizioni normative ........................................................................................... 20 ARTICOLO 7. — Tutela della privacy ....................................................................................................................... 20 ARTICOLO 8. — Penali ............................................................................................................................................. 20


3

Presentazione della Società Committente AMA S.p.A (Azienda Municipale Ambiente) è l’azienda di igiene urbana che opera sul territorio comunale di Roma. Costituita in società per azioni nel settembre 2000, ha un unico socio, il Comune di Roma, che ne detiene l’intero capitale sociale. AMA ha raccolto l’eredità dell’omonima Azienda Speciale, che aveva gestito il servizio di igiene urbana nella Capitale dal 1994 ed era nata come evoluzione di AMNU (Azienda Municipalizzata Nettezza Urbana), costituita nel 1985 per erogare il servizio che fin dai primi del Novecento era stato svolto in economia direttamente dal Comune. L’inquadramento giuridico e la disciplina normativa di AMA S.p.A., quale società a partecipazione pubblica, è riferibile alle fonti normative di seguito riportate. L’art. 115 del D.Lgs del 18.8.2000 n. 267 (Testo Unico degli Enti Locali- TUEL) ha previsto la facoltà per i Comuni, le Province e gli altri enti locali di trasformare le aziende speciali in società di capitali. Su questa base normativa l’azienda AMA è stata trasformata in società per azioni, istituita per lo svolgimento, per conto del Comune, di proprie funzioni in materia di recupero e smaltimento dei Rifiuti Solidi Urbani. L’AMA S.p.A., come tutte le società a partecipazione pubblica, possiede una doppia natura: di tipo pubblicistico per quanto attiene alle funzioni ed ai poteri esercitati; di tipo privatistico per quanto attiene alla personalità giuridica di diritto privato (nella forma della S.p.A.), alle modalità gestionali ed operative (di tipo aziendali) ed all’organizzazione. Da ciò discende che taluni meccanismi di ‘governance’ si inseriscono a tutti gli effetti nello schema privatistico (si veda, ad esempio, la nomina degli Amministratori e Sindaci che è disciplinata dalle norme del codice civile -2449, 2414 bis c.c.); per altre attività, invece, sussiste l’obbligo del rispetto dei principi pubblicistici dell’evidenza pubblica e delle regole di Contabilità Generale dello Stato (si vedano, ad esempio, gli approvvigionamenti di lavori, beni e servizi, la cui fornitura avviene previo esperimento di procedure di Gara; le procedure concorsuali per l’assunzione dei dipendenti ed il controllo della Corte dei Conti). Ne discende che per AMA S.p.A., la forma giuridica e la connotazione privatistica non giungono ad elidere quella matrice che continua ad essere a vocazione pubblicistica. L’AMA ha investito in maniera molto significativa nel corso degli ultimi mesi sul miglioramento della qualità erogata e percepita dei propri servizi, da un lato attraverso l'introduzione di un nuovo modello di servizio, basato su un più spiccato presidio del territorio, dall'altro attraverso la messa in campo di una serie di progetti di miglioramento dell'efficacia e dell’efficienza dei propri processi. In tale contesto, è da evidenziare che la riforma del risparmio ha regolamentato la nuova figura obbligatoria del dirigente preposto alla redazione dei documenti contabili societari (in seguito “DP”), attribuendole significative funzioni di controllo contabile (nuovo art. 154-bis del TUF). Il legislatore ha preso spunto dalla normativa statunitense (il Sarbanes Oxley Act) che ha introdotto nel luglio del 2002 il principio della responsabilità diretta dell’amministratore delegato (Chief Executive Officer - CEO) e del direttore finanziario (Chief Financial Officer - CFO). Queste due figure sono chiamate ad attestare la veridicità dei report annuali e trimestrali e degli altri documenti contabili, a certificare i sistemi di controllo interno, dando una valutazione dell’efficacia dei controlli e delle procedure di emissione dei report, e la conformità del bilancio ai regolamenti della SEC (Securities and Exchange Commission). La nuova disciplina interviene sulla riorganizzazione dei sistemi di controllo interno e, in particolare, sulle modalità di raccolta dei dati e di monitoraggio delle procedure di contabilizzazione interna. A questo scopo è necessario coordinare il rapporto funzionale del preposto con gli altri organi sociali e, in particolare, con quelli a cui sono attribuite funzioni di controllo contabile: gli amministratori delegati, che curano l’adeguatezza dell’assetto alla natura e alle dimensioni dell’impresa; il collegio sindacale, che vigila sull’adeguatezza del sistema amministrativo-contabile e sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione; la società di revisione, cui è affidato il compito di verificare la corrispondenza dei bilanci alle scritture contabili.


4

Contesto Interno Nel contesto normativo delineato il Dirigente Preposto alla redazione dei documenti contabili societari della società ha sviluppato un piano delle attività finalizzate all’attestazione relativa al Bilancio d’Esercizio e Consolidato, secondo una metodologia consolidata in accordo con le best practices nazionali ed internazionali nell’ambito dell’analisi dei sistemi di controllo interno sul financial reporting. In particolare, le attività propedeutiche all’attestazione del Dirigente Preposto possono essere sintetizzate nelle seguenti fasi fondamentali:

• Definizione del Perimetro di intervento • Rilevazione del Sistema di Controllo Interno • Documentazione dei processi • Testing

La definizione del perimetro di intervento e la programmazione delle attività si basa sulle seguenti attività: 1. l’individuazione delle Società del Gruppo singolarmente significative, ovvero tali da poter determinare errori rilevanti nell’informativa finanziaria di Gruppo; 2. l’identificazione dei conti significativi e all’associazione dei processi aziendali/classi di transazioni che li alimentano, con l’obiettivo di garantire un’adeguata copertura sul bilancio, al fine di ridurre il rischio di errori e/o irregolarità non rilevate dal Sistema di Controllo Interno; 3. l’individuazione dei Responsabili delle attività di Processo e Sub-Processo (Process Owners) dai quali ottenere i necessari dati ed informazioni circa le procedure e prassi in essere; 4. l’identificazione, in ambito IT, dei principali sistemi, programmi e applicazioni sui quali si basa la produzione e conservazione dei dati che alimentano l’informativa contabile rilevante; 5. censimento della documentazione del sistema gestionale e amministrativo contabile correlata alle tematiche ex. L.262/05, in uso presso la Società (es. procedure, istruzioni operative, circolari). Nello specifico il contesto di AMA S.p.A è caratterizzato da: • 11 Cicli; • 22 Major Process; • 44 Process; • 109 Sub-Process. Analogamente a quanto effettuato per la Controllante AMA S.p.A., anche per le “Società in Ambito”, è rilevante l’identificazione dei processi e dei conti significativi. L’identificazione dei processi. individuati come significativi, è seguita dall’elaborazione della Risk Control Matrix (R.C.M.) che rappresenta il documento utilizzato dal DP per esplicitare il collegamento tra il bilancio e gli obiettivi di controllo di natura amministrativo-contabile, con attività documentate in procedure organizzative e prassi esistenti, attraverso la quale viene realizzata la rappresentazione di ciascun processo rientrante nell’ambito delle attività ex L.262/05 (Documentation). La predisposizione della R.C.M. consente di evidenziare per ogni attività di controllo analizzata: • chi la esegue; • lo/gli strumento/i a supporto dell’attività di controllo eseguita; • l’evidenza rilasciata dell’avvenuta esecuzione dell’attività. Per concludere l’attività di identificazione e valutazione del disegno dei controlli a presidio dei rischi, sono


5

identificati i Key Controls (controlli chiave). L’esecuzione dell’attività di testing è finalizzata al raggiungimento dei seguenti obiettivi:

• verifica dell’effettiva applicazione dei controlli previsti nelle procedure amministrativo-contabili e nella ulteriore documentazione utile per la formazione del bilancio della Società;

• verifica delle modalità di esecuzione delle attività di controllo conformemente a quanto recepito nella Matrice dei rischi e dei controlli.

In particolare il processo è volto a verificare che i controlli descritti nelle procedure di riferimento:

• operino efficacemente ai fini della copertura dei rischi connessi; • siano adeguatamente documentati da appropriate evidenze documentali.

Al fine di dotarsi degli strumenti e delle soluzioni organizzative necessarie per lo svolgimento delle attività richieste al DP e disciplinate dallo Statuto Sociale e dalle leggi applicabili con riferimento a ciascun periodo amministrativo riguardante gli anni 2017-2018-2019, AMA spa ha ravvisato l’esigenza di:

• effettuare l’assessment dei processi amministrativo-contabili; esecuzione e formalizzazione dei test sui controlli manuali selezionati per ciascuno dei processi identificati.

• effettuare l’assessment dei processi relativi all’ Information Technology tramite rilevazione e test degli

ITELC (IT Entity level Controls) e degli ITGC (IT General Controls); Esecuzione e formalizzazione dei test sui controlli automatici selezionati per ciascuno dei processi amministrativo contabili identificati (application controls).

In tale contesto si colloca la necessità di AMA S.p.A. di avvalersi di un servizio di assistenza specialistica nell’adeguamento della società a quanto previsto dalla legge 262/2005 e nel testing dei principali processi amministrativo-contabili e sistemi IT di supporto con riferimento periodi amministrativi 2017-2018-2019 anche alla luce delle recenti modifiche organizzative interne: con Deliberazione n. 16/17 del 3/3/17 dell’Ammimnistratore Unico di AMA Spa, è stata approvata la nuova Macrostruttura Aziendale. In esecuzione della menzionata deliberazione, con successivo Ordine di Servizio sono state individuate le nuove strutture organizzative delle Direzioni dei relativi Servizi, e delle Strutture di supporto all’Amministratore Unico e al Direttore Generale, definendone:

• l’organigramma • le responsabilità di ciascuna Direzione e Servizio • i responsabili delle strutture identificate

Le strutture organizzative che emergono identificano un sistema così articolato:

• Direzioni e Dipartimenti che riportano direttamente alol Amministratore Unico e quelle che riportato al Direttore Generale


6

ARTICOLO 1. — OGGETTO DEL SERVIZIO L'appalto ha ad oggetto la richiesta di offerta per l’assistenza per ciascun periodo amministrativo relativo agli anni 2017-2018-2019 , con riferimento ai servizi richiesti in relazione a quanto previsto dalla Legge 262/2005 e successive modifiche, come di seguito indicato, con suddivisione in 2 lotti:

• Lotto I : Assessment dei processi amministrativo-contabili; esecuzione e formalizzazione dei test sui controlli manuali selezionati per ciascuno dei processi identificati.

• Lotto II: Assessment dei processi relativi all’Information Technology (IT) tramite rilevazione e test degli ITELC (IT Entity Level Controls) e degli ITGC (IT General Controls); esecuzione e formalizzazione dei test sui controlli automatici e semi-automatici selezionati per ciascuno dei processi amministrativo contabili identificati (application controls).

Il servizio oggetto dell'appalto è in dettaglio individuato all'art. 2.

ARTICOLO 2. —INDIVIDUAZIONE DEI SERVIZI RICHIESTI ALL'AFFIDATARIO

L’iniziativa si riferisce alle attività necessarie a supportare un’organizzazione particolarmente complessa quale AMA anche in considerazione delle recenti modifiche organizzative richiamate in nell’assistenza nello svolgimento dei seguenti servizi suddivisi in 2 lotti:

• Lotto I: Assessment dei processi amministrativo-contabili; esecuzione e formalizzazione dei test sui controlli manuali selezionati per ciascuno dei processi identificati.

• Lotto II: Assessment dei processi relativi all’Information Technology tramite rilevazione e test degli ITELC (IT Entity Level Controls) e degli ITGC (IT General Controls); esecuzione e formalizzazione dei test sui controlli automatici e semi-automatici selezionati per ciascuno dei processi amministrativo contabili identificati (application controls).

In particolare l'affidatario dovrà svolgere - per AMA S.p.A. - interfacciandosi con il Responsabile dell’esecuzione del Contratto (di seguito anche REC) - le seguenti attività con riferimento ai Lotto I e Lotto II.


7

Lotto I: Assessment dei processi amministrativo-contabili; esecuzione e formalizzazione dei test sui controlli manuali selezionati per ciascuno dei processi identificati. Con riferimento al Lotto I l'affidatario per ciascun periodo amministrativo 2017-2018-2019 dovrà documentare lo svolgimento delle seguenti macro attività, interfacciandosi con il REC:

i. Definizione del Perimetro di intervento; ii. Aggiornamento del Sistema di Controllo Interno;

iii. Documentazione dei processi; iv. Test sui controlli selezionati per ciascuno dei processi identificati. v. Supporto nella definizione dei piani di remediation

vi. Supporto nella Redazione della Relazione Finale del Dirigente Preposto Per ciascuna macro attività si dettaglia l’elenco delle singole attività che l'affidatario dovrà eseguire e dei Deliverable richiesti.

i. Definizione del Perimetro di intervento. Nello svolgimento della macro attività “Definizione del Perimetro di intervento” è richiesto lo svolgimento delle seguenti attività:

• Definizione Macro Piano di Progetto da condividere con il Dirigente Preposto; • Definizione della Materialità; • Individuazione delle società del Gruppo singolarmente significative; • Individuazione dei conti significativi e dei relativi processi aziendali/classi di transazioni che li

alimentano; • Identificazione dei Responsabili di Processo o Sub –Processo di AMA S.p.A.(Process Owners); • Censimento della documentazione del sistema gestionale e amministrativo contabile correlata alle

tematiche ex. L.262/05, in uso presso la Società; • Identificazione delle modalità e delle tempistiche di attestazione da ricevere dalle singole Direzioni o

dalle Società del gruppo. Si evidenzia la necessità di un lavoro particolarmente accurato di mappatura di cicli/Major process/process/sub process in ragione delle significative novità organizzative intervenute con la ridefinizione delle responsabilità all’interno di ciascun processo introdotta con le citate norme interne ed in corso di implementazione. La esigenza di accuratezza di tale fase è anche legata ai significativi cambiamenti in corso sotto il profilo dei sistemi informativi a supporto dei processi, i quali saranno efficaci solo nel corso dello svolgimento delle attività richieste nel presente capitolato. Di conseguenza, la definizione del perimetro di intervento andrà performata con particolare dettaglio per ciascuno degli esercizi in ambito di capitolato. Deliverable richiesti all'affidatario:

• Macro Piano di Progetto; • Elenco delle società del Gruppo singolarmente significative; • Elenco dei conti significativi e dei relativi processi aziendali/classi di transazioni che li alimentano; • Elenco dei Responsabili di Processo o Sub –Processo di AMA S.p.A.(Process Owners); • Elenco della documentazione del sistema gestionale e amministrativo contabile correlata alle

tematiche ex. L.262/05, in uso presso la Società; • Form ,documento di attestazione circa l’attività svolta dalle Direzioni Aziendali; • Form, documento di attestazione circa l’attività svolta dalle Società Controllate.


8

Si precisa che con riferimento al Macro Piano di Progetto è richiesto un contenuto minimo di informazioni che il documento dovrà contenere esplicitando: 1. Fasi 2. Attività 3. Deliverable 4. Tempistiche 5. Componenti del Team 6. Richieste documentali

ii. Aggiornamento del Sistema di controllo interno

Nello svolgimento della macro attività “Aggiornamento del Sistema di controllo interno” è richiesto lo svolgimento delle seguenti attività:

• Definizione dei rischi e dei controlli a livello di Entity sulla base di quanto previsto dal modello sul Sistema di Controllo Interno pubblicato dal Committee of Sponsoring Organizations of the Treadway Commission (Nuovo CoSO 2013), che rappresenta il modello maggiormente applicato in Italia e all’estero;

• Definizione del piano delle interviste con ciascuna Direzione (Verifiche Entity Level Control); • Effettuazione delle interviste con le singole Direzioni (Verifiche Entity Level Control); • Condivisione dei risultati delle attività di verifica a livello di Entity con le singole Direzioni; • Formalizzazione dei risultati delle verifiche di Entity Level Control; • Definizione del piano delle Remediation di Entity Level Control.

Deliverable richiesti all'affidatario:

• Piano di Test Entity Level Control sulla base del Nuovo CoSO 2013 da condividere con il Dirigente Preposto;

• Calendario delle interviste da effettuare ai fini degli Entity Level Control; • Formalizzazione di specifiche schede di test Entity Level Control; • Piano di sintesi dei risultati di test Entity level Control; • Piano delle remediation Entity level Control.

Si precisa che per ciascun attività di test pianificata degli Entity Level Control dovranno essere predisposte specifiche schede di test che consentiranno la formalizzazione dei risultati delle attività di verifica. In particolare per le schede di test è richiesto un contenuto minimo informazioni che ciascuna dovrà contenere:

1. Documenti ottenuti da (nome referente, titolo documento) 2. Origine dei documenti da utilizzare per selezionare il campione 3. Metodo utilizzato per selezionare il campione (es. Random Software, ACL ecc.) 4. Criterio utilizzato per scegliere la dimensione del campione (es. 25 controlli giornalieri) 5. Metodologia di test (inspection, observation, inquiry,….) 6. Attributi del test 7. Items Testati 8. Codice Attributo di riferimento 9. Risultati Test 10. Conclusioni: codice controllo, risultato (efficace / non efficace / parzialmente efficace), 11. Eventuale controllo compensativo 12. Esito controllo compensativo 13. Note

iii. Documentazione dei processi

Nello svolgimento della macro attività “Documentazione dei processi” è richiesto lo svolgimento delle


9

seguenti attività:

• Raccordo dei processi identificati con le voci di bilancio identificate e predisposizione Matrice conti-processi;

• Definizione del piano delle interviste con le singole Direzioni (Process Level Control); • Effettuazione delle interviste con le singole Direzioni (Process Level Control); • Condivisione dei risultati delle attività a livello di Processo con le singole Direzioni; • Definizione documento di Mappatura dei processi (Risk Control Matrix) e relativi dei documenti

associati; • Identificazione dei controlli chiave da condividere con il Dirigente Preposto e con le singole Direzioni

interessate. Deliverable richiesti all'affidatario:

• Matrice conti-processi; • Formalizzazione Risk Control Matrix per ogni processo; • Elenco dei controlli chiave identificati.

Si precisa che nell’ambito della Formalizzazione di ciascuna Risk Control Matrix è richiesto un contenuto minimo informazioni che ciascuna dovrà contenere:

1. Mega Process 2. Major Process 3. Processo 4. Sub process 5. Codice Rischio 6. Descrizione Rischio 7. Asserzioni di bilancio coperte: Esistenza, 8. Asserzioni di bilancio coperte: Completezza 9. Asserzioni di bilancio coperte: Accuratezza 10. Asserzioni di bilancio coperte: Valutazione 11. Asserzioni di bilancio coperte: Presentazione 12. Codice Controllo 13. Obiettivo Controllo 14. Descrizione Controllo 15. Controllo Manual/ IT 16. "Preventive/Detective" 17. Owner controllo 18. Funzione di riferimento 19. Frequenza controllo 20. Evidenza controllo 21. Controllo adeguato alla copertura dei rischi 22. GAP riscontrati 23. REMEDIATION PLAN 24. K CONTROL 25. Tipologia Gap 26. Tipologia Remediation 27. Gap Entity

iv. Test sui controlli selezionati per ciascuno dei processi identificati

Nello svolgimento della macro attività “Test sui controlli selezionati per ciascuno dei processi identificati” è richiesto lo svolgimento delle seguenti attività:


10

• Pianificazione delle attività di testing sui processi identificati; • Definizione della modulistica/documentazione a supporto delle attività di test; • Esecuzione dei test relativi ai processi identificati; • Formalizzazione delle risultanze dei test.

Il perimetro dei Key Control (entity e process ) è rappresentato da circa 200 controlli, in considerazione della piena operatività delle nuove procedure amministrativo-contabili e quelle in corso di emissione. Al fine di rendere maggiormente chiaro il contesto di riferimento nel quale opera AMA e le attività che sono richieste nell’ambito dell’esecuzione del servizio si fa presente che per l’effettuazione dei circa 200 controlli (entity e process ) è necessario un processo di analisi articolato come segue: N° 44 Processi/109 Sub-process N° 18 uffici coinvolti N° 104 interviste circa. Deliverable richiesti all'affidatario:

• Piano delle attività di test dei controlli; • Schede di test formalizzate per ciascun controllo; • Documentazione scansionate (pdf) delle evidenze raccolte; • Documento di sintesi contenente le risultanze dei test sui controlli secondo la modulistica definita • Schede di rilevazione delle interviste; • Schede di check-up delle verifiche sui singoli controlli ; • Report di dettaglio dei presidi non adeguati (Gap Analysis); • Report delle azioni correttive (action plan); • Report di conformità; • SAL Operativi; • SAL Direzionali; • Registro delle Criticità.

Si precisa che per ciascun attività di test pianificata dovranno essere predisposte specifiche schede di test che consentiranno la formalizzazione dei risultati delle attività di verifica. In particolare per le schede di test è richiesto un contenuto minimo informazioni che ciascuna dovrà contenere:

1. Documenti ottenuti da (nome referente, titolo documento) 2. Origine dei documenti da utilizzare per selezionare il campione 3. Metodo utilizzato per selezionare il campione (es. Random Software, ACL ecc.) 4. Criterio utilizzato per scegliere la dimensione del campione (es. 25 controlli giornalieri) 5. Metodologia di test (inspection, observation, inquiry,….) 6. Attributi del test 7. Items Testati 8. Codice Attributo di riferimento 9. Risultati Test 10. Conclusioni: codice controllo, risultato (efficace / non efficace / parzialmente efficace), 11. Eventuale controllo compensativo 12. Esito controllo compensativo 13. Note

v. Supporto nella definizione del piani di remediation

Nello svolgimento della macro attività “Definizione del piano di remediation” è richiesto lo svolgimento delle seguenti attività:


11

• Definizione di un piano di remediation condiviso con le singole strutture di riferimento.


• Piani di remediation Si precisa che nell’ambito della definizione di piano di remediation è richiesto un contenuto minimo informazioni che il piano dovrà contenere:

1. Criticità 2. Rischio 3. Rating rischio(alto, medio,basso) 4. Azione correttiva 5. Strutture individuate per il superamento della criticità 6. Tempistica 7. Data condivisione con la struttura

vi. Supporto nella Redazione della Relazione Finale del Dirigente Preposto

Nello svolgimento della macro attività “Supporto nella Redazione della Relazione Finale del Dirigente Preposto” è richiesto lo svolgimento delle seguenti attività:

• Definizione di una relazione a supporto del Dirigente Preposto che contenga i risultati dell’attività svolta nel corso dell’intero periodo amministrativo.


• Relazione Finale del Dirigente Preposto. Si precisa che nell’ambito della definizione Relazione Finale del Dirigente Preposto è richiesto un contenuto minimo di informazioni che la relazione dovrà contenere:

1. Finalità del Documento 2. Approccio metodologico 3. Individuazione delle società del Gruppo singolarmente significative 4. Aggiornamento della Materialità 5. Identificazione dei conti significativi ed associazione dei processi aziendali/classi di transazioni che li

alimentano 6. Identificazione dei Responsabili di Processo di AMA S.p.A. 7. Identificazione dei sistemi IT, programmi ed applicazioni utilizzate 8. Censimento della documentazione del sistema gestionale e amministrativo contabile correlata

all’informativa economico-finanziaria, in uso presso la Società (es. procedure, istruzioni operative, circolari)

9. Analisi del Contesto di riferimento 10. Modello di riferimento 11. Analisi del Sistema di Controllo (Entity Level Controls) 12. Punti di attenzione emersi relativamente al Sistemi di Controllo interno(Entity Level Controls) 13. Valutazione del disegno dei controlli 14. Identificazione dei Key Controls 15. Punti di attenzione Process Level Controls (PLC) 16. Obiettivi dell’attività di testing 17. Le principali tecniche di testing utilizzate 18. Punti di attenzione emersi dalle attività di testing 19. Relazioni e flussi informativi tra il Dirigente Preposto, gli organismi di Corporate Governance e le

funzioni aziendali.


12

Lotto II : Assessment dei processi relativi all’ Information Technology tramite rilevazione e test degli ITELC (IT Entity Level Controls) e degli ITGC (IT General Controls); esecuzione e formalizzazione dei test sui controlli automatici e semi-automatici selezionati per ciascuno dei processi amministrativo contabili identificati (application controls)

L'iniziativa si riferisce alle attività necessarie a supportare un'organizzazione complessa quale AMA nella assistenza nelle seguenti macro attività:

• Assessment e test dei controlli sui processi relativi all’Information Technology, con particolare riferimento agli IT Entity Level Controls e agli IT General Controls, in relazione a quanto previsto dalla ex L. 262/05 e successive modifiche.

• Assessment e test sui controlli automatici e semi-automatici selezionati per ciascuno dei processi amministrativo-contabili identificati, in relazione a quanto previsto dalla ex L. 262/05 e successive modifiche

Per ciascuna macro attività si dettaglia l’elenco delle singole attività che l'affidatario dovrà eseguire e dei Deliverable richiesti. Assessment dei controlli sui processi relativi all’Information Technology (ELC-ITGC) e dei controlli automatici sui processi amministrativo-contabili in relazione a quanto previsto dalla ex L. 262/05 e successive modifiche Nello svolgimento della macro attività “Assessment e test dei controlli sui processi relativi all’Information Technology, con particolare riferimento agli IT Entity Level Controls e agli IT General Controls, in relazione a quanto previsto dalla ex L. 262/05 e successive modifiche” è richiesto lo svolgimento delle seguenti attività: Assessment degli ITELC e degli ITGC:

• Definizione del Perimetro di Intervento • Aggiornamento del raccordo dei processi amministrativo-contabili con i processi IT e le relative

applicazioni; • Individuazione dei Responsabili delle attività di Processo dell’Area Sistemi Informativi per la

pianificazione delle interviste; • Analisi dei processi IT aziendali; • Analisi dei rischi e dei controlli in relazione ai processi IT identificati; • Aggiornamento e razionalizzazione della Risk Control Matrix per gli ELC in relazione ai processi IT

identificati; • Aggiornamento e razionalizzazione della Risk Control Matrix per gli ITGC in relazione ai processi IT

identificati; • Monitoraggio delle attività di remediation pianificate dalla funzione IT sui gap rilevati nelle attività di

test effettuate nel precedente esercizio.

Test dei controlli sui processi relativi all’Information Technology (ELC-ITGC) • Pianificazione delle attività di testing sui presidi tecnico-operativi identificati nelle RCM. • Definizione della modulistica/documentazione a supporto delle attività di test • Esecuzione dei WTT (Walk-Through Test) • Esecuzione dei test sui presidi tecnico-operativi identificati nelle RCM


13

• Formalizzazione delle risultanze dei WTT su apposite schede di test • Formalizzazione delle risultanze dei test su apposite schede di test

Deliverable richiesti all’affidatario

• Piano di dettaglio delle attività di assessment; • Piano delle interviste; • Schede di rilevazione delle interviste; • Matrice dei rischi e dei controlli (RCM); • Report di esposizione al rischio IT • Mappa degli ITELC da sottoporre ad assessment; • Mappa dei controlli ITGC da sottoporre ad assessment; • Piano delle attività di test degli ITGC; • Piano delle attività di test degli ITELC; • Schede di check-up delle verifiche sui singoli controlli (WTT e Test); • Schede di test; • Report di dettaglio dei presidi non adeguati (Gap Analysis); • Report delle azioni correttive (action plan); • Report di conformità; • Attestazione per il perimetro IT; • SAL Operativi; • SAL Direzionali; • Registro delle Criticità.

Il perimetro dei controlli identificato sui processi IT andrà considerato su 4 livelli di controllo (Entity Level, Activity Level, Application Level e Infrastructure Level) e sulle applicazioni in scope. Il perimetro attualmente utilizzato da AMA SpA nelle precedenti attività di attestazione del Dirigente Preposto è composto da sei applicazioni aziendali e da 332 controlli da sottoporre a rilevazione e testing suddivisi sui vari layer di controllo: 22 Entity level Controls, 15 Activity Level Controls, 125 Infrastructure level Controls e 170 Application Level Controls. Il framework di riferimento attualmente utilizzato da AMA S.p.A. per la conformità del sistema di controllo interno IT alla ex L. 262/05 è il COBIT 5 nell’accezione prevista dal COBIT for SOX 3th Edition. Nello svolgimento della macro attività “Assessment e test sui controlli automatici e semi-automatici selezionati per ciascuno dei processi amministrativo-contabili identificati, in relazione a quanto previsto dalla legge 262/05 e successive modifiche” è richiesto lo svolgimento delle seguenti attività:

Assessment sui controlli automatici e semi-automatici:

• Analisi dei processi IT aziendali; • Aggiornamento del raccordo dei processi amministrativo-contabili con i processi IT e le relative

applicazioni; • Aggiornamento della Risk Control Matrix per i controlli automatici e semiautomatici in relazione ai

processi amministrativo contabili identificati; • Monitoraggio delle attività di remediation pianificate dalla funzione IT sui gap rilevati nelle attività di test

effettuate nel precedente esercizio.

Test sui controlli automatici e semi-automatici selezionati

• Pianificazione delle attività di testing sui processi identificati; • Definizione della modulistica/documentazione a supporto delle attività di test; • Esecuzione dei WTT (Walk-Through Test); • Esecuzione dei test sui presidi tecnico-operativi identificati nelle RCM; • Esecuzione di attività di data analysis per l’esecuzione dei test dei controlli;


14

• Formalizzazione delle risultanze dei test. Deliverable richiesti all’affidatario

• Piano di lavoro operativo; • Piano delle Interviste; • Aggiornamento della Matrice dei rischi e controlli (RCM) in relazione ai processi identificati; • Mappa dei controlli automatici e semiautomatici per singolo ciclo; • Piano delle attività di test dei controlli applicativi; • Schede di check-up delle verifiche sui singoli controlli (WTT e Test); • Schede di test dei controlli applicativi divisi per processo amministrativo contabile; • Report di dettaglio dei presidi non adeguati (Gap Analysis); • Report delle azioni correttive (action plan); • Report di conformità; • SAL Operativi; • SAL Direzionali; • Registro delle Criticità.

Il perimetro dei controlli automatici e semiautomatici identificato sui processi amministrativo contabili utilizzato da AMA SpA nelle precedenti attività di attestazione del Dirigente Preposto è composto da sei processi aziendali e da 138 controlli chiave da sottoporre a rilevazione e testing. Sulla base di quanto già svolto in relazione al bilancio 2015, i Cicli amministrativo contabili che presentano dei controlli Automatici e Semiautomatici e che costituiranno ambito dell’intervento sono:

• Chiusure contabili • Ciclo attivo • Ciclo passivo • Magazzino • Cespiti • Tesoreria


15

ARTICOLO 3. — MODALITA’ DI ESECUZIONE DEI SERVIZI L’affidatario si impegna a porre in essere per lo svolgimento del servizio in oggetto quanto di seguito indicato. 1) Metodologia adottata per la realizzazione del servizio La metodologia utilizzata dall’affidatario deve risultare in accordo con le best practices nazionali ed internazionali nell’ambito dell’analisi dei sistemi di controllo interno sul financial reporting. In particolare, nell’esecuzione dell’incarico, l’affidatario dovrà attenersi

• agli Standard Internazionali per la pratica professionale dell’Internal Auditing; • ai dettami di quanto previsto dalle linee guida di Confindustria “per lo svolgimento delle attività del

dirigente preposto alla redazione dei documenti contabili ai sensi degli art. 154 BIS TUF del 13 dicembre 2007;

• al Modello sul Sistema di Controllo Interno pubblicato dal Committee of Sponsoring Organizations of the Treadway Commission (CoSO) nel 2013;

• al framework per la gestione della Information and Communication Technology (ICT) COBIT 5. Si precisa che la struttura del committente effettuerà controlli mirati sia in fase di impostazione delle attività che on going con periodicità settimanale sulla conformità delle attività svolte e sulla formalizzazione delle medesime rispetto a quanto previsto dagli standard citati. 2 ) Team dedicato al servizio: L’affidatario dovrà garantire la disponibilità di personale professionalmente qualificato per lo svolgimento delle attività richieste dal presente capitolato. Ai fini della partecipazione alla gara il concorrente dovrà comprovare, mediante produzione di appositi curricula, di avere a disposizione una struttura operativa da dedicare all'esecuzione dei servizi composta dalle seguenti figure professionali:

• Capo-progetto • Manager • Senior Consultant • Junior Consultant

Requisiti per il Lotto I Capo progetto - Requisiti Laureato con anzianità lavorativa di almeno 16 anni, da computarsi successivamente alla data di conseguimento del diploma di laurea, di cui almeno 12 di provata esperienza nella specifica funzione su progetti complessi presso realtà del settore pubblico. Provata esperienza di almeno 12 anni nell'ambito di progetti di reingegnerizzazione di processi amministrativo-contabili, predisposizione ed implementazione di procedure amministrativo-contabili, disegno di sistemi di controllo interno contabile. Possiede esperienza in progetti di Project Management nell’ambito della Pubblica Amministrazione. Assume il ruolo di Responsabile del Contratto dell'Affidatario nei confronti di AMA e assicura il coordinamento, l'efficienza e la tempestività delle attività progettuali. Assicura il commitment delle risorse dedicate ed il raggiungimento degli obiettivi prefissati. Possiede almeno la seguente certificazione:

https://it.wikipedia.org/wiki/ICT


16

• Certificazione PMP ( Project Management Professional)

Manager – Requisiti Laureato con anzianità lavorativa di almeno 9 anni, da computarsi successivamente alla data di conseguimento del diploma di laurea, di cui almeno 6 di provata esperienza nella conduzione di progetti complessi presso realtà del settore pubblico. Garantisce la corretta esecuzione delle attività a lui assegnate curandone gli aspetti sia tecnico-funzionali che gestionali. Possiede un'adeguata conoscenza delle metodologie di analisi ed identificazione dei rischi relativi ai processi amministrativo-contabili di aziende pubbliche. Ottima conoscenza delle tematiche di sistemi di controllo interno contabile. Individua le opportune soluzioni per le problematiche di processo e le criticità organizzative che rileva durante l'esecuzione dei progetti affidati, allineandosi costantemente con la struttura di riferimento. Ottima capacità di monitoraggio del Piano di Lavoro operativo delle singole aree di intervento progettuale. Coordina e monitora lo stato di avanzamento delle attività interfacciandosi con gli altri esponenti delle strutture operative dedicate. E' in grado di promuovere il lavoro di team e di rapportarsi con i referenti interni. Possiede almeno la seguente certificazione:


Senior Consultant - Requisiti Laureato con anzianità lavorativa di almeno 4 anni, da computarsi successivamente alla data di conseguimento del diploma di laurea, di cui almeno 2 anni su temi di analisi dei processi amministrativo-contabili presso realtà del settore pubblico. Possiede una buona conoscenza delle metodologie inerenti il disegno di sistemi di controllo interno contabile. Garantisce la corretta esecuzione delle attività a lui assegnate curandone gli aspetti sia tecnico-funzionali che gestionali. Svolge le attività di analisi affidategli allineandosi costantemente con la struttura di riferimento. Risulta in grado di lavorare in gruppo e di rapportarsi con i referenti interni. Possiede almeno la seguente certificazione:


Junior Consultant - Requisiti Laureato con anzianità lavorativa di almeno 2 anni, da computarsi successivamente alla data di conseguimento del diploma di laurea. Possiede una discreta conoscenza delle metodologie inerenti la rilevazione dei processi e l’esecuzione dei test sui controlli. Svolge con accuratezza le attività a lui assegnate allineandosi costantemente con i responsabili del lavoro. Risulta in grado di lavorare in gruppo e di rapportarsi con i referenti interni.

http://www.pmi-sic.org/commissioni/certificazioni/certificazione-pmp




17

Requisiti per il Lotto II

Capo-progetto - Requisiti

Laureato con anzianità lavorativa di almeno 16 anni, da computarsi successivamente alla data di Conseguimento del diploma di laurea, di cui almeno 12 di provata esperienza nella specifica funzione su progetti complessi.

Provata esperienza di almeno 12 anni nell'ambito di progetti di reingegnerizzazione di processi IT, predisposizione ed implementazione di procedure informatiche, disegno di sistemi di controllo interno e compliance IT.

Possiede esperienza in progetti di Project Management nell'ambito della Pubblica Amministrazione.

Assume il ruolo di Responsabile del Contratto dell’Affidatario nei confronti di AMA e assicura il coordinamento, l’efficienza e la tempestività delle attività progettuali.

Assicura il commitment delle risorse dedicate ed il raggiungimento degli obiettivi prefissati.

Possiede almeno una certificazione tra le seguenti:

• CISA (Certified Information System Auditor)

• Lead Auditor ISO/IEC 27001:2013

• COBIT 5 Foundation

Manager – Requisiti Laureato con anzianità lavorativa di almeno 9 anni, da computarsi successivamente alla data di conseguimento del diploma di laurea, di cui almeno 6 di provata esperienza nella conduzione di progetti complessi. Garantisce la corretta esecuzione delle attività a lui assegnate curandone gli aspetti sia tecnico-funzionali che gestionali. Possiede un'adeguata conoscenza delle metodologie di analisi ed identificazione dei rischi relativi ai processi IT. Ottima conoscenza delle tematiche di sistemi di controllo interne IT. Individua le opportune soluzioni per le problematiche di processo e le criticità organizzative che rileva durante l'esecuzione dei progetti affidati, allineandosi costantemente con la struttura di riferimento. Ottima capacità di monitoraggio del Piano di Lavoro operativo delle singole aree di intervento progettuale. Coordina e monitora lo stato di avanzamento delle attività interfacciandosi con gli altri esponenti delle strutture operative dedicate. E' in grado di promuovere il lavoro di team e di rapportarsi con i referenti interni.

Possiede almeno una certificazione tra le seguenti:

• CISA (Certified Information System Auditor)

• Lead Auditor ISO/IEC 27001:2013

• COBIT 5 Foundation

Senior Consultant - Requisiti

Laureato con anzianità lavorativa di almeno 4 anni, di computarsi successivamente alla data di conseguimento del diploma di laurea, su temi di analisi e assessment dei processi IT.

Possiede una buona conoscenza delle metodologie inerenti il disegno di sistemi di controllo IT.


18

Garantisce la corretta esecuzione delle attività a lui assegnate curandone gli aspetti sia tecnico-funzionali che gestionali.

Svolge le attività di analisi affidategli allineandosi constantemente con la struttura di riferimento.

E’ in grado di lavorare in gruppo e di rapportarsi con i referenti interni.

Possiede almeno la certificazione COBIT 5 Foundation.

Junior Consultant - Requisiti

Laureato con anzianità lavorativa di almeno 2 anni, da computarsi successivamente alla data di conseguimento del diploma di laurea.

Possiede una discreta conoscenza delle metodologie inerenti la rilevazione dei processi e l’esecuzione dei test sui controlli.

Svolge con accuratezza le attività a lui assegnate allineandosi costantemente con i responsabili del lavoro.

E’ in grado di lavorare in gruppo e di rapportarsi con i referenti interni.

In considerazione della rilevanza per AMA di ottenere risultati di elevato livello qualitativo, si richiede all’impresa affidataria, di far fronte nel corso dell’esecuzione del contratto ai seguenti aspetti organizzativi:

a) durante l’esecuzione del contratto, non è ammessa la sostituzione delle persone del Team dedicato al servizio, a meno di documentate cause di forza maggiore e previa formale autorizzazione da parte di AMA. In tal caso, la persona incaricata dall’affidatario in sostituzione dovrà avere capacità ed esperienza (documentate nel curriculum) almeno equivalenti a quella sostituita. Resta inteso che la sua sostituzione dovrà comunque essere preventivamente autorizzata dal REC.

b) garantire, una presenza costante da parte di tutto il team (compreso capo progetto e manager individuati) presso gli uffici di AMA per tutta la durata dell’incarico, nell’esecuzione delle attività richieste.

SI fa presente che tali aspetti organizzativi saranno oggetto di specifica rendicontazione settimanale da parte dell’affidatario e di verifica da parte del REC come meglio specificato nell’ambito delle successive modalità operative di esecuzione. Si precisa inoltre che il numero delle giornate erogate per la prestazione dei servizi richiesti dal presente capitolato non dovranno in nessun caso comunque risultare inferiore al numero minimo previste dal presente capitolato:

• 660 giorni uomo (anni 2017-2018-2019) ovvero 220 giornate con riferimento a ciascun periodo amministrativo per il Lotto I;

• 510 giorni uomo (anni 2017-2018-2019) ovvero 170 giornate con riferimento a ciascun periodo amministrativo per il Lotto II.

3) Modalità operative di esecuzione: Tutte le attività oggetto dell’incarico dovranno essere svolte dall'affidatario sotto la supervisione del REC, in particolare le attività saranno rendicontate con cadenza settimanale da parte dell’affidatario e sottoposte a collaudo settimanale da parte del REC.


19

All’affidatario è quindi richiesta una rendicontazione periodica settimanale da presentare al REC, che dovrà contenere (contenuto minimo della rendicontazione):

• elenco nominativo del personale impiegato dall’aggiudicatario con l’indicazione del profilo; • dettaglio dei giorni o frazioni di giorno del personale impiegato dall’aggiudicatario presso gli uffici AMA; • il dettaglio delle attività svolte e percentuali di avanzamento; • l’elenco dei deliverable consegnati.

Il collaudo da parte del REC consisterà nell’attestazione di regolare esecuzione delle prestazioni previste nel presente capitolato tecnico e nell’offerta tecnica presentata ed in particolare lo stato di attuazione del servizio sarà oggetto di controlli in contraddittorio, con periodica cadenza settimanale, alla presenza del contraente e del REC circa i singoli deliverable prodotti che saranno quindi sottoposti ad approvazione da parte del REC stesso dopo aver constatato:

• la presenza costante da parte di tutto il team nel corso dell’esecuzione dell’attività; • il rispetto delle tempistiche nel rilascio dei deliverable; • il contenuto minimo dei deliverable e secondo gli standard richiesti.

All’affidatario sarà richiesto il best effort per espletare tutte le attività e la realizzazione di ciascun deliverable in anticipo rispetto alle tempistiche richieste. Resta comunque inteso che nell’esercizio delle attività richieste, l’impresa affidataria si impegna a consegnare i deliverables previsti nel presente capitolato al REC secondo le tempistiche di seguito riportate. Si precisa che tali termini inizieranno a decorrere dalla data in cui verrà messa a disposizione da parte di AMA tutta la documentazione necessaria per l’espletamento del servizio, con riferimento a ciascuna attività. Al fine di non gravare oltremodo sulle attività dei singoli uffici coinvolti, le singole richieste da parte dell’affidatario concernenti la documentazione necessaria per l’espletamento del servizio dovranno essere preventivamente inoltrate al REC ai fini della loro approvazione. Con riferimento al Lotto 1

• L’attività di “definizione del Perimetro di intervento” e tutti i sui deliverable dovrà essere svolta nell’arco temporale massimo di 1 mese.

• L’attività di “aggiornamento del Sistema di controllo interno” e tutti i sui deliverable dovrà essere svolta nell’arco temporale massimo di 1 mese.

• L’attività di “documentazione dei processi” e tutti i sui deliverable dovrà essere svolta nell’arco temporale massimo di 1 mese.

• L’attività di “Test sui controlli selezionati per ciascuno dei processi identificati” e tutti i sui deliverable dovrà essere svolta nell’arco temporale massimo di 1 mese.

• L’attività di “Supporto nella definizione del piani di remediation ” dovrà essere svolta nell’arco temporale massimo di 2 settimane.

• L’attività di “Supporto nella Redazione della Relazione Finale del Dirigente Preposto” dovrà essere svolta nell’arco temporale massimo di 1 settimana.

Con riferimento al Lotto 2

• L’attività di “Assessment degli ITELC” e tutti i sui deliverable dovrà essere svolta nell’arco temporale massimo di 2 settimane.

• L’attività di “Assessment degli ITGC” e tutti i sui deliverable dovrà essere svolta nell’arco temporale massimo di 1 mese.

• L’attività di “Test dei controlli sui processi relativi all’Information Technology (ELC)” e tutti i sui deliverable dovrà essere svolta nell’arco temporale massimo di 2 settimane.

• L’attività di “Test dei controlli sui processi relativi all’Information Technology (ITGC)” e tutti i sui deliverable dovrà essere svolta nell’arco temporale massimo di 1 mese.

• L’attività di “Assessment sui controlli automatici e semi-automatici” e tutti i sui deliverable dovrà essere svolta nell’arco temporale massimo di 3 settimane.


20

• L’attività di “Test sui controlli automatici e semi-automatici selezionati Test sui controlli automatici e semi-automatici selezionati” dovrà essere svolta nell’arco temporale massimo di 1 mese.

ARTICOLO 4. — DURATA DELL'INCARICO La durata del servizio è pari a 36 mesi (con riferimento ai periodi amministrativi 2017-2018-2019 ovvero 8 mesi per ciascun periodo amministrativo) a partire dalla data di sottoscrizione del contratto.

ARTICOLO 5. — IMPORTO A BASE DI GARA Importo presunto massimo complessivo risulta rispettivamente per ciascun lotto:

• Lotto I: Euro 363.000,00 oltre IVA (anno 2016) ovvero euro 121.000,00 oltre IVA per ciascun periodo ammnistrativo.

• Lotto II: Euro 207.000,00 oltre IVA (anno 2016) ovvero euro 69.000,00 oltre IVA per ciascun periodo amministrativo.

ARTICOLO 6. — Riferimento a disposizioni normative L’affidatario sarà tenuto all’osservanza di tutte le leggi, decreti e regolamenti ed in genere di tutte le prescrizioni vigenti o che saranno emanate in qualsiasi forma indipendentemente dalle disposizioni della documentazione di gara.

ARTICOLO 7. — Tutela della privacy Per quanto riguarda il trattamento dei dati personali si fa riferimento al D. Lgs. N.196 del 03/06/2003 che dovrà essere applicato nell’esecuzione del servizio in oggetto. Il trattamento dei dati avverrà nel rispetto del segreto di ufficio e dei principi di correttezza, liceità e trasparenza, in applicazione della stessa legge in modo di assicurare la tutela della riservatezza dell’interessato, fatta comunque salva la necessaria pubblicità della procedura di affidamento, ai sensi delle disposizioni vigenti. Il trattamento verrà effettuato anche con l’ausilio dei mezzi informatici, con la precisazione che l’eventuale elaborazione dei dati per finalità statistiche o di ricerca avverrà garantendo l’anonimato. La comunicazione dei dati ad altri soggetti pubblici e/o privati verrà effettuata in esecuzione di obblighi di legge. E’ fatto divieto all’affidatario e al personale dallo stesso impiegato nel servizio di utilizzare le informazioni assunte nell’espletamento delle attività per fini diversi da quelli inerenti l’attività stessa.

ARTICOLO 8. — Penali Ove siano accertati fatti, il Responsabile del Procedimento potrà applicare le seguenti penalità:

In caso di mancato rispetto delle soluzioni metodologiche proposte in sede di Offerta Tecnica (Lotto I)

Penale di € 2.000,00 per ciascuna prestazione non erogata


21

In caso di mancato rispetto del numero di risorse offerto in sede di gara per lo svolgimento delle attività (Lotto I e Lotto II)

Penale pari al 5% del corrispettivo previsto per le figure professionali, per ogni giorno di assenza

In caso di mancata sostituzione delle risorse offerte in corso di esecuzione (Lotto I e Lotto II)

Penale pari al 5% del corrispettivo previsto per le figure professionali, per ogni giorno di mancata sostituzione, fatta salva la risoluzione contrattuale in caso di sostituzione con figure professionali che non abbiano il medesimo profilo

In caso di mancato rispetto dei tempi proposti in sede di Offerta Tecnica per lo svolgimento dell’attività di assistenza nell’assessment e test del Sistema di Controllo interno relativo all’Information Technology (Lotto II)

Penale di € 200,00 per ogni giorno di ritardo

In caso di mancato rispetto del numero di test da effettuare sui controlli automatici censiti sui processi, proposto in sede di Offerta Tecnica (Lotto II)

Penale di € 100,00 per ogni test non effettuato

In caso di mancato rispetto del numero di informazioni da rilevare su ciascuna scheda di test degli ITGC, proposto in sede di Offerta Tecnica (Lotto II)

Penale di € 100,00 per ogni informazione non rilevata

In caso di mancato rispetto della tipologia di Tool utilizzato, indicata in sede di Offerta Tecnica (Lotto II)

Penale di € 500,00

Servizio di assistenza specialistica nelle attività di ......Roma. Costituita in società per...

Documents

Transcript of Servizio di assistenza specialistica nelle attività di ......Roma. Costituita in società per...