Norme di controllo

Transcript

Norme di controllo

PREFAZIONE
Il presente documento intitolato “Criteri-guida europei di applicazione delle norme di controllo
dell’INTOSAI” è stato elaborato, su incarico del Comitato di contatto dei Presidenti delle
Istituzioni superiori di controllo dell’Unione europea (ISC), da un gruppo di lavoro al quale
hanno partecipato, sotto la presidenza di un rappresentante della Corte dei conti europea,
funzionari delle sei Istituzioni nazionali di controllo seguenti:
Rigsrevisionen/Danimarca
Tribunal de Cuentas/Spagna
Corte dei Conti/Italia
Algemene Rekenkamer/Paesi Bassi
Riksrevisionsverket/Svezia
National Audit Office/Regno Unito
I quindici criteri-guida ora presentati costituiscono un valido esempio della collaborazione sempre
più intensa tra le ISC e l’Unione europea in ambiti di interesse comune. Vorrei pertanto
ringraziare cordialmente i Presidenti delle ISC interessate.
Tengo a ringraziare in particolare i membri del gruppo di lavoro; con grande competenza e
impegno essi hanno redatto un manuale che, spero, sarà di utilità ad un numero sempre maggiore
di controllori nell’Unione europea e altrove.
Prof. Dr. Bernhard Friedmann
Presidente
Corte dei conti europea
Lussemburgo, 1998
Comitato di contatto dei Presidenti
delle ISC dell’Unione europea
Gruppo ad hoc sulle norme di controllo
Criteri-guida europei di attuazione
delle norme di controllo dell’INTOSAI
Indice
INTRODUZIONE TECNICA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME
DI CONTROLLO DELL’INTOSAI
GRUPPO 1
N. 11
N. 12
N. 13
PREPARAZIONE DEL CONTROLLO . . . . . . . . . . . . . . . . . . . . . . . 8
PROGRAMMAZIONE DEL CONTROLLO . . . . . . . . . . . . . . . . . 8
RILEVANZA E RISCHI DI CONTROLLO . . . . . . . . . . . . . . . . . 17
ELEMENTI PROBATORI E METODO DI CONTROLLO . . . . . 26
GRUPPO 2 OTTENIMENTO DI ELEMENTI PROBATORI . . . . . . . . . . . . . . .
N. 21 VALUTAZIONE DEL CONTROLLO INTERNO E
TEST SUL CONTROLLO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
N. 22 CONTROLLO DEI SISTEMI INFORMATICI . . . . . . . . . . . . . .
N. 23 IL CAMPIONAMENTO A FINI DI CONTROLLO . . . . . . . . . . .
N. 24 LE PROCEDURE ANALITICHE . . . . . . . . . . . . . . . . . . . . . . . .
N. 25 L’USO DEI LAVORI DI ALTRI CONTROLLORI ED ESPERTI
N. 26 DOCUMENTAZIONE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
34
34
44
72
77
89
96
GRUPPO 3 COMPLETAMENTO DEL CONTROLLO . . . . . . . . . . . . . . . . . . 100
N. 31 STESURA DELLE RELAZIONI . . . . . . . . . . . . . . . . . . . . . . . . 100
N. 32 ALTRE INFORMAZIONI PRESENTATE NEI
DOCUMENTI CHE CONTENGONO I RENDICONTI
FINANZIARI CONTROLLATI . . . . . . . . . . . . . . . . . . . . . . . . . 104
GRUPPO 4 CONTROLLO SULLA GESTIONE . . . . . . . . . . . . . . . . . . . . . . . . 109
N. 41 IL CONTROLLO SULLA GESTIONE . . . . . . . . . . . . . . . . . . . 109
GRUPPO 5
N. 51
N. 52
N. 53
QUESTIONI VARIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
GARANZIA DELLA QUALITÀ . . . . . . . . . . . . . . . . . . . . . . . .
LE IRREGOLARITÀ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
PROMUOVERE LE BUONE PRATICHE CONTABILI . . . . . .
130
130
133
151
GLOSSARIO DEI TERMINI DELLE NORME DI CONTROLLO
DELL’INTOSAI
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168
INTRODUZIONE TECNICA
Il contesto del lavoro del gruppo ad hoc
1.
Il gruppo di lavoro ad hoc sulle norme di controllo è stato costituito dal Comitato di
contatto dei presidenti delle Istituzioni superiori di controllo dell’Unione europea nella
riunione del 24 e 25 settembre 1991, a Madrid. Il gruppo era composto inizialmente dei
rappresentanti delle ISC di Danimarca, Spagna, Italia e Paesi Bassi. L’ISC del Regno
Unito ha aderito al gruppo nel 1994 e l’ISC della Svezia nel 1996. Il gruppo ad hoc era
presieduto dalla Corte dei conti europea(1).
2.
Il lavoro del gruppo ad hoc verteva sugli aspetti metodologici attinenti all’esecuzione dei
controlli di attività per le quali le ISC dei paesi dell’Unione europea partecipanti hanno
un interesse congiunto o comune. Le norme di controllo dell’INTOSAI propongono un
iter metodologico comune che raccoglie la grande diversità delle tradizioni del controllo
pubblico degli Stati membri dell’UE ed il gruppo ad hoc ha cercato di costruire tale iter
comune elaborando una serie di quindici criteri-guida. Essi illustrano secondo quali
modalità le norme di controllo dell’INTOSAI possono essere applicate nell’ambito del
controllo di un’attività nell’Unione europea. Il gruppo ha cercato di sviluppare criteriguida in tutti i settori principali del processo di controllo. A titolo di esempio, la norma
applicativa sul campo dell’INTOSAI sugli “elementi probatori” è sviluppata in quattro
criteri-guida relativi a “Elementi probatori e metodo di controllo”, “Il campionamento a
fini di controllo”, “L’uso dei lavori di altri controllori ed esperti” e “Altre informazioni
presentate nei documenti che contengono i rendiconti finanziari controllati”. Durante lo
sviluppo dei propri criteri-guida, il gruppo ha inoltre preso atto delle norme internazionali
di controllo della Federazione internazionale degli esperti contabili.
3.
Benché il compito iniziale del gruppo fosse quello di fornire una metodologia comune
per i controlli congiunti o coordinati(2) svolti dalle ISC dell’UE, il gruppo si compiace di
osservare che il suo progetto di criteri-guida è stato utilizzato da alcune singole ISC,
soprattutto in occasione di una revisione fondamentale dei loro metodi di lavoro attinenti
al controllo - in risposta, ad esempio, alla nuova legislazione nazionale. Nel paragrafo
(1)
Hanno partecipato alle riunioni del gruppo ad hoc:
DK:
ES:
IT:
NL:
UK:
S:
CCE:
(2)
Sig. H. Otbo; Sig. M. Levysohn
Sig. J. Corral, Sig.ra M.L. Martin Sanz, Sig. V. Manteca Valdelande
Sig. G. Clemente, Sig. E. Colasanti, Sig. C. Costanza, Sig. B. Manna
Sig.ra M.L. Bemelmans-Videc
Sig. S. Ardron, Sig. J. D. Thorpe
Sig. F. Cassel
Sig. N. Schmidt-Gerritzen (Presidente), Sig. T. M. James, Sig. B. Albugues, Sig. J. Eilbeck,
Sig. N. Usher
In un controllo congiunto, le ISC partecipanti stabiliscono gli stessi obiettivi di controllo al fine di esaminare,
nell’ambito delle rispettive competenze, la stessa questione. In un controllo coordinato, ogni ISC partecipante
esamina una questione comune e, sebbene gli obiettivi di controllo di ciascuna di esse possano essere diversi,
tra le ISC interessate si instaura una stretta cooperazione che consente lo scambio di informazioni, arricchendo
così i singoli controlli di ciascuna di esse.
-3-
10 dell’introduzione si accenna ulteriormente all’uso potenziale dei criteri-guida in tal
senso.
4.
La serie completa dei quindici “Criteri-guida europei di applicazione” e la loro relazione
con le norme di controllo dell’INTOSAI sono illustrate nel grafico alla fine
dell’introduzione. Essi si ripartiscono in cinque gruppi:
Gruppo 1 Gruppo 2 Gruppo 3 Gruppo 4 Gruppo 5 -
tre criteri-guida pertinenti alla preparazione del controllo;
sei criteri-guida pertinenti all’ottenimento degli elementi probatori;
due criteri-guida pertinenti al completamento del controllo;
un criterio-guida relativo al controllo sulla gestione;
tre criteri-guida relativi a questioni varie.
Nello svolgimento del proprio lavoro, il gruppo ad hoc ha ricevuto i suggerimenti e il
sostegno dei Presidenti e degli agenti di collegamento delle ISC dell’UE nonché dei
controllori di molte di queste organizzazioni (in specie degli agenti delle ISC
rappresentate nel gruppo ad hoc). Il gruppo coglie l’occasione di esprimere i suoi
ringraziamenti per l’appoggio ricevuto. Si spera di aver ricompensato l’impegno di tutti
i colleghi con l’elaborazione di criteri-guida che si rivelino utili per il loro lavoro.
5.
Il gruppo desidera inoltre esprimere il suo apprezzamento per il gravoso lavoro di
traduzione dei criteri-guida e degli altri documenti dalla lingua di lavoro (inglese) nelle
altre dieci lingue ufficiali dell’UE. Gran parte di tale compito è stato svolto dal Servizio
di traduzione della Corte dei conti europea, ma il gruppo desidera altresì porgere i suoi
ringraziamenti ai numerosi esperti degli Stati membri delle ISC e della Corte dei conti
europea che hanno prestato il loro aiuto in quest’opera.
Una base metodologica comune
6.
Sebbene tali criteri-guida siano più particolareggiati delle norme di controllo
dell’INTOSAI, essi non equivalgono tuttavia a procedure di lavoro dettagliate per singoli
controllori, poiché il gruppo di lavoro è dell’avviso che ciascuna ISC debba decidere le
proprie procedure specifiche, considerando la realtà, le tradizioni e la legislazione
nazionali. I criteri-guida rappresentano nondimeno una base comune a cui far riferimento
e da adottare a titolo facoltativo in tutte le ISC dell’UE, nel quadro dei metodi di
controllo messi in atto da ciascuna di esse, per qualsiasi esame delle attività nell’UE - che
venga espletato sia unicamente a livello nazionale, sia congiuntamente o di concerto con
le altre ISC, a livello internazionale. L’uso di tali criteri-guida dovrebbe assistere le ISC
a tenere fede alle proprie responsabilità in modo economico, efficiente ed efficace.
7.
Molte ISC degli Stati membri dell’UE hanno adottato metodologie di controllo basate
in misura maggiore o in modo più esplicito su norme di controllo nazionali, anziché sulle
norme dell’INTOSAI. A loro volta le norme di controllo nazionali sono spesso
strettamente connesse alle norme di controllo internazionali elaborate dalla Federazione
internazionale degli esperti contabili (IFAC). Nel corso dei suoi lavori il gruppo ad hoc
ha tenuto conto di un raffronto, eseguito dalla Corte dei conti europea, tra le norme
INTOSAI e le norme IFAC. Tale raffronto ha messo in luce che, sebbene i due gruppi di
norme si distinguano per il grado di specificità e per la terminologia, le differenze non
hanno un’incidenza consistente sulle relative metodologie di controllo. Il gruppo ad hoc
-4-
ritiene quindi che i criteri-guida europei di applicazione possano essere utilizzati da tutte
le ISC dell’Unione europea.
8.
Due criteri-guida contengono un glossario in cui si spiegano taluni termini specifici. Per
i termini di carattere più generale utilizzati nei presenti criteri-guida, si consulti il
glossario pubblicato nelle norme di controllo dell’INTOSAI, presentato alla fine del
testo(3).
Una “dimensione dell’Unione europea”
9.
Il gruppo ad hoc ha cercato soprattutto, preparando i criteri-guida, di mettere in evidenza
la “dimensione dell’Unione europea”. I casi in cui un particolare aspetto europeo possa
incidere sulla modalità di svolgimento del lavoro di un singolo controllore vengono
segnalati nel testo del criterio-guida; ad esempio, il criterio-guida n. 52 “Le irregolarità”
contiene una sintesi della legislazione UE pertinente.
10.
Il gruppo ritiene nondimeno che la principale dimensione dell’Unione europea dei criteriguida sia data dal fatto che i criteri presentano una base tecnica comune suscettibile di
essere adottata da tutte le ISC dell’UE, a titolo facoltativo, nel quadro dei singoli metodi
di controllo messi in atto da ciascuna ISC. In altre parole, il gruppo ad hoc è dell’avviso
che la dimensione dell’Unione europea più significativa risieda nell’accettabilità generale
dei criteri-guida da parte di tutte le sette ISC che hanno partecipato al gruppo di lavoro
e che, tra loro, rappresentano a grandi linee gli aspetti principali delle tradizioni del
controllo pubblico e delle strutture organizzative di tutte le ISC dell’UE.
Un ruolo più vasto per i criteri-guida?
11.
Il lavoro basilare di elaborazione dei quindici criteri-guida è stato distribuito in sei anni,
con un ulteriore anno per apportare le ultime modifiche editoriali e preparare l’insieme
completo per la pubblicazione. L’Europa (ed il mondo, in realtà) non si è fermato in
questo periodo e si sono verificati molti cambiamenti che incideranno sul controllo
pubblico e sulle condizioni in cui il controllo viene svolto nell’Unione europea.
Probabilmente gli eventi più significativi sono state le iniziative finalizzate
all’ampliamento dell’UE, in particolare, le misure preparatorie attuate nei paesi
dell’Europa centrale e orientale e nei nuovi Stati indipendenti. Il gruppo ad hoc si è
compiaciuto di apprendere che i propri criteri-guida, benché ancora in fase di progetto,
fossero stati messi a disposizione delle ISC di tali paesi e di ricevere un feedback positivo
da alcuni di questi organismi. Il gruppo ritiene che i criteri-guida possano assumere un
ulteriore ruolo utile, non previsto nel 1991 quando i lavori hanno avuto inizio - per le ISC
di tali paesi al fine di preparare l’adesione all’Unione e auspica che il proprio lavoro
costituisca un utile contributo in questo campo.
(3)
Nei casi in cui vi sia una traduzione ufficiale delle norme di controllo dell’INTOSAI, il glossario
dell’INTOSAI è riprodotto nella versione linguistica opportuna. Negli altri casi, è stata riprodotta la versione
inglese.
-5-
La natura consultiva dei criteri-guida
12.
I presenti criteri-guida sono stati concepiti come uno strumento consultivo facoltativo,
a disposizione delle ISC. Va detto che nella versione originale in lingua inglese ci si è
avvalsi spesso del termine “should”. In questi casi, il termine è stato utilizzato dal gruppo
per sottolineare una prassi o procedura che raccomanda vivamente.
Osservazioni
13.
Il gruppo auspica che ci sia un’interazione con gli utenti in modo da poter aggiornare e
migliorare i criteri-guida. Le eventuali osservazioni vanno inviate al gruppo responsabile
dei metodi di lavoro, Direzione ADAR, Corte dei conti europea, 12, rue Alcide De
Gasperi, L-1615 Lussemburgo.
-6-
POSTULATI DI
BASE INTOSAI
NORME
APPLICATIVE
SUL CAMPO
CONTROLLO
INTERNO
PROGRAMMAZIONE
PROGRAMMAZIONE DEL
CONTROLLO
RILEVANZA E
RISCHI DEL
CONTROLLO
VALUTAZIONE DEL
CONTROLLO
INTERNO
CONTROLLO DEI
SISTEMI
INFORMATICI
FORMA E
CONTENUTO
RISPETTO DELLA
LEGISLAZIONE E DELLE
REGOLAMENTAZIONI
SUPERVISIONE ED
ESAME
#11
ELEMENTI
PROBATORI
ELEMENTI
PROBATORI E
METODO DI
CONTROLLO
#12
#21
CAMPIONAMENTO A FINI DI
CONTROLLO
#22
ANALISI DELLE
ENUNCIAZIONI
Preparazione del
controllo
INDIPENDENZA,
COMPETENZA,
ACCURATEZZA ECC.
NORME DI
STESURA DELLE
RELAZIONI
#13
#23
#24
PROMUOVERE LE
BUONE PRATICHE
CONTABILI
#51
#52
GARANZIA DELLA
QUALITÀ
#41
DOCUMENTAZIONE
USO DEI LAVORI DI #25
ALTRI CONTROLLORI
ED ESPERTI
#32
#53
#26
PROCEDURE
ANALITICHE
ALTRE
INFORMAZIONI
#31
STESURA DELLE
RELAZIONI
#41
IRREGOLARITÀ
CONTROLLO
SULLA GESTIONE
CRITERI-GUIDA EUROPEI
NU, 16 FEBRUARY 1998 - S:\COURANT\MET\WM\ADHOCGP\GENERAL\DIAGU5.XLS
-7-
Ottenimento degli elementi
probatori
NORME
GENERALI
Completamento del
controllo
NORME INTOSAI
GRUPPO 1 PREPARAZIONE DEL CONTROLLO
CRITERI-GUIDA EUROPEI DI APPLICAZIONE
DELLE NORME DI CONTROLLO DELL’INTOSAI
N. 11
PROGRAMMAZIONE DEL CONTROLLO
INDICE
Paragrafi
Norma di controllo dell'INTOSAI
I vantaggi e gli obiettivi della programmazione del controllo
I diversi livelli della programmazione
La programmazione di un compito di controllo
-
Il lavoro da svolgere nella fase di preprogrammazione
Contenuto tipico di un piano di controllo
1
2
3
4
Allegato 1
Appendice 1
Appendice 2
--------------------
1.
Riferimento alle norme di controllo dell’INTOSAI
1.1. Il paragrafo 132 delle norme di controllo dell'INTOSAI stabilisce quanto segue:
"Il controllore deve programmare il controllo in modo da garantire l'espletamento di un
controllo di qualità elevata in modo economico, efficiente, efficace e tempestivo."
-8-
2.
I vantaggi e gli obiettivi della programmazione del controllo
2.1. La programmazione presenta tre caratteristiche utili per le Istituzioni superiori di controllo
(ISC):
(a) la razionalità: l'applicazione ed i risultati della programmazione agevolano una
valutazione coerente dei compiti delle ISC e la definizione di obiettivi chiari;
(b) l'inquadramento cronologico: i compiti da assolvere sono organizzati in un quadro
cronologico, che consente di avere una visione più chiara delle priorità;
(c) il coordinamento: il coordinamento delle politiche di controllo delle ISC e del lavoro
di controllo effettivo.
2.2. La programmazione del controllo si prefigge i seguenti obiettivi:
(a) definire secondo quali modalità saranno assolti gli obblighi dettati dalla normativa e
rispettate altre priorità del controllo;
(b) individuare la portata, gli obiettivi e i risultati attesi dai controlli;
(c) definire il modo in cui saranno reperiti ed analizzati gli elementi probatori relativi al
controllo, necessari per conseguire gli obiettivi;
(d) individuare le risorse che risulteranno necessarie e che saranno effettivamente
impiegate per i controlli ed elaborare previsioni in termini di costo e di tempo;
(e) consentire ai responsabili della gestione di esercitare una supervisione ed un controllo
sui singoli controlli, nonché sull'ISC nel suo complesso.
3.
I diversi livelli della programmazione
3.1. Di solito le richieste e le aspettative riposte nelle ISC superano le risorse disponibili. Per
questo motivo molte ISC hanno istituito strutture di programmazione gerarchiche, grazie
alle quali i programmi dei singoli compiti di controllo nel tempo vengono aggregati per
ottenere un quadro globale a lungo termine. Il presente criterio-guida verte principalmente
sulla programmazione dei compiti di controllo. Tuttavia, è importante che il singolo
controllore sia consapevole del fatto che l'inosservanza delle previsioni e il mancato
conseguimento degli obiettivi in relazione ad un dato compito di controllo, incidono non
solo sul compito in causa, ma anche sulle altre attività dell'ISC. Viceversa, quando è
possibile assolvere i compiti di controllo rispettando la qualità auspicata, ad un minor costo
rispetto a quello di previsione e prima del termine previsto (ad esempio, grazie a
miglioramenti sotto il profilo dell'efficienza), ne consegue una maggiore capacità dell'ISC
di soddisfare le altre richieste e le aspettative in essa riposte.
4.
4.1. Per compito di controllo si intende un lavoro di controllo a sé stante e circoscrivibile, che
di norma si conclude con la stesura, da parte della ISC, di un parere, di una dichiarazione,
di una relazione o con un contributo distinto alla relazione annuale delle ISC. Usualmente
un compito di controllo è caratterizzato da obiettivi chiaramente definiti e verterà su
un'unica attività o su un gruppo chiaramente individuabile di attività, programmi o
organismi (l'"organismo controllato"). Gli obiettivi possono consistere in un audit
-9-
finanziario, in un controllo di legittimità e di regolarità o di gestione, oppure in una
combinazione di questi.
4.2. Nell'ALLEGATO 1 figurano ulteriori indicazioni orientative utili per la programmazione
di un compito di controllo.
4.3. Per conseguire miglioramenti sotto il profilo dell'economia, dell'efficienza e dell'efficacia,
è indispensabile che l'ISC valuti - per ciascun compito di controllo - il proprio rendimento
rispetto agli obiettivi ed al programma di controllo, e che ne tragga eventuali insegnamenti.
Di norma rientrerà nelle funzioni degli amministratori competenti svolgere tale disamina
e comunicarne i risultati ai dirigenti interessati. Alcune ISC hanno dato maggior peso a
questa funzione elaborando forme di controllo indipendenti, che attengono alla garanzia
della qualità oppure al controllo interno (cfr. il criterio-guida n. 51 "Garanzia della
qualità").
- 10 -
Allegato 1, pagina 1
ALLEGATO 1: LA PROGRAMMAZIONE DI UN COMPITO DI CONTROLLO
1.
A prescindere dagli obiettivi, un compito di controllo di norma comprende le seguenti fasi:
(a)
.
.
.
.
Fase preliminare:
raccolta ed analisi iniziale delle informazioni;
valutazione preliminare dei sistemi e dei controlli;
definizione circostanziata degli obiettivi del controllo;
stima iniziale del fabbisogno in termini di risorse e predisposizione di un calendario.
(b)
.
.
.
.
Fase della programmazione:
elaborazione ed esame del piano di controllo;
collegamento con l'organismo oggetto del controllo;
predisposizione dei programmi di controllo;
approvazione del piano.
(c)
.
.
.
Fase del lavoro sul campo:
raccolta e valutazione degli elementi probatori ai fini del controllo;
stesura delle prime conclusioni;
esame intermedio; individuazione ed approvazione di eventuali cambiamenti da
apportare al piano di controllo.
(d)
.
.
.
Fase della stesura della relazione:
progetto ed esame di conclusioni, pareri, raccomandazioni e/o relazioni ("risultati");
esame, approvazione e pubblicazione dei risultati;
raffronto interno delle risorse impiegate con quelle assegnate in conformità del piano
di controllo;
valutazione del rendimento del personale che ha espletato il controllo.
.
(e) Fase successiva alla stesura della relazione:
. monitoraggio dell'impatto del controllo.
Le fasi descritte non sono necessariamente distinte e possono sovrapporsi in una certa
misura.
2.
L'efficacia di un piano di controllo dipende dal lavoro svolto nella fase di
preprogrammazione. L'appendice 1 del presente allegato fornisce ulteriori informazioni in
materia.
3.
Il piano relativo al compito di controllo rappresenta, di fatto, la relazione attinente alla fase
preliminare. Inoltre, questo documento consente ai dirigenti interessati dell'ISC di
esaminare il lavoro di preprogrammazione, di approvare i criteri metodologici, le previsioni
ed il calendario del controllo, nonché di stanziare le risorse necessarie. Esso costituisce
altresì la base su cui gli amministratori competenti dell'ISC si fondano per verificare lo
svolgimento del controllo e procedere ad una valutazione a posteriori del suo
espletamento. Infine, il piano del compito di controllo si inserisce nel complesso dei piani
- 11 -
che globalmente costituisce la programmazione e contribuisce alla gestione globale e a
lungo termine delle risorse dell'Istituzione.
4.
Il piano relativo al compito di controllo è un documento chiave. Deve essere predisposto
tempestivamente e contenere tutte le informazioni necessarie, pur rimanendo chiaro e
conciso. Non è possibile prefigurare il contenuto esatto di un piano del tipo suddetto, ma
alcune caratteristiche sono comuni alla maggior parte di essi e sono descritte sinteticamente
nell'appendice 2 del presente allegato.
5.
La programmazione del controllo è un processo dinamico. Per conseguire gli obiettivi del
controllo, può risultare necessario apportare modifiche al piano originario man mano che
il controllo procede. Le ISC dovrebbero porre in essere una procedura per l'esame e
l'approvazione di tali modifiche.
- 12 -
Allegato 1, Appendice 1, pagina 1
Appendice
1:
IL
LAVORO
PREPROGRAMMAZIONE
DA
SVOLGERE
NELLA
FASE
DI
Spesso, molte informazioni necessarie nella fase preliminare sono disponibili presso l'ISC (ad
esempio, nei fascicoli correnti degli anni precedenti o nei fascicoli permanenti). In questi casi il
lavoro della fase di preprogrammazione comporta l'aggiornamento di queste informazioni,
tenendo conto di eventuali cambiamenti di rilievo.
Il testo schematico che segue illustra il lavoro che di solito occorre svolgere nella fase di
preprogrammazione:
1.
Conoscenza dell'organismo controllato
1.1. Il controllore deve individuare gli aspetti rilevanti dell'ambito in cui opera l'organismo
controllato. Deve, pertanto, prendere in considerazione i seguenti fattori:
.
.
compiti dell'organismo;
input
risorse e finanziamenti;
quadro normativo;
personale (quantità e qualità);
.
output
-
portata e validità dei risultati conseguiti in funzione dei compiti
dell'organismo;
esigenze e vincoli in termini di tempo;
quadro normativo;
natura del "mercato" in cui l'organismo opera;
confronti nazionali ed internazionali;
relazioni statutarie e non statutarie;
considerazioni sugli aspetti geografici e le comunicazioni.
1.2. Il controllore deve pervenire a conoscere le modalità secondo cui l'organismo controllato
opera nel proprio ambito. Ed in particolare:
.
organizzazione -
organigramma e funzioni;
principali sistemi e controlli di gestione;
principali sistemi e controlli finanziari.
1.3. Per riuscire a conoscere l'organismo controllato e l'ambito in cui opera, il controllore
spesso ricorrerà anche alle tecniche di esame analitiche (cfr. il criterio-guida n. 24 “Le
procedure analitiche”), per analizzare, confrontare e valutare i dati pertinenti a
disposizione.
- 13 -
2.
L'influenza dell'organismo controllato sul controllo
2.1. Il controllore deve stabilire in che modo le operazioni e l'ambito relativi all'organismo
controllato possono incidere sul controllo. In particolare:
.
quali sono i rischi intrinseci (cfr. il criterio-guida n. 12 “Rilevanza e rischi di
controllo”), cioè insiti nelle attività in causa e che derivano dall'organizzazione e
dall'ambito specifici dell'organismo?
.
.
Quali sono i rischi intrinseci generalmente connessi al tipo di organismo in causa?
Quali controlli sono stati previsti dalla direzione dell'organismo per premunirsi contro
tali rischi e con quale grado di probabilità saranno efficaci?
In particolare, nel contesto europeo, quali fattori speciali sono presenti e quale
incidenza potranno avere sul controllo?
.
Per rispondere ai quesiti suddetti, occorre una valutazione preliminare dei sistemi e dei
controlli chiave (cfr. il criterio-guida n. 21 "Valutazione del controllo interno e test sul
controllo").
3.
L'ambito interessato dal controllo e gli obiettivi del controllo
3.1. Il controllore deve considerare la forma, il contenuto e gli utenti dei risultati del controllo.
Deve quindi specificare gli obiettivi del controllo (questi devono essere ben circostanziati,
specie nel caso dei controlli di gestione, poiché ciò consente al controllore di definire i
criteri in base ai quali stimerà e valuterà gli elementi probatori reperiti).
3.2. Una definizione chiara degli obiettivi del controllo sarà di ausilio al controllore nello
stabilire la rilevanza degli aspetti da considerare (cfr. il criterio-guida n. 12 "Rilevanza e
rischi di controllo").
4.
Elementi probatori ai fini del controllo
4.1. Il controllore deve determinare con precisione gli elementi probatori necessari per
conseguire gli obiettivi del controllo. Saranno considerati i seguenti aspetti:
.
.
.
(1)
l'adeguatezza degli elementi probatori:
- sufficienza;
- attendibilità;
la pertinenza degli elementi probatori;
la ragionevolezza degli elementi probatori(1).
Secondo la definizione data dal glossario delle norme di controllo dell'INTOSAI, sono elementi probatori
ragionevoli "informazioni ottenute rispettando il criterio dell'economicità, nel senso che il costo per il loro
reperimento è proporzionato al risultato che il controllore o l'ISC si prefigge di conseguire".
- 14 -
4.2. Applicando questa procedura, il controllore può stabilire:
.
.
.
il metodo di controllo da adottare;
le fonti da cui attingere gli elementi probatori e le tecniche da applicare per ottenerli;
le verifiche necessarie e la loro portata.
4.3. Per ulteriori indicazioni orientative al riguardo, cfr. il criterio-guida n. 13 "Elementi
probatori e metodo di controllo".
5.
Risorse ai fini del controllo
5.1. Dopo aver definito la natura, il tipo, la quantità, le fonti e le tecniche per ottenere gli
elementi probatori, il controllore è in grado di valutare le risorse necessarie per raccogliere
ed analizzare gli elementi suddetti, base dei risultati del controllo.
In questa fase si considerano i seguenti parametri:
.
.
.
.
.
6.
le qualifiche necessarie per espletare il controllo in causa e quindi il personale a cui
affidarlo;
le qualifiche specifiche interne (controllo informatico);
il possibile ricorso ad esperti esterni, al controllore interno dell'organismo, ad altri
controllori (cfr. il criterio-guida n. 25 “L’uso dei lavori di altri controllori ed esperti”);
l'ubicazione geografica degli elementi probatori, il grado di accessibilità (problemi
potenziali pertinenti), nonché i costi in gioco;
il calendario del controllo.
Documentazione
6.1. Il controllore deve documentare con cura i risultati del lavoro di preprogrammazione. Le
conclusioni chiave da esso tratte costituiscono la base del piano di controllo; questa
documentazione, inoltre, deve essere messa a disposizione dei responsabili della
supervisione e dell'approvazione del piano.
7.
Scambio di vedute con l'organismo controllato
7.1. A seconda della politica e della prassi seguite dall'ISC, quest'ultima può ritenere utile
discutere i risultati dei lavori di preprogrammazione sopra trattati con l'organismo
controllato.
- 15 -
Appendice 2: CONTENUTO TIPICO DI UN PIANO DI CONTROLLO
1.
Quadro normativo in cui si iscrive il controllo.
2.
Breve descrizione dell'attività, del programma o dell'organismo oggetto del controllo
(corredata di una sintesi dei risultati dei controlli precedenti e del loro impatto).
3.
Le motivazioni del controllo.
4.
I fattori che incidono sul controllo, ivi compresi quelli che determinano la rilevanza degli
aspetti da considerare.
5.
Valutazione dei rischi.
6.
Obiettivi del controllo.
7.
Portata del controllo e metodo: quali elementi probatori devono essere acquisiti per
conseguire gli obiettivi del controllo, dove, quando, come?
.
.
.
.
.
.
8.
soglie di rilevanza;
sistemi da valutare e sottoporre a test;
strategie di campionamento;
dimensioni previste dei campioni;
ricorso ad altri controllori/esperti;
previsione di eventuali problemi particolari.
Risorse necessarie in funzione di ogni fase:
.
.
.
.
.
personale addetto al controllo (descrizione precisa), funzioni;
personale specializzato (quale ed in quali settori);
esperti esterni;
spostamenti necessari;
previsioni in termini di tempo e di costo.
9.
Nei casi opportuni, stima dell'onorario da addebitare per l'espletamento del controllo.
10.
Informazioni sugli agenti di collegamento presso l'organismo controllato.
11.
Calendario del controllo e data alla quale il progetto di relazione sarà disponibile per essere
esaminato a livello interno.
12.
Forma, contenuto e utenti dei risultati finali.
- 16 -
N. 12
RILEVANZA E RISCHI DI CONTROLLO
INDICE
Paragrafi
Norme di controllo dell'INTOSAI
Rilevanza e rischi di controllo
1
2
Rilevanza
Rischi di controllo
Allegato 1
Allegato 2
--------------------
1.
1.1
La spiegazione delle norme di controllo dell'INTOSAI (paragrafo 9) stabilisce quanto
segue:
"In generale, un elemento può essere giudicato rilevante quando la sua conoscenza
potrebbe influenzare l'utilizzatore dei consuntivi finanziari o la stesura di una relazione sul
controllo di gestione".
Nell'ambito di un controllo finanziario, l'obiettivo del controllore consiste, in genere, nello
stimare il livello globale di errore, di dichiarazioni non corrette o di irregolarità, e, qualora
sia ritenuto rilevante, segnalarlo all'utilizzatore dei consuntivi finanziari.
2.
Validità e rischi di controllo
2.1. Il paragrafo 152 delle norme di controllo dell’INTOSAI indica che:
"Per avvalorare il giudizio e le conclusioni del controllore, si devono reperire elementi
probatori adeguati, pertinenti e ad un costo ragionevole..."
2.2. Il controllore deve pertanto ottenere una ragionevole certezza che i consuntivi finanziari
esaminati non contengano errori rilevanti.
- 17 -
2.3. L'opposto di tale garanzia è costituito dal rischio di controllo, il rischio cioè che il
controllore approdi alla conclusione errata riguardo ai consuntivi finanziari in esame,
ovvero che non esprima una riserva su consuntivi finanziari che contengono, di fatto, errori
significativi.
"Il controllore deve programmare il controllo in modo da garantire l'espletamento di un
controllo di qualità elevata in modo economico, efficiente, efficace e al momento
opportuno."
2.5. Pertanto, nel programmare il controllo, il controllore deve formulare un giudizio riguardo
al livello globale di errori o di dichiarazioni errate suscettibile di influenzare gli utilizzatori
dei consuntivi finanziari (la soglia di validità)(1). Il controllore deve inoltre garantire che
il rischio di controllo assunto non comprometta la qualità del controllo.
2.6. Le decisioni riguardanti la soglia di validità e il rischio di controllo accettabile avranno
entrambe ripercussioni sulla mole di lavoro da compiere e quindi sull'economia,
sull'efficienza e sull'efficacia del controllo.
2.7. L'ALLEGATO 1 fornisce ulteriori orientamenti in materia di validità, mentre
l'ALLEGATO 2 spiega il significato del rischio di controllo nella programmazione e
nell'espletamento di un controllo.
(1)
La soglia di validità è spesso indicata come limite di validità o livello di validità. Il termine "soglia" è
preferibile in questo contesto poiché designa meglio la funzione di valore in concomitanza del quale il
controllore deve formulare un giudizio in merito alla linea di azione più appropriata.
- 18 -
ALLEGATO 1 - RILEVANZA
1. Introduzione
1.1. Nell'espletare un controllo finanziario, l'obiettivo del controllore consiste solitamente
nell'ottenere una ragionevole certezza che i consuntivi finanziari siano corretti e
sufficientemente completi ai fini di coloro che li utilizzano, cioè, nel settore pubblico, delle
autorità di bilancio nell'ambito della procedura di discarico. Così facendo, il controllore
intende garantire che i consuntivi finanziari non contengano errori significativi.
1.2. Eventuali errori o irregolarità dei consuntivi finanziari possono, nel complesso, essere
considerati rilevanti a fini di controllo (cioè significativi) quando gli utilizzatori di tali
consuntivi, cui gli errori in questione sono stati segnalati, ne verranno probabilmente
influenzati. Il controllore deve decidere qual è il livello massimo tollerabile di inesattezza
che consente di accettare i consuntivi finanziari. Tale livello può essere indicato come
"soglia di validità". A parità di altri elementi, più la soglia è elevata, più diminuisce il
numero delle verifiche di controllo necessarie.
1.3. La soglia di validità per l'esame dei consuntivi finanziari può essere determinata
direttamente, stabilendo un importo assoluto di denaro, o indirettamente, ricorrendo ad una
percentuale per calcolare tale importo (ad esempio X% della spesa lorda). Oltre a questo
concetto di validità in termini di valore , vi sono circostanze in cui talune categorie di conti
o di operazioni possono essere considerate rilevanti in virtù della loro natura (nel qual caso
la pubblicazione è particolarmente importante) o valide in virtù del contesto (ad esempio,
laddove un errore, altrimenti troppo irrilevante per essere significativo, trasforma un deficit
in un'eccedenza). Benché il controllore debba essere vigile riguardo a possibili casi di
rilevanza determinata dalla natura o dal contesto, questi verranno in genere trattati come
casi speciali nell'ambito della strategia di controllo. [Data la loro specificità è difficile
stabilire norme generali].
2. Utilizzazione della soglia di rilevanza
2.1. In fase di programmazione, la soglia di rilevanza aiuta a determinare la portata delle
verifiche necessarie per reperire elementi probatori di controllo adeguati. Nella fase di
stesura di una relazione, tale soglia viene utilizzata per valutare l'importanza di errori ed
irregolarità non coperti dal controllo, e aiuta a determinare se il controllore esprima o meno
delle riserve sui consuntivi finanziari.
3. Definizione della soglia di rilevanza
3.1. Nel definire una soglia di rilevanza globale adeguata, il controllore della pubblica
amministrazione deve considerare il proprio mandato particolare nonché il fatto che gli
utilizzatori dei conti pubblici sono in genere molto attenti alla questione della legittimità
e della regolarità. Le soglie di rilevanza per i compiti di controllotendono ad essere
prudenti (basse) a causa dell'interesse particolare della pubblica amministrazione per
l'esame della legittimità e della regolarità. Una soglia di rilevanza adeguata potrebbe
situarsi, ad esempio, tra lo 0,5% e il 2% del valore che riflette meglio il livello di attività
- 19 -
finanziaria di un organismo o un dato tema di controllo. Questa cifra di base corrisponderà
nella maggior parte di casi alle entrate totali o alla spesa totale (in determinate circostanze,
tuttavia, può trattarsi di un altro importo, come il patrimonio totale o il totale dei prestiti
assunti - nel qual caso può essere appropriato un margine percentuale diverso).
3.2. La fissazione di una soglia di rilevanza, che si tratti di un importo specifico di denaro o di
una percentuale, è una questione di valutazione per il controllore e quindi, ai fini di un
approccio coerente, un'importante questione di politica per l'ISC. L'elemento principale da
prendere in considerazione è la delicatezza, da un punto di vista politico, dell'area
interessata dai consuntivi finanziari. È possibile che una soglia di rilevanza globale
applicabile ad una serie completa di consuntivi finanziari o ad un'ampia sfera di controllo
debba essere accompagnata da soglie di rilevanza specifiche per campi o questioni più
delicati sotto il profilo politico.
4. Considerazioni tecniche
4.1. La soglia di rilevanza dovrebbe essere stabilita al livello più alto di errore che gli utilizzatori
potrebbero ritenere accettabile.
4.2. La soglia di rilevanza dovrebbe pertanto tener conto dei requisiti delle autorità di bilancio
e dell'interesse pubblico in generale.
4.3. In circostanze eccezionali, l'utilizzatore può giudicare più delicata una data parte di un
consuntivo finanziario o di un'area di controllo. In questi casi, il controllore deve valutare
se sia più indicato stabilire una soglia di rilevanza meno elevata e controllare separatamente
la parte in questione, oppure intraprendere la verifica degli elementi chiave.
4.4. Può essere necessario rivedere la soglia di rilevanza prestabilita per un controllo a causa
della mutata sensibilità politica, o perché il valore globale dei consuntivi finanziari differisce
in modo significativo dal valore stimato nel definire la soglia di rilevanza in fase di
programmazione. Il controllore deve essere ben consapevole della necessità di tale
revisione.
4.5. Di norma, la determinazione di soglie di rilevanza è una questione che rientra nella politica
dell'ISC, o per quanto riguarda il modo preciso in cui viene stabilita ed approvata la soglia
come elemento di base nella programmazione del controllo, o per uanto concerne l'importo
effettivo della soglia per un controllo particolare.
4.6. La soglia di rilevanza è utilizzata per valutare l'importanza dell'impatto di errori non
considerati dal controllo, stimando in base ai risultati di quest'ultimo il probabile errore
globale nei consuntivi finanziari e confrontandolo con la soglia di rilevanza.
4.7. Se la stima dell'errore globale supera la soglia di rilevanza, il controllore dovrebbe
riesaminare attentamente tutti gli elementi probanti in suo possesso, compreso il margine
di errore possibile nelle procedure statistiche di stima e nelle estrapolazioni, al fine di poter
esprimere delle riserve sui consuntivi finanziari oggetto del controllo.
- 20 -
4.8. Dal momento che i giudizi del controllore in merito alle soglie di rilevanza, sia prima che
durante il controllo, sono fondamentali per il suo espletamento e per l'interpretazione finale
dei risultati, essi dovrebbero essere accuratamente giustificati nei documenti di lavoro e
sottoposti all'esame attento e all'approvazione dei responsabili dell'attività di controllo.
- 21 -
ALLEGATO 2 - RISCHI DI CONTROLLO
1.
Introduzione
1.1. Per rischio di controllo (audit risk - AR) si intende il rischio che il controllore non esprima
una riserva su consuntivi finanziari che presentano irregolarità o errori rilevanti. Dato che
è quasi sempre inattuabile ricostrure tutte le operazioni alla base di una serie di consuntivi
finanziari, il controllore deve accettare un certo livello di rischio di controllo. Spetta all'ISC
determinare, in quanto parte della propria politica, tale livello. Date le attese degli
utilizzatori dei consuntivi finanziari prodotti da organismi pubblici, specie in materia di
legittimità e regolarità, le ISC solitamente accettano solo livelli di rischio di controllo molto
bassi - pari spesso ad appena l'1%.
1.2. Il rischio di controllo presenta tre componenti:
il rischio intrinseco (inherent risk - IR): il rischio, in primo luogo, che si verifichino
irregolarità o errori rilevanti;
il rischio di controllo interno (control risk - CR): il rischio che i controlli interni nell'ambito
dell'organismo controllato non riescano ad impedire o individuare una irregolarità o un
errore significativo;
il rischio di non individuazione (detect risk - DR): il rischio che una qualsiasi irregolarità
o errore rilevante, non corretto nel corso di controlli interni all'organizzazione, non venga
individuato dal controllore.
1.3. Il rischio intrinseco e il rischio di controllo interno differiscono dal rischio di non
individuazione in quanto si producono nell'ambito dell'organismo controllato. Il rischio di
non individuazione, d'altro canto, dipende dal controllore ed è connesso alla natura, alla
portata e al ritmo delle procedure applicate dal controllore. È attraverso il controllo di
questi fattori determinanti del rischio di non individuazione che il controllore può cercare
di raggiungere un livello di rischio del controllo accettabilmente basso.
1.4. Il controllore deve valutare i rischi intrinseci e di controllo interno e, sulla base di queste
stime, delineare procedure di convalida appropriate per ridurre il rischio di non
individuazione ad un livello che, a suo giudizio, corrisponda ad un livello adeguatamente
basso di rischio globale di controllo.
1.5. Esiste un rapporto tra la valutazione da parte del controllore del rischio intrinseco e di
controllo interno, da un lato, e il livello accettabile del rischio di non individuazione
dall'altro. Più alto è il livello di rischio intrinseco e/o di controllo interno stimato dal
controllore, più aumenta il lavoro di controllo da compiere per abbassare il livello di rischio
di non individuazione affinché sia raggiunto il livello auspicato di rischio di controllo.
- 22 -
2.
Il rischio intrinseco
2.1. Il rischio intrinseco dipende dalla natura dell'elemento e dell'organismo su cui verte il
controllo, nonché dalla misura in cui l'elemento in questione si presta all'errore. Per
valutare il rischio intrinseco il controllore deve compiere una valutazione dell'ambito in cui
opera l'organizzazione e delle caratteristiche degli elementi sottoposti al controllo.
2.2. Di norma la valutazione del rischio, compreso il rischio intrinseco ha luogo, nella fase
preliminare del controllo. Benché tale stima debba essere compiuta in modo
sufficientemente approfondito per poter giungere a conclusioni ponderate, non ne deve
necessariamente risultare un lungo processo. Laddove l'ISC espleta controlli annuali
dell'organismo interessato, una valutazione approfondita potrebbe essere eseguita, ad
esempio, ogni tre anni, mentre negli anni che intercorrono potrebbe aver luogo un breve
aggiornamento. Il controllore dovrebbe sempre tener conto degli insegnamenti tratti dai
controlli svolti in passato.
2.3. L'obiettivo di questa valutazione preliminare del rischio è di consentire al controllore di
tracciare un primo quadro dell'organismo e degli elementi su cui verte il controllo, in modo
da facilitare il processo di programmazione. Tale procedura si distingue dalla valutazione
approfondita dei controlli interni che diviene necessaria quando vengono intrapresi test sul
controllo nell'ambito del metodo globale di controllo.
3.
Rischio di controllo interno
3.1. Il rischio di controllo interno viene stimato mediante una valutazione approfondita dei
rispettivi sistemi di controllo interno e intraprendendo verifiche di conformità. Ulteriori
indicazioni orientative in materia sono fornite nel criterio-guida n. 21 "Valutazione del
controllo interno e test sul controllo ".
3.2. La valutazione iniziale del rischio (cfr. i paragrafi 2.2 e 2.3) consente inoltre di formulare
un giudizio preliminare sulla qualità generale dell'ambito interessato dal controllo. Laddove
è probabile che il rischio di controllo interno sia elevato, la sicurezza che il controllore può
ottenere dai test sul controllo intesi a valutare l'efficacia dei controlli interni sarà bassa. Il
controllore può allora decidere che è più economico ottenere da altre fonti la certezza
ragionevole di cui necessita (e quindi aumentare il numero di verifiche di convalida
intraprese).
4.
Il rischio di non individuazione
4.1. Più aumentano le verifiche di convalida compiute dal controllore, maggiore è la probabilità
che egli rilevi errori rilevanti o irregolarità nei consuntivi finanziari esaminati: pertanto il
rischio di non individuazione sarà minore. È determinando il numero adeguato di verifiche
di convalida che il controllore cerca di ridurre il rischio di non individuazione ad un livello
tale da contenere il rischio globale del controllo nel minimo stabilito dalla ISC.
4.2. L'opposto del rischio di non individuazione è il livello di attendibilità che il controllore
ottiene mediante tutte le verifiche di convalida intraprese: queste comprendono la verifica
- 23 -
dell'elemento chiave di elementi ad alto rischio o di elementi validi per natura, la verifica
di elementi di valore elevato, la verifica per campionamento di altri elementi e, in talune
circostanze, procedure di controllo analitico.
5.
Modello matematico
5.1. Nell'appendice a questo allegato figura un modello di rischio di controllo.
- 24 -
Allegato 2, Appendice
Il rischio di controllo: illustrazione del modello matematico
AR = IR x CR x DR
DR = AR/(IR x CR)
Il controllore compie una valutazione iniziale del rischio intrinseco e lo giudica basso. Egli
pertanto attribuisce a tale rischio un valore del 20%, conformemente all'orientamento emanato
dalla sua ISC.
La valutazione approfondita dei sistemi e dei test sul controllo rivela che un sistema di controlli
ragionevole è stato istituito ed opera efficacemente, senza eccezioni. Sempre in linea con la
politica della ISC di appartenenza, il controllore ritiene i sistemi "medi" e valuta il rischio di
controllo pari al 40%.
La politica della ISC cui appartiene è di accettare un rischio di controllo massimo dell'1%.
Il controllore è quindi in grado di calcolare, nel modo seguente, la certezza ragionevole (o livello
di attendibilità) richiesta per le verifiche di convalida:
AR =
1% = 0,01
IR =
20% = 0,20
CR =
40% 0 0,40
DR = 0,01/(0,2 x 0,4) = 0,125
Essendo l'attendibilità l'opposto del rischio di non individuazione, il grado di attendibilità richiesto
dalla verifica di convalida è il seguente:
1,0 - 0,125 = 0,875 = 87,5%
- 25 -
N. 13
ELEMENTI PROBATORI E METODO DI CONTROLLO
INDICE
Paragrafi
Elementi probatori: adeguatezza
Elementi probatori: pertinenza
Elementi probatori: costo ragionevole
Sintesi e ripercussioni sull'espletamento del controllo
Attendibilità degli elementi probatori
- fonti, tecniche e natura
Metodo di controllo
1
2
3
4
5
Allegato 1
Allegato 2
--------------------
1.
1.1
Il paragrafo 152 delle norme di controllo dell'INTOSAI stabilisce quanto segue:
"Per avvalorare il giudizio e le conclusioni del controllore sull'organizzazione, sul
programma, sull'attività o sulla funzione oggetto del controllo, si devono reperire elementi
probatori adeguati, pertinenti e ad un costo ragionevole".
2.
Elementi probatori: adeguatezza
2.1. Per elementi probatori adeguati si intendono informazioni sufficienti, dal punto di vista
quantitativo, per conseguire i risultati del controllo e che, sotto il profilo qualitativo,
presentino un tale grado di obiettività da farle ritenere affidabili e attendibili.
2.2. Si ottengono elementi probatori sufficienti se la portata dei test (sia di conformità, sia di
convalida, laddove necessario) è adeguata. Ulteriori criteri orientativi al riguardo sono
trattati nei criteri-guida qui di seguito indicati:
- 26 -
-
Rilevanza e rischi di controllo (n. 12);
Valutazione del controllo interno e test sul controllo (n. 21);
Il campionamento a fini di controllo (n. 23);
Le procedure analitiche (n. 24).
2.3. Gli elementi probatori attendibili di un controllo sono elementi probatori imparziali.
L'attendibilità degli elementi probatori dipende dalla loro natura, dalle fonti e dalle tecniche
applicate per ottenerli. Spesso il controllore deve scegliere tra forme di elementi probatori,
fonti e tecniche alternative: la loro attendibilità relativa è trattata più avanti
nell'ALLEGATO 1; il controllore deve utilizzare le fonti e le tecniche più attendibili,
compatibilmente con i limiti, in termini di tempo e di costo, imposti al controllo.
3.
Elementi probatori: pertinenza
3.1. Costituiscono elementi probatori pertinenti le informazioni inerenti agli obiettivi del
controllo.
3.2. Per garantire la pertinenza degli elementi probatori, è necessario definire in modo chiaro
gli obiettivi del controllo nella fase della programmazione; per ulteriori indicazioni il
controllore può fare riferimento al criterio-guida n. 11 "Programmazione del controllo".
3.3. Dopo aver definito chiaramente gli obiettivi del controllo, il controllore, alla luce del
problema della pertinenza (unito a quello del costo ragionevole - cfr. i paragrafi seguenti),
deve riflettere sul metodo di controllo da adottare. Nell'ALLEGATO 2 sono fornite
ulteriori indicazioni orientative sul metodo di controllo.
4.
Elementi probatori: costo ragionevole
4.1. Sono elementi probatori ragionevoli sotto il profilo dei costi le informazioni ottenute
rispettando il criterio dell'economicità; quelle informazioni cioè il cui costo di reperimento
sia proporzionato al risultato che il controllore o l'Istituzione superiore di controllo (ISC)
si propongono di conseguire.
4.2. Per esser certo di ottenere elementi probatori sufficienti, pertinenti ed attendibili - onde
raggiungere gli obiettivi del controllo al minor costo possibile - il controllore deve valutare,
nella fase iniziale del controllo, i vari metodi di controllo alternativi (Allegato 2) e giudicare
quale di essi consentirà di raggiungere i risultati auspicati nel modo più economico.
5.
Sintesi e ripercussioni sull'espletamento del controllo
5.1. Tenendo presenti i criteri dell'adeguatezza (sufficienza ed attendibilità), della pertinenza e
della ragionevolezza dei costi in riferimento agli elementi probatori da raccogliere, il
controllore può stabilire più agevolmente, in sede di programmazione, i seguenti elementi
chiave di qualsiasi controllo:
-
sufficienza:
attendibilità:
pertinenza:
tipo e portata dei test di controllo;
fonti degli elementi probatori e tecniche utilizzate per ottenerli;
obiettivi del controllo;
- 27 -
-
pertinenza
-
costo ragionevole
)
) metodo di controllo
)
5.2. Nella fase della programmazione, è compito del supervisore/amministratore verificare che
le valutazioni del controllore in sede di elaborazione del piano siano ben fondate e che il
piano costituisca la base per ottenere elementi probatori adeguati, pertinenti e ragionevoli
sotto il profilo dei costi, rispondenti agli obiettivi del controllo.
5.3. Nelle fasi finali del controllo, è compito del supervisore/amministratore verificare che il
piano di controllo sia stato realizzato, nel senso che sono stati ottenuti elementi probatori
adeguati, pertinenti e ragionevoli sotto il profilo dei costi, che le conclusioni del controllo
sono convalidate da detti elementi e che le relazioni finali rispecchiano tali conclusioni (cfr.
il criterio-guida n. 31 “Stesura delle relazioni”).
- 28 -
ALLEGATO 1: ATTENDIBILITÀ DEGLI ELEMENTI PROBATORI - FONTI,
TECNICHE E NATURA
A.
FONTI DI ELEMENTI PROBATORI
Gli elementi probatori possono essere prodotti direttamente dal controllore ovvero forniti
da terzi o dall'organismo controllato.
In generale, gli elementi probatori prodotti direttamente dal controllore sono più attendibili
di quelli ottenuti da altri.
Talvolta gli elementi probatori provenienti da terzi sono più attendibili di quelli forniti
dall'organismo controllato, se i primi sono veramente obiettivi e completi.
Il controllore può raggiungere un più elevato livello di sicurezza quando gli elementi
probatori ottenuti da fonti diverse sono coerenti.
B.
TECNICHE PER OTTENERE GLI ELEMENTI PROBATORI
Si possono ottenere elementi probatori applicando una o più delle seguenti tecniche:
-
Ispezione di documenti o beni patrimoniali.
Osservazione di processi o procedure.
Indagine e conferma.
Calcoli.
Analisi dei consuntivi finanziari e delle interdipendenze o raffronti tra informazioni
pertinenti.
Il controllore deve valutare quale tecnica per ottenere gli elementi probatori offra adeguate
garanzie di attendibilità e ponderare l'affidabilità degli stessi rispetto al costo per ottenerli.
C.
NATURA DEGLI ELEMENTI PROBATORI
Gli elementi probatori possono essere documentali, ispezionabili o verbali.
L'attendibilità degli elementi documentali dipende dalla fonte (v. sopra).
Gli elementi probatori ispezionabili sono estremamente attendibili per confermare
l'esistenza di un patrimonio, ma non per confermarne la proprietà o il valore.
Gli elementi probatori verbali devono essere ritenuti i meno attendibili. Ogniqualvolta sia
fattibile, i controllori devono cercare di ottenere una conferma documentale degli elementi
probatori verbali (ad esempio, registrazioni scritte approvate di colloqui). Se ciò risulta
impossibile, gli elementi probatori verbali possono essere convalidati interrogando
separatamente più persone.
- 29 -
ALLEGATO 2: METODO DI CONTROLLO
1.
Introduzione
1.1. Il metodo di controllo consiste nella combinazione di vari tipi di test di controllo, utilizzati
per ottenere gli elementi probatori necessari per conseguire gli obiettivi di un dato
controllo.
2.
Obiettivi del controllo
2.1. In linea generale, gli obiettivi del controllo sono i seguenti:
(a)
(b)
per l'audit finanziario:
- valutare l'esattezza e la completezza dei consuntivi finanziari relativi all'attività,
programma od organismo oggetto del controllo; e/o
- accertare la legittimità e la regolarità delle transazioni riportate nei consuntivi
finanziari.
per i controlli di gestione:
- valutare se la gestione dell'attività, programma od organismo sia stata improntata ad
economicità e/o efficienza e/o efficacia.
2.2. Le norme dell'INTOSAI si applicano allo stesso modo sia per i controlli di gestione, sia per
l'audit finanziario. Il controllore deve comunque cercare di ottenere elementi probatori
adeguati, pertinenti e ragionevoli sotto il profilo dei costi. Analogamente, in genere è
possibile adottare tanto il metodo basato sull'analisi dei sistemi, quanto quello fondato sulle
verifiche di convalida dirette; tuttavia, data la diversità degli obiettivi, un controllo di
gestione può richiedere lo studio di sistemi diversi da quelli esaminati nel contesto di un
audit finanziario (cfr. infra il paragrafo 6).
3.
Il metodo basato sull'analisi dei sistemi (MBAS)
3.1. Gli organismi sottoposti al controllo delle Istituzioni superiori di controllo (ISC) di norma
pongono in essere sistemi di controllo idonei ad accertare l'esattezza e la completezza dei
consuntivi finanziari, la legittimità e la regolarità delle transazioni in essi riportate, nonché
l'economicità, l'efficienza e l'efficacia delle operazioni. In generale, se il controllore è
persuaso dell'adeguatezza di questi controlli, egli può ridurre il numero delle verifiche di
convalida sui consuntivi finanziari, sulle transazioni o sulla gestione dell'organismo
considerato.
3.2. Il metodo secondo cui il controllore fa assegnamento sul sistema di controllo interno
dell'organismo in causa è denominato metodo basato sull'analisi dei sistemi (MBAS) e
consta delle seguenti fasi, l'una distinta dall'altra:
(a) individuazione e disamina dei controlli chiave pertinenti, nonché valutazione della
misura in cui (eventualmente) il controllore può fare assegnamento su detti controlli,
purché risulti che essi funzionano in modo efficace;
- 30 -
(b) verifiche di funzionamento dei controlli chiave suddetti, onde stabilire se hanno
funzionato in modo efficace nel corso dell'intero periodo in esame;
(c) valutazione dei risultati dei test sul controllo, per stabilire se l'analisi dei sistemi
consente di raggiungere il grado di affidabilità previsto;
(d) verifiche di convalida su una serie di transazioni, saldi di conti, etc., per stabilire
(qualora ciò sia pertinente in relazione agli obiettivi del controllo) se - a prescindere
dal sistema di controllo adottato dall'organismo - i consuntivi finanziari di quest'ultimo
sono esatti e completi, se le operazioni in essi contenute sono legittime e regolari e/o
se i criteri di economicità, efficienza ed efficacia sono stati rispettati.
3.3. Ulteriori indicazioni di carattere orientativo sulle fasi (a)-(c) di cui sopra sono contenute
nel criterio-guida n. 21 "Valutazione del controllo interno e test sul controllo", mentre le
verifiche di convalida di cui alla lettera (d) sono trattate nel criterio-guida n. 23 "Il
campionamento a fini di controllo" . Ulteriori spiegazioni sul rapporto esistente tra i test
sul controllo e le verifiche di convalida figurano all'allegato 2 del criterio-guida n. 12
"Rilevanza e rischi di controllo" .
4.
Il metodo basato sulle verifiche di convalida dirette (VCD)
4.1. Quando non sussiste l'esigenza specifica di valutare il funzionamento dei sistemi di
controllo degli organismi, è possibile che il controllore consegua gli obiettivi del controllo
senza fare assegnamento u questi sistemi e dunque senza procedere a verifiche di
conformità. Si tratta del metodo denominato "verifiche di convalida dirette" (VCD). Giova
osservare che il metodo VCD non offre alcuna garanzia in merito al funzionamento dei
controlli (infatti, adottando questo metodo tali sistemi non sono sottoposti a test e pertanto
non vi sono prove che ne attestino l'efficacia) e, di conseguenza, sarà necessario svolgere
un maggior numero di verifiche di convalida che nel caso del metodo MBAS. È il
controllore che, in tali circostanze, deve giudicare quale sia il metodo migliore - nel senso
del rapporto costi/risultati - per ottenere gli elementi probatori necessari a conseguire gli
obiettivi del controllo.
"Il controllore, nel determinare la portata e l'ambito del controllo, deve esaminare e
valutare l'attendibilità del controllo interno."
Pertanto, anche se viene adottato il metodo VCD, il controllore non può non condurre un
esame sui principali sistemi di controllo interno dell'organismo considerato, anche se questo
studio riveste un carattere soltanto preliminare. Di fatto, il metodo VCD è una forma di
MBAS, in cui tale analisi è ridotta al minimo.
5.
Parametri che intervengono nella decisione sul metodo da adottare
5.1. Quando nessuna particolare esigenza impone al controllore di adottare il metodo MBAS,
la scelta tra quest'ultimo e quello VCD di norma si baserà su una stima delle risorse
disponibili per il controllo e quindi del costo che comporterà l'ottenimento di elementi
- 31 -
probatori adeguati ed attendibili. Nell'operare questa scelta si tengono presenti i seguenti
fattori:
(a) laddove sussiste una dispersione geografica dei controlli o quando la verifica del loro
funzionamento presenta particolari difficoltà, l'adozione dell'MBAS potrebbe rivelarsi
impossibile a causa dell'insufficienza delle risorse disponibili. Analogamente, quando
i risultati di una valutazione preliminare dell'attendibilità dei controlli interni induce a
ritenere che essi sono carenti, il controllore può non essere in grado di fare
assegnamento su di essi. In questo caso potrebbe essere adottato il metodo VCD, a
prescindere dai costi relativi;
(b) anche se è possibile adottare il metodo VCD per l'esame della legittimità e della
regolarità, questo tipo di controllo si presta in modo particolare al metodo MBAS;
(c) il metodo MBAS offre, in particolare, il vantaggio di consentire spesso al controllore
di stabilire un nesso diretto tra singoli errori e deficienze del sistema di controllo e di
porle in evidenza. Segnalando tali deficienze alla direzione dell'organismo, il
controllore può aiutarla a migliorare i controlli per l'avvenire.
6.
Controllo di gestione
6.1. Il controllo di gestione (cfr. il criterio-guida n. 41 “Il controllo sulla gestione”) verte
sull'economicità e/o efficienza e/o efficacia dell'attività, programma od organismo oggetto
del controllo:
economicità: significa ridurre al minimo il costo delle risorse impiegate per una data
attività, senza rinunciare ad un livello di qualità adeguato;
efficienza: si tratta del rapporto tra i risultati ottenuti, in termini di beni, servizi o altro
e le risorse utilizzate per conseguirli;
efficacia: con questo termine si indica la misura in cui gli obiettivi sono stati conseguiti,
nonché il rapporto esistente tra gli effetti attesi e gli effetti reali di una data attività.
Quando si espleta un dato controllo di gestione, non si cerca necessariamente di trarne
conclusioni su tutti e tre gli aspetti sopracitati: si deve dedurre chiaramente, dagli
obiettivi del controllo, quale o quali di questi aspetti debbano essere studiati. Tuttavia,
quando espleta controlli sull'economicità o sull'efficienza, il controllore ha bisogno di
valutare globalmente l'efficacia dell'organismo controllato: può essere infatti preferibile
per l'organismo in questione fare quanto è giusto fare in modo insoddisfacente anziché
fare bene qualcosa di errato.
6.2. Per esaminare l'efficacia, di norma è necessario valutare i risultati o gli effetti di una data
attività. Pertanto, anche se il metodo MBAS può essere utile (ad esempio, per stabilire in
che modo l'organismo controllato misura e sorveglia gli effetti del proprio "operato"), il
controllore deve anche raccogliere elementi probatori sufficienti - mediante verifiche di
convalida - sui risultati e sugli effetti dell'attività, del programma o dell'organismo.
- 32 -
7.
Aspetti inerenti all'ambiente
7.1. Sempre più spesso si richiede alle ISC di garantire che le attività da esse controllate siano
svolte rispettando fattori ed esigenze ambientali. In linea di principio, il metodo di controllo
che consente di rispettare tali esigenze in questo caso è quello stesso che si applica ai
controlli di legittimità e di regolarità: è possibile applicare l'MBAS, sia il VCD, ma il primo
può risultare particolarmente rispondente allo scopo.
- 33 -
GRUPPO 2 OTTENIMENTO DI ELEMENTI PROBATORI
N. 21
VALUTAZIONE DEL CONTROLLO INTERNO E TEST SUL CONTROLLO
INDICE
Paragrafi
Controllo interno
Valutazione del controllo interno
Rapporti con la direzione dell'organismo controllato
Tipi di controllo interno
Test sul controllo
1
2
3
4
Allegato 1
Allegato 2
Allegato 3
Livello di sicurezza che deve essere ottenuto dalle valutazioni
dei sistemi di controllo interno e dai test sul controllo
nel quadro del metodo basato sull'analisi dei sistemi
Appendice dell'allegato 3
--------------------
1.
1.1
Il paragrafo 141 delle norme di controllo dell'INTOSAI stabilisce quanto segue:
"Il controllore, nel determinare l'ampiezza e l'ambito del controllo, deve esaminare e
valutare l'affidabilità del controllo interno".
- 34 -
2.
Controllo interno
2.1. Il controllo interno è organizzato dalla direzione dell'organismo controllato ed è espletato
sotto la sua responsabilità. Il controllo interno è definito come l'insieme di tutte le strategie
e procedure concepite e attuate dalla direzione di un organismo al fine di garantire:
-
il raggiungimento economico, efficiente ed efficace degli obiettivi dell'organismo;
-
l’osservanza delle norme esterne (leggi, regolamenti, ...) e delle politiche di gestione;
-
la tutela dei beni e delle informazioni;
-
la prevenzione e l'individuazione delle frodi e degli errori; e
-
la qualità dei libri contabili e la produzione tempestiva di informazioni finanziarie e di
gestione affidabili.
2.2. Il concetto del controllo interno va al di là di considerazioni rigorosamente contabili e
finanziarie e comprende due elementi:
a. l’ambiente di controllo, vale a dire un insieme costituito dall’atteggiamento, dalla
sensibilizzazione e dalle azioni del personale dirigente di grado superiore e intermedio
nei confronti del controllo interno e della sua importanza all’interno dell’organismo;
b. le procedure di controllo interno, ovverosia le procedure, in aggiunta all’ambiente
di controllo creato dalla direzione dell’organismo, che contribuiscono al
raggiungimento degli obiettivi dell’organismo.
2.3
L’ambiente di controllo (che potrebbe anche essere descritto come la “cultura di controllo”
all’interno dell’organizzazione) incide sull’efficacia dei sistemi specifici di procedure di
controllo interno. Ad esempio, un ambiente di controllo in cui la direzione dimostra il
proprio interesse nei confronti delle attività e delle funzioni connesse al controllo può
rafforzare i sistemi specifici di procedure di controllo interno. Un ambiente di controllo
rigoroso non è, tuttavia, di per sé sufficiente a garantire l’efficacia dei sistemi di procedure
di controllo interno. Il controllore può valutare la qualità dell’ambiente di controllo di un
organismo o di un’attività esaminando gli indicatori relativi alle migliori procedure
organizzative e di gestione.
2.4
Tali procedure possono comprendere la preparazione e l’esame delle riconciliazioni da
parte della direzione, la definizione di procedure e competenze in modo da separare alcune
mansioni fondamentali, limitando l’accesso fisico ai beni e ai libri contabili, ecc.. Spetta al
controllore determinare, in funzione di ogni singolo compito di controllo, le procedure di
controllo interno nell’ambito del sistema complessivo posto in essere dalla direzione che
sono rilevanti ai fini degli obiettivi del controllo.
2.5
Nel valutare l’ambiente di controllo, il controllore cerca di determinare la sensibilizzazione
della direzione nei confronti dell’importanza del controllo interno e il suo impegno a favore
del controllo adeguato delle varie attività. Nella valutazione delle procedure di controllo,
- 35 -
il controllore analizza peraltro se le procedure necessarie sono state attuate e se funzionano
in modo efficace, continuo e coerente.
2.6. L’ALLEGATO 1 fornisce una descrizione dei tipi di controlli interni che un controllore
può trovare presso l'organismo controllato.
3.
3.1. Il controllore deve almeno procedere ad una valutazione preliminare dei controlli interni
correlati al proprio controllo. Questa valutazione dovrebbe essere tale da consentirgli:
(a) di ponderare inizialmente i rischi intrinseci e quelli del controllo connessi con l'attività
sottoposta ad esame (cfr. l'allegato 2 del criterio-guida n. 12 "Rilevanza e rischi di
controllo” ;
(b) di verificare se i controlli risultano, in questa fase iniziale, sufficientemente efficaci da
consentire l'adozione del metodo basato sull'analisi dei sistemi (MBAS). In seguito è
bene procedere ad ulteriori approfonditi sondaggi dei controlli: se i risultati sono
soddisfacenti si può fare assegnamento sul sistema sottoposto ad esame. Ciò consente
al controllore di ridurre il numero delle verifiche di convalida di casi reali (per ulteriori
indicazioni sul metodo di controllo vedasi il criterio-guida n. 13 "Elementi probatori
e metodo di controllo".
3.2. Qualora abbia scelto il metodo MBAS, il controllore deve effettuare una valutazione
approfondita dei controlli interni allo scopo di determinare:
(a) i controlli interni del sistema, qualificabili come "controlli chiave" - vale a dire controlli
che, se funzionanti in modo efficace, debbono:
. prevenire o individuare errori materiali nei documenti, salvaguardare il patrimonio
dell'organismo (controlli finanziari: affidabilità delle registrazioni contabili);
. garantire il rispetto delle leggi e dei regolamenti (controlli finanziari: legittimità e
regolarità delle transazioni);
. garantire che non vi siano carenze gravi, sotto il profilo dell'economicità,
dell'efficienza o dell'efficacia, nelle attività sottoposte al controllo (controlli di
gestione);
(b) la qualità globale del sistema di controlli sottoposto ad esame, e di conseguenza il
grado di affidabilità assegnato dal controllore a seguito di successivi test sul controllo,
da cui risulta che il citato sistema ha sempre funzionato in modo efficace.
3.3. È importante osservare che, a questo punto, il controllore è in grado di formulare un
giudizio sulla potenziale efficacia del sistema di controllo che, in base alle decisioni di
politica aziendale ed alle istruzioni emanate dalla direzione dell'organismo controllato, è
stato posto in atto. Prima di fare reale assegnamento su tale sistema è necessario valutarne
l'efficacia nella pratica, procedendo a test sul controllo .
3.4. L' ALLEGATO 2 contiene ulteriori indicazioni sull'esecuzione di una valutazione del
controllo interno e l'ALLEGATO 3 dà indicazioni relative ai test sul controllo .
- 36 -
4.
Rapporti con la direzione dell'organismo controllato
4.1. Generalmente è prassi informare la direzione dell'organismo controllato in merito ad
eventuali carenze individuate nei sistemi di controllo interno. Il momento e la forma di tale
comunicazione dipenderà dalla natura e dalla gravità delle carenze riscontrate, dai canali
di comunicazione disponibili e dal quadro giuridico del controllo. È prassi inoltre che il
controllore registri nei documenti di lavoro eventuali comunicazioni di questo tipo, in
modo che vi si possa fare riferimento in data successiva, qualora sia necessario (cfr. il
criterio-guida n. 26 "Documentazione").
- 37 -
ALLEGATO 1 : TIPI DI CONTROLLI INTERNI
Segue la descrizione di alcuni tipi di controlli che il controllore può trovare in numerose
organizzazioni; su alcuni di essi, o su una loro combinazione, egli potrebbe fare, in una certa
misura, assegnamento.
1.
Organizzazione interna. Gli organismi controllati devono disporre di un organigramma, che
definisca e assegni le competenze e che identifichi i canali d'informazione relativi ai vari
aspetti della loro attività, ivi compresi i controlli. La delega di poteri e di responsabilità
dovrebbe essere specificata con chiarezza.
2.
Divisione dei compiti. Uno dei mezzi principali di controllo consiste nella separazione di
quelle responsabilità o di quei compiti che, qualora fossero uniti, consentirebbero ad un
singolo individuo di eseguire e documentare una transazione completa. La divisione dei
compiti riduce il rischio di manipolazioni o errori intenzionali ed aumenta l'operatività del
controllo. Tra le funzioni che è bene separare ricordiamo: l'autorizzazione, l'esecuzione,
la custodia, la registrazione e, nel caso di un sistema contabile informatizzato, lo sviluppo
dei sistemi e le operazioni quotidiane. Il controllo interno ed il controllo finanziario (ove
previsto) devono essere indipendenti dalla quotidiana gestione delle attività.
3.
Fisici. Questo tipo di controlli interessa principalmente la salvaguardia dei beni e comporta
procedure e misure di sicurezza intese a garantire che l'accesso a tali beni (sia diretto che
indiretto mediante documentazione) sia consentito al solo personale autorizzato. Questi
controlli assumono rilevanza quando i beni sono preziosi, trasportabili, commerciabili o
desiderabili.
4.
Autorizzazione ed approvazione. Tutte le decisioni esecutive e le transazioni necessitano
dell'autorizzazione o dell'approvazione della persona competente. I limiti di dette
autorizzazioni debbono essere specificati.
5.
Aritmetico e contabile. Si tratta dei controlli che interessano l'attività di contabilizzazione
e che servono a verificare che le transazioni da contabilizzare ed elaborare siano state
autorizzate, tutte considerate, registrate correttamente ed elaborate con cura. Siffatti
controlli comprendono la verifica dell'esattezza aritmetica dei documenti, l'aggiornamento
e la verifica dei totali, raffronti, conti riepilogativi e bilanci di verificazione e la
giustificazione dell'uso fatto di ogni documento.
6.
Personale. Dovrebbero esistere procedure atte a garantire che il personale abbia capacità
commisurate alle responsabilità. Il buon funzionamento di qualsiasi sistema dipende
inevitabilmente dalla competenza e dall'integrità di coloro che lo gestiscono. La
competenza, la selezione e la formazione, nonché le qualità innate del personale in causa,
costituiscono aspetti importanti da tenere presente nell'istituire qualsiasi sistema di
controllo.
7.
Supervisione. Qualsiasi sistema di controllo interno dovrebbe includere la sorveglianza, da
parte di funzionari competenti, delle transazioni giornaliere e delle relative registrazioni.
- 38 -
8.
Direzione. Si tratta dei controlli svolti dalla direzione al di fuori della routine quotidiana
del sistema. Essi comprendono i controlli di supervisione globale, l'esame della contabilità
gestionale ed il suo raffronto con le previsioni, la funzione di controllo interno e qualsiasi
altra procedura speciale di verifica.
9.
Controllore finanziario. In alcuni Stati membri il controllore finanziario attua un controllo
indipendente, di norma basato su un'ampia sfera di poteri/doveri, ivi compresa la preventiva
verifica dei progetti aventi implicazioni finanziarie, che egli, di norma, approverà soltanto
quando ne abbia accertato la legittimità e la regolarità, nonché la disponibilità di fondi
sufficienti.
- 39 -
ALLEGATO 2 : VALUTAZIONE DEL CONTROLLO INTERNO
1.
Si propone di seguire le seguenti fasi nel caso della valutazione preliminare o approfondita
di un sistema:
(a) individuare i rischi, pertinenti agli obiettivi della verifica, che un sistema di controllo
efficace dovrebbe prevenire;
(b) mediante l'esame dei manuali di procedura, delle istruzioni al personale e mediante
colloqui, etc. individuare i controlli posti in atto per prevenire i rischi potenziali. (Per
quanto riguarda il metodo MBAS, è inoltre necessario individuare quali di questi
controlli sono "controlli chiave");
(c) documentare i risultati di detto esame (diagrammi di flusso, descrizioni scritte...);
(d) sarebbe utile che il controllore verificasse l'acquisita conoscenza del funzionamento del
sistema eseguendo alcune operazioni di prova ("test di operatività");
(e) una volta individuati i controlli, valutarne la potenziale efficacia rispetto ai rischi
intrinseci alle attività in causa.
2.
Alcune Istituzioni superiori di controllo (ISC) sono solite elaborare questionari di controllo
interno (QCI) o questionari di controllo chiave (QCC), per aiutare il controllore
nell'esecuzione di tali valutazioni.
3.
Nell'ambito del metodo MBAS, il controllore deve completare la valutazione approfondita,
stabilendo il grado di affidabilità del sistema risultato efficiente nella pratica operatività.
Generalmente il sistema sarà qualificato:
eccellente
-
buono
-
discreto
-
scarso
-
se tutti i rischi vengono adeguatamente presi in considerazione
da controlli che potenzialmente funzionano in modo efficace;
se tutti i rischi vengono adeguatamente presi in considerazione
da controlli che potenzialmente funzionano in modo efficace,
salvo qualche irrilevante eccezione;
se tutti i rischi vengono presi in considerazione in una certa
misura da controlli che talvolta possono essere inefficaci;
se non tutti i rischi vengono presi in considerazione dai
controlli e/o è probabile che i controlli siano spesso inefficaci.
- 40 -
ALLEGATO 3 : ' TEST SUL CONTROLLO
1.
Esecuzione dei test sul controllo
1.1. Nel quadro del metodo MBAS, è opportuno non limitarsi alla sola valutazione
approfondita dei controlli interni. Il controllore deve anche stabilire se i controlli hanno di
fatto funzionato in modo efficace e coerente durante tutto il periodo sottoposto a
controllo: è perciò necessario procedere a test sul controllo .
1.2. Di norma i controlli chiave individuati dovrebbero essere sottoposti a verifiche mediante
l'esame di un campione di transazioni o operazioni che hanno formato oggetto di detti
controlli. Dovendo il controllore stimare l'efficacia pratica dei controlli, il metodo di
campionamento e la natura delle verifiche eseguite dovrebbero assicurare:
(a) il funzionamento costante del controllo durante un determinato periodo (N.B. periodi
di assenza di personale con funzioni chiave, etc.);
(b) il funzionamento costante del controllo per tutti i tipi di transazioni elaborate dal
sistema (N.B. transazioni di elevato volume, di scarso valore; transazioni insolite;
transazioni rielaborate a seguito di un precedente rifiuto da parte del sistema, etc.).
1.3. Spetta al controllore stabilire il numero di transazioni da esaminare per ottenere prove
sufficienti sul buon funzionamento di un controllo. In genere la dimensione minima del
campione è di 30 transazioni, mentre in alcuni casi saranno necessarie più di 100
transazioni. È opportuno tener presente i seguenti punti nell'operare la scelta:
(a) la rilevanza del controllo nell'ambito del relativo sistema globale;
(b) la misura in cui il controllore desidera fare assegnamento sul funzionamento
soddisfacente del controllo e il periodo considerato;
(c) la portata e la natura delle transazioni elaborate dal sistema;
(d) il fatto che la maggior parte dei test sul controllo forniscano la prova non tanto che
il controllo abbia funzionato quanto che non sia carente (prove "negative").
1.4. Se la maggior parte dei test sul controllo forniscono prove "negative", il controllore deve
anche considerare eventuali possibilità di ottenere prove positive dell'efficace
funzionamento dei controlli. Ciò può esser fatto esaminando i casi in cui i controlli hanno
individuato errori o eccezioni.
1.5. La scelta del momento opportuno per eseguire test sul controllo pone problemi particolari:
il controllore deve cercare prove dell'effettivo funzionamento dei controlli nel corso
dell'intero periodo durante il quale intende fare assegnamento su di essi. Ciò è da tener
presente nell'ideare ed eseguire le verifiche di conformità.
2.
Valutazione dei risultati dei test sul controllo
2.1. Una volta ultimati i test sul controllo , il controllore deve formulare un giudizio finale sulla
misura in cui può fare assegnamento sul sistema di controlli e, di conseguenza, sul numero
- 41 -
di verifiche di convalida che sarà necessario eseguire per ottenere il livello massimo di
sicurezza richiesto ( cfr. il criterio-guida n. 12 "Rilevanza e rischi di controllo" ).
2.2. Il livello di sicurezza che si può ottenere nell'ambito del metodo basato sull'analisi dei
sistemi dipenderà in primo luogo dalla valutazione iniziale del sistema da parte del
controllore. I risultati dei test sul controllo forniscono al controllore stesso ulteriori prove
sul funzionamento del citato sistema, consentendogli di confermare o rivedere il primo
giudizio. L'appendice del presente allegato fornisce orientamenti generali sul livello di
sicurezza che può essere ottenuto.
2.3. Le relazioni tra livello di sicurezza e livello di affidabilità statistica, per quanto riguarda le
verifiche di convalida, rientrano di norma nella politica di controllo della ISC.
3.
Test sul controllo e verifiche di convalida congiunti
3.1. In linea di principio non vi sono obiezioni a che il controllore esegua contemporaneamente
test sul controllo e verifiche di convalida su un determinato campione. Pur riconoscendo
che ciò potrebbe essere un impiego efficiente delle risorse di controllo, occorre tuttavia
fare attenzione a ben distinguere i due tipi di verifiche, che hanno obiettivi del tutto diversi.
In questo caso è inoltre necessario procedere in modo particolarmente accurato alla
documentazione dei risultati (cfr. il criterio-guida n. 26 “Documentazione”).
- 42 -
ALLEGATO 3, Appendice: LIVELLO DI SICUREZZA CHE DEVE ESSERE OTTENUTO DALLE VALUTAZIONI DEI SISTEMI DI
CONTROLLO INTERNO E DAI TEST SUL CONTROLLO NEL QUADRO DEL METODO BASATO SULL'ANALISI DEI SISTEMI
Conclusioni tratte dalla valutazione approfondita del sistema di
controllo interno prima dei test sul controllo
Valutazione finale e livello di affidabilità
I test sul
controllo non
evidenziano
eccezioni
I test sul
controllo
evidenziano
solo eccezioni
irrilevanti
I test sul
controllo
evidenziano
eccezioni
rilevanti
I test sul
controllo
evidenziano
carenze
generalizzate
Elevato
Medio
Basso/Nullo
Nullo
Medio
Medio/Basso
Basso/Nullo
Nullo
Il sistema di controllo sembra generalmente accettabile
ma vi è il rischio che il controllo possa essere
talvolta inefficace.
= Discreto
Basso
Basso/Nullo
Basso/Nullo
Nullo
Il sistema di controllo sembra inadeguato.
Non tutti i rischi sono coperti e/o è probabile
che i controlli siano carenti.
Nullo
Nullo
Nullo
Nullo
Il sistema di controllo sembra eccellente.
Copre tutti i rischi più rilevanti ed i controlli
sono potenzialmente efficienti.
Il sistema di controllo sembra accettabile.
Copre la maggior parte dei rischi più rilevanti
e/o i controlli sono, in genere, potenzialmente
efficaci.
= Eccellente
= Buono
= Scarso
- 43 -
N. 22
CONTROLLO DEI SISTEMI INFORMATICI
INDICE
Paragrafi
Riferimenti alle norme di controllo dell’INTOSAI
Campo di applicazione del presente criterio-guida
Concetti e definizioni fondamental
Pianificazione dei controlli dei sistemi informatici
e assegnazione del personale addetto a tale compito
Audit dei controlli generali (in materia di istallazioni informatiche)
Controllo delle applicazioni informatiche
Tecniche di controllo assistite dall’elaboratore
(Computer-assisted audit techniques - CAAT)
Controllo dei sistemi in fase di sviluppo
Controlli generali (relativi alle istallazioni informatiche) - aspetti generali della
gestione - Obiettivi di controllo ed esempi di tecniche di controllo
Controlli delle applicazioni informatiche - obiettivi di controllo ed esempi di
tecniche di controllo
Esigenze in materia di controllo delle applicazioni informatiche
1
2
3
4
5
6
7
8
Allegato 1
Allegato 2
Allegato 3
--------------------
1.
1.1
Nella spiegazione delle norme di controllo dell’INTOSAI (paragrafo 51, lettera (b)) si
legge che:
"Il controllore e l’ISC devono possedere la competenza necessaria."
1.2
La spiegazione delle norme di controllo dell’INTOSAI (paragrafo 86) enuncia quanto
segue:
- 44 -
" ... L’ISC dovrebbe dotarsi della più ampia gamma di metodologie di controllo
aggiornate, comprese le tecniche basate su sistemi informatici, metodi di esame analitici,
campionamento statistico e controllo dei sistemi d’informazione automatizzati."
1.3
La spiegazione delle norme di controllo dell’INTOSAI (paragrafo 144) dispone quanto
segue:
"Qualora la contabilità o altri sistemi d’informazione siano computerizzati, il controllore
deve determinare se i controlli interni funzionino adeguatamente per assicurare l’integrità,
l’affidabilità e l’esaustività dei dati."
1.4
Nella spiegazione delle norme di controllo dell’INTOSAI (paragrafo 153) si afferma che:
" ... Quando i dati contenuti in un sistema computerizzato costituiscono una parte
importante del controllo e la loro affidabilità è fondamentale per il conseguimento
dell’obiettivo del controllo, i controllori devono assicurarsi dell’affidabilità e della
pertinenza dei dati."
2.
Campo di applicazione del criterio-guida
2.1
Attualmente, la maggior parte delle funzioni amministrative e finanziarie vengono esercitate
con l’ausilio di sistemi computerizzati. Il termine sistemi informatici (SI) designa ora
comunemente tutti i sistemi di questo tipo, a prescindere dalla portata o dal tipo di
tecnologia in questione.
2.2
Il presente criterio-guida riguarda la metodologia di controllo di tali sistemi informativi.
Esso ha lo scopo di fornire un orientamento al livello che si richiede al controllore non
specializzato che ha dimestichezza con gli aspetti e i metodi del controllo informatico, è
in grado di svolgere compiti di controllo semplici per quanto attiene ai SI e può comunque
avvalersi di specialisti del controllo informatico per conseguire obiettivi di controllo
generali(1). Il criterio-guida non intende fornire informazioni specialistiche dettagliate sugli
aspetti altamente tecnici della materia esaminata. L’ambito del lavoro di controllo
informatico nei casi particolari è analizzata nei paragrafi ? - 0 e deve essere stabilito in
funzione degli obiettivi generali del controllo intrapreso.
2.3
I sistemi informatici possono risultare particolarmente importanti nei controlli delle attività
dell’Unione europea in cui sono stati esplicitamente previsti dal regolamento. Questi
sistemi possono essere prescritti per agevolare un elemento importante della politica
comunitaria (ad esempio il sistema VIES per la gestione e lo scambio di informazioni in
materia di IVA previsto dal regolamento (CEE) n. 218/92). In alcuni casi, i regolamenti
impongono determinati aspetti del controllo dei SI (ad esempio per il riconoscimento degli
organismi pagatori (regolamento (CEE) n. 1663/95); in altri (come il sistema
amministrativo e di controllo integrato per i pagamenti nel settore dell’agricoltura
(regolamento (CEE) 3508/92)) il sistema informatico istituito costituisce di per sé un
controllo fondamentale dei pagamenti comunitari.
(1)
Livello di competenza 1, secondo le definizioni del documento “IT audit curriculum for INTOSAI”
- 45 -
3.
Concetti e definizioni fondamentali
3.1
L’applicazione di tecnologie informatiche non influisce direttamente sugli obiettivi di un
controllo, ma comporta problemi specifici e può richiedere modifiche del metodo di
controllo.
3.2
La tecnologia informatica genera due problemi particolari per i responsabili della gestione
e per i controllori:
3.3
-
i computer e le reti, come qualsiasi tecnologia, sono soggetti a guasti e possono subire
dei danni. Pertanto, nel momento in cui un’organizzazione o una funzione divengono
dipendenti dalla tecnologia dell’informatica, i piani di emergenza acquistano maggiore
importanza che non in precedenza e devono tener sufficientemente conto degli aspetti
tecnici.
-
i dati e i programmi custoditi nei sistemi informatici sono immateriali ed è possibile
accedervi o modificarli senza lasciare traccia. I responsabili della gestione, come del
resto i controllori, devono adottare misure speciali per esser certi dell’affidabilità,
dell’integrità e della riservatezza di tutti i dati elaborati dai computer.
Le tecniche di controllo generalmente riconosciute sono state sviluppate tenendo conto di
questi fattori. Il controllo dei sistemi informatici comprende la valutazione di tali controlli.
È opportuno distinguere diverse componenti nel controllo dei SI perché richiedono
competenze, tecniche e tempi diversi, ma anche perché apportano contributi diversi al
lavoro di controllo nel suo complesso. Ciascuna componente è analizzata in maniera più
approfondita in altri paragrafi del presente criterio-guida.
Audit dei controlli generali (riguardanti le istallazioni informatiche)
------------------------------------------------------------------------------
3.4
I controlli generali consistono nella supervisione dell’insieme dell’installazione o della rete
informatica. La qualità di questi controlli si ripercuote ampiamente su tutte le applicazioni
di un dato ambiente: ad esempio, se vi sono lacune nel controllo di accesso al sistema o
all’intera rete, è molto probabile che tutte le applicazioni siano soggette al rischio di un
accesso non autorizzato, a prescindere da eventuali controlli di accesso specifici insiti nelle
applicazioni stesse.
3.5
Nel procedere all’audit completo dei controlli generali, la maggior parte dei controllori ha
bisogno di essere assistita da esperti di SI. Non sempre, tuttavia, è necessario effettuare un
audit completo. I controllori non specializzati possono ottenere la certezza sufficiente che
i dati sono completi ed esatti e che i controlli interni comprendenti l’informatica funzionano
adeguatamente per un determinato audit - senza procedere ad un esame completo dei
controlli generali.
3.6
In alcuni casi, i controllori con competenze generali possono basarsi su dichiarazioni di
terzi (DT) fornite da controllori specializzati in SI. L’oggetto di queste DT comprende
solitamente i controlli generali relativi a centri e/o applicazioni informatici. Quanto alle
implicazioni che comporta l’uso di questi elementi probatori, cfr. il criterio-guida n. 25
“L’uso dei lavori di altri controllori ed esperti”. Qualora le DT non fossero disponibili, i
- 46 -
controllori non specializzati dovrebbero comunque valutare taluni controlli generali non
aventi carattere tecnico (cfr. il paragrafo 5.1).
Controllo delle applicazioni informatiche
-----------------------------------------------3.7
Il controllo delle applicazioni informatiche consiste nel valutare i controlli interni
riguardanti, specificatamente, l’immissione di dati, l’elaborazione, i file e la produzione di
informazioni di una determinata funzione. Tutti i controllori incaricati di espletare controlli,
attraverso l’analisi dei sistemi, delle funzioni amministrative che si avvalgono della
tecnologia informatica devono esaminare questo aspetto del controllo informatico.
3.8
Gli audit delle applicazioni informatiche non presentano necessariamente un livello tecnico
elevato. I controllori non specializzati si rivolgeranno agli esperti di SI nel caso in cui i
controlli delle applicazioni risultino eccezionalmente complessi o tecnici e qualora non
esistano controlli compensativi soddisfacenti in area utenti. Ad ogni modo, molte
applicazioni sono concepite in modo da fornire ai gestori che le utilizzano la certezza della
precisione dei dati e dell’elaborazione, per cui non è necessario che essi siano esperti di SI.
In questi casi, le verifiche e le procedure (comprese le procedure manuali) svolte
regolarmente dal personale utente possono garantire, con un grado di certezza
soddisfacente, che i dati e i risultati prodotti sono affidabili. In molte situazioni di controllo
questo livello di sicurezza risponderà adeguatamente anche alle esigenze dei controllori.
Tecniche di controllo assistite dall’elaboratore (Computer-assisted audit techniques CAAT)
---------------------------------------------------------------------------------------------------
3.9
Il termine CAAT designa una vasta gamma di procedure e di pacchetti programmati che
i controllori possono utilizzare per compiere verifiche sui controlli (o molto più
frequentemente) per selezionare, confrontare o estrarre dati da sottoporre a ulteriori
verifiche. Nel ricorrere a queste tecniche, il controllore deve assolutamente assicurarsi che
i dati di cui si avvale siano veramente completi ed esatti (cfr. il paragrafo 7.2.).
3.10 È possibile che l’uso delle CAAT richieda l’aiuto di esperti. Benché alcuni prodotti di
questo tipo esistenti sul mercato possano essere utilizzati in modo relativamente facile da
parte di controllori non specializzati, quando il compito è complesso o qualora i dati non
siano presentati in un pacchetto nella debita forma, sono necessarie capacità di
programmazione più avanzate. In questi casi, le CAAT possono rappresentare un impiego
oneroso delle risorse di controllo; la loro effettiva necessità e le procedure da seguire
dovrebbero essere rigorosamente stabilite in funzione degli obiettivi del controllo.
Controllo dei sistemi in fase di sviluppo
---------------------------------------------3.11 Il controllo dei sistemi in fase di sviluppo verte su due aspetti basilari:
-
la gestione del lavoro di sviluppo. Essa può formare oggetto di un controllo di
gestione (cfr. il criterio-guida n. 41 “Il controllo sulla gestione”);
- 47 -
-
l’adeguatezza della concezione del sistema rispetto alle esigenze della funzione in
materia di controllo interno (esigenze che dovrebbero, di norma, essere definite dai
responsabili della gestione utilizzatori).
3.12 Inoltre, indipendentemente dal fatto che svolgano o meno controlli formali dei sistemi in
fase di sviluppo, le ISC devono accertare che le nuove applicazioni soggette al loro
controllo siano concepite in modo tale da poter essere controllate in maniera efficace.
4.
Pianificazione dei controlli dei sistemi informativi e assegnazione del personale addetto a
tale compito
Assegnazione e formazione del personale
------------------------------------------------
4.1
Dato che attualmente sono poche le funzioni che non presentano una componente
informatica, tutti i controllori devono essere consapevoli di come l’uso dei computer
influenzi la valutazione del controllo interno. I programmi di formazione dovrebbero
soddisfare questa esigenza generale.
4.2
I controllori necessitano di una formazione supplementare per divenire esperti nel controllo
dei SI. Gli esperti di SI non hanno di norma una formazione nella valutazione del controllo
paragonabile a quella di un controllore. Pertanto, bisogna fare in modo che il personale
destinato a specializzarsi nel controllo dei SI acquisisca e mantenga un bagaglio adeguato
di conoscenze sia in campo informatico che nel campo del controllo. Esistono qualifiche
specifiche che consentono di valutare queste conoscenze. Gli esperti del controllo dei SI
costituiscono spesso una risorsa rara, di cui avvalersi, possibilmente, solo per le questioni
più critiche. Ne consegue che gli esperti di SI devono essere interpellati solo quando gli
obiettivi del controllo e la complessità dei sistemi informativi rendono necessaria la loro
competenza. La sezione seguente, che ha per oggetto la pianificazione, fornisce a questo
proposito un orientamento.
4.3
I controllori con competenze generali possono essere istruiti all’uso dei prodotti CAAT
senza essere costretti a divenire esperti di SI a tutti gli effetti.
Pianificazione e ricorso agli esperti
-----------------------------------------
4.4
Le norme di sicurezza e di controllo dei SI non hanno un carattere assoluto. Un livello di
controllo eccessivamente elevato (“over-engineering”) è costoso e di solito non efficace.
La gamma di controlli posti in atto dovrebbe rispecchiare la finalità e l’uso di ciascun
sistema; essa comprende, di norma, un insieme di procedure tecniche e manuali. Si possono
trovare controlli efficaci sull’elaborazione informatica a livello delle procedure manuali in
area utenti o nelle attività di gestione utenti. I sistemi informatici non dovrebbero, pertanto,
essere esaminati come entità a sé stanti, ma nel contesto di un controllo generale dell’intera
funzione amministrativa o finanziaria nel quale si collocano. Solo in questo modo, il
controllore può determinare in concreto la norma di controllo appropriata e valutare
l’interazione fra controlli tecnici e quelli a livello degli utilizzatori.
- 48 -
4.5
Nella fase di pianificazione, si dovrebbe procedere alla raccolta di informazioni per
decidere l’ambito del controllo informatico. Può essere utile consultare, in questa fase, un
controllore esperto di SI cui chiedere consiglio per fissare le priorità. Si dovrebbe decidere,
in particolare, se sia necessario un esame dei controlli generali e in quale misura sia
necessario ricorrere alle CCAT. Poiché entrambe le procedure possono comportare una
richiesta onerosa di servizi specializzati, può essere necessario applicare priorità rigide nel
ricorrere a controllori esperti di SI.
4.6
Alla luce degli obiettivi generali del controllo, dovrebbero essere presi in considerazione
i seguenti fattori:
-
-
-
-
la misura in cui la funzione in causa si avvale dell’elaborazione informatica o di dati
contenuti nel computer;
la misura in cui i controlli svolti in area utenti, comprese le procedure di “gestione
utenti”, dimostrano l’esattezza dell’elaborazione informatica e dei dati, al livello
richiesto dalla funzione;
la complessità dell’elaborazione informatica, soprattuto la misura in cui la funzione
utilizza i dati generati dai programmi informatici (rispetto ai dati semplicemente
registrati, selezionati o analizzati dall’applicazione);
la dimensione dell’istallazione: ad esempio, può essere intrinsecamente impossibile
realizzare controlli generali di buon livello a causa dell’insufficienza del personale che
non consente di garantire la separazione delle funzioni. Ciò può accadere, ad esempio,
se le funzioni di programmatore, operatore e gestore dell’accesso non possono essere
nettamente separate;
la riservatezza dei dati e gli obblighi in materia di protezione degli stessi(2);
qualsiasi difficoltà particolare relativa alla pista di controllo/gestione. I sistemi di
vecchia o inadeguata concezione possono presentare dei problemi, ad esempio nel
risalire alle componenti dei dati inclusi in un aggregato, o nell’accertare che i totali
comprendano tutte le relative operazioni. Questi aspetti accrescono la necessità, per
il controllore, di utilizzare le CAAT semplicemente per stabilire l’esattezza dei dati
4.7
Se l’esattezza dei dati e dell’elaborazione è dimostrata, nella misura richiesta dal controllo
in corso, attraverso controlli compensativi svolti in area utenti (comprese le procedure di
gestione utenti), può non essere necessario procedere, nell’ambito dell’audit, all’esame
tecnico dei controlli generali. In questi casi, il controllore non specializzato dovrebbe
comunque reperire dichiarazioni di terzi o coprire egli stesso gli aspetti relativi alla gestione
dei SI di cui al paragrafo ?.
5.
Audit dei controlli generali (relativi alle istallazioni informatiche)
5.1
I settori coperti dagli audit dei controlli generali sono indicati di seguito. I primi quattro
riguardano questioni generali relative alla gestione che dovrebbero essere prese in
considerazione dai controllori non specializzati anche quando gli aspetti tecnici non
formano oggetto di esame.
(2)
Per l’UE nel suo insieme, cfr. la direttiva 95/46/EC del Parlamento europeo e del Consiglio del
24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali,
nonché alla libera circolazione di tali dati (JO L 281 del 23.11.1995, pag. 31).
- 49 -
Questioni generali attinenti alla gestione
-----------------------------------------------
organizzazione: pianificazione strategica, struttura e canali di informazione del servizio
informatico, sufficiente separazione delle funzioni nell’ambito del servizio;
politica di sicurezza in campo informatico: una siffatta politica esiste, è adeguata, resa
nota e applicata;
continuità: salvataggio in caso di emergenza (back-up) e misure di pronta attivazione
(stand-by);
gestione del patrimonio informatico
Questioni specifiche di carattere tecnico
-----------------------------------------------
controlli di accesso logico e fisico: esecuzione dettagliata;
operazioni: tutti i compiti svolti mediante elaboratore sono adeguatamente autorizzati
ed elaborati in modo completo, accurato e rapido;
software di sistema (comprese le restrizioni specifiche relative all’accesso)
manutenzione dei programmi e procedure di sviluppo
gestione dei dati e/o delle basi di dati
comunicazione dei dati
reti (locali)
5.2
L’ALLEGATO 1 fornisce un orientamento per i controllori non specializzati in merito ai
primi quattro punti sopraelencati.
6.
Controlli delle applicazioni informatiche
6.1
Come già menzionato, il controllo delle applicazioni informatiche non è di norma, un
controllo a sé stante, ma fa parte di un controllo fondato sull’analisi dei sistemi avente per
oggetto una funzione commerciale o amministrativa. In ogni singolo caso, gli obiettivi e
gli aspetti chiave del controllo devono essere quindi modificati e resi spesso più specifici
conformemente all’ambito e all’oggetto dell’intero controllo.
6.2
Gli aspetti da prendere sempre in considerazione possono essere riassunti in via generale
nel modo seguente:
-
l’organizzazione e la documentazione
Le responsabilità in materia di gestione dei vari aspetti della manutenzione e dell’uso
delle applicazioni devono essere correttamente attribuite.
I costi relativi all’utilizzazione delle applicazioni devono essere identificati e
sorvegliati.
Tutta la documentazione necessaria deve essere disponibile, tenendo conto del tipo di
applicazione in causa e delle esigenze dell’organizzazione.
- 50 -
-
L’immissione
Devono essere acquisiti solo e tutti gli elementi autorizzati.
I dati immessi nelle applicazioni devono essere precisi e completi. (L’immissione
comprende sia le operazioni che i dati permanenti/di riferimento).
-
L’elaborazione
Il trattamento delle operazioni deve essere completo ed aritmeticamente esatto; i
risultati (compresi i dati prodotti) devono essere classificati correttamente e registrati
adeguatamente nei file informatici.
Le altre attività di elaborazione dei dati devono essere svolte in tempo utile e fornire
risultati corretti.
-
La trasmissione dei dati
La trasmissione dei dati deve essere corretta ed esauriente.
-
I dati permanenti
L’esattezza dei dati memorizzati dovrebbe essere garantita in permanenza.
-
L’uscita
Le informazioni prodotte, siano esse stampate su carta o visualizzate su schermo,
contenute su supporto magnetico o trasmesse elettronicamente, devono essere esatte
e complete.
Tali informazioni devono pervenire solo ed esclusivamente a coloro cui sono destinate.
6.3
L’ALLEGATO 2 illustra questi punti indicando esempi di tecniche o procedure di
controllo che è possibile incontrare. È importante che ciascuna fase includa procedure
adeguate da seguire in caso di errore; l’allegato 2 menziona questo aspetto.
6.4
Nel decidere su quali controlli basarsi, il controllore deve tenere a mente che i test sul
controllo dovranno accertare, fra l’altro, che il controllo abbia funzionato in maniera
corretta durante il periodo in esame (cfr. il criterio-guida sulla Valutazione del controllo
interno e la verifica di conformità). In generale, il fatto che il controllore, qualora ne abbia
la possibilità, cerchi di preferenza di basarsi su controlli in area utenti facilmente verificabili
- a condizione che essi rispondano adeguatamente all’obiettivo di controllo perseguito favorisce un buon impiego delle risorse di controllo. Il ricorso alle CAAT può comportare
maggiore certezza. Se il controllore deve basarsi su controlli più tecnici, spesso sarà
necessario procedere ad un audit dei controlli generali. Ad esempio, per avere la certezza
che le verifiche di convalida effettuate da un programma abbiano funzionato sempre, il
controllore dovrebbe ottenere la prova inconfutabile che i controlli delle modifiche di un
programma abbiano funzionato durante l’intero periodo di riferimento, il che
comporterebbe un audit completo dei controlli generali.
- 51 -
7.
Tecniche di controllo assistite dall’elaboratore (CAAT)
7.1
L’espressione CAAT si riferisce comunemente all’utilizzazione di software per l’estrazione
di dati allo scopo di identificare operazioni con caratteristiche particolari per procedere ad
un controllo più approfondito o per selezionare dei campioni. Tra le verifiche e le
procedure CAAT figurano:
-
l’identificazione dei valori errati;
l’identificazione di valori eccezionali;
la verifica della registrazione o del riepilogo delle operazioni;
la riesecuzione dell’elaborazione informatica (ad esempi nella conversione di valuta
estera);
il raffronto di dati contenuti in file diversi;
l’analisi cronologica dei conti;
la stratificazione.
7.2
Le CAAT sono un mezzo per raggiungere un fine, non un fine in se stesse. La loro
utilizzazione deve essere pianificata e prevista solo qualora producano un valore aggiunto
o nel caso in cui le procedure manuali siano inapplicabili o meno efficienti. Le funzioni da
svolgere devono essere precedentemente documentate e l’uso effettivo di tali tecniche deve
essere registrato. Per quanto riguarda gli elementi probatori del controllo si applicano le
norme vigenti in materia. La documentazione relativa alle CAAT deve specificare tutti i
parametri di predisposizione (settings), tutte le ricerche fatte ecc. per giungere ai risultati.
In tutti i casi, è importante poter dimostrare che il programma CAAT ha funzionato
sull’insieme esatto e completo delle registrazioni pertinenti.
8.
Controlli dei sistemi in fase di sviluppo
8.1
È importante che i nuovi sistemi informativi vengano concepiti in modo da poter essere
controllati e da presentare un livello di controllo interno sufficiente. Poiché le modifiche
a livello della configurazione divengono sempre più costose nelle ultime fasi della messa
a punto, i controllori devono considerare attentamente il calendario e la natura del loro
approccio ai nuovi sistemi informativi. Se non viene espletato alcun controllo, vi è il rischio
che vengano introdotti sistemi sprovvisti di dispositivi di controllo validi o inutilmente
complessi da controllare. Inoltre, ogni contributo in materia di controllo deve essere
apportato nel rispetto dell’indipendenza di quest’ultimo. È possibile:
-
-
-
(a) procedere ad un controllo del sistema in fase di sviluppo;
(b) partecipare direttamente in qualità di utenti dell’applicazione in via di sviluppo; in
questi casi, l’indipendenza del controllo deve essere preservata facendo in modo,
ad esempio, che siano disponibili altri controllori per esaminare il sistema
indipendentemente;
(c) assicurarsi che il responsabile in ultima analisi (proprietario) del progetto, o un
altro utilizzatore principale, consideri le esigenze di verificabilità come un’esigenza
di gestione del sistema (nei sistemi contabili è abbastanza logico che il contabile
proceda in questo modo, consultando controllori interni ed esterni);
(d) assicurarsi che l’organizzazione controllata applichi norme generali in materia di
concezione delle applicazioni che consentono di garantire la verificabilità e che il
controllo di qualità in essa operato fornisca garanzie in proposito (il controllo
- 52 -
interno, inoltre, dovrebbe adottare delle disposizioni per vigilare sulla verificabilità
in generale).
8.2
La scelta delle possibilità (a) e (b) implica l’utilizzazione di risorse considerevoli, con il
rischio che i risultati di controllo siano scarsi o che non possano dar luogo ad una
comunicazione. È preferibile, pertanto, optare per le procedure (c) e (d).
8.3
Per promuovere l’opzione c), i controllori devono sempre cogliere l’opportunità per
ricordare ai responsabili della gestione la necessità di fare in modo che nelle nuove
applicazioni siano specificate le piste di controllo/gestione adeguate; essi dovrebbero
inoltre chiedere di essere consultati durante la fase di programmazione di nuovi importanti
sistemi finanziari. L’ALLEGATO 3 presenta una nota relativa ai requisiti generalmente
applicabili in materia di controllo delle applicazioni informatiche che può rivelarsi utile
negli scambi di opinioni con i responsabili della gestione utilizzatori dei sistemi in fase di
sviluppo.
8.4
L’applicazione delle norme generali può essere verificata esaminando la metodologia
applicata dalla divisione informatica dell’organismo controllato per lo sviluppo dei sistemi,
nonché attraverso il dialogo con l’unità responsabile delle norme concernenti i sistemi
informatici e i controllori interni per accertarne l’esecuzione corretta.
- 53 -
GLOSSARIO
Applicazione
Un insieme di programmi, dati e procedure amministrative che formano un sistema informatico
concepito per svolgere una funzione specifica amministrativa o commerciale (ad esempio, la
contabilizzazione, il pagamento di sovvenzioni, le registrazioni di inventario). La maggior parte
delle applicazioni possono essere considerate come processi costituiti da varie fasi, tra cui
l’inserimento dei dati, l’elaborazione, la memorizzazione dei dati e la produzione di risultati.
Back-up (salvataggio informatico)
Riguarda il recupero di dati e di programmi, nonché l’attivazione di procedure operative
alternative in caso di danno o perdita.
Copia di back-up
Duplicazione di dati o di software aggiornata e disponibile da utilizzare in caso di deterioramento
o perdita dell’originale.
CAAT (Tecniche di controllo assistite dall’elaboratore)
Programmi informatici per compiere verifiche, recuperare, smistare o selezionare dati, o per
ottenere elementi che attestino il corretto funzionamento dell’elaborazione.
Piano d’emergenza (detto anche Piano di continuità dell’attività o Piano di “disaster
recovery”)
Piani e procedure volti ad assicurare il ripristino del funzionamento dei sistemi informatici
(hardware, software, dati e telecomunicazioni) nella misura e nei tempi richiesti successivamente
ad un sinistro che ha reso inutilizzabili le attrezzature e/o il sito.
Sistema in fase di sviluppo
Applicazione informatica la cui predisposizione è ancora in corso e quindi non ancora operativa
(produttiva). Le fasi di preparazione possono comprendere: la proposta, uno studio di fattibilità,
l’identificazione dei bisogni dell’utente (user specification), la progettazione, la messa a punto
di un prototipo, la programmazione, il collaudo del programma e del sistema, la verifica da parte
dell’utilizzatore, la conversione, un esperimento pilota.
Sistemi informatici (SI)
Sistemi che registrano, diffondono o elaborano informazioni, servendosi in genere della
tecnologia informatica.
- 54 -
Tecnologia informatica (TI)
Attrezzatura, comprendente i computer, utilizzata per la manipolazione e l’elaborazione di dati.
Controllo di accesso logico
Utilizzazione di un software per impedire l’accesso non autorizzato alle risorse informatiche
(compresi file, dati e programmi) e alle relative procedure amministrative.
Responsabile/Proprietario
Persona (o unità) responsabile di taluni beni (SI o TI), nonché della loro sicurezza e del loro
corretto funzionamento.
Programma
Gamma completa delle istruzioni neccessarie per risolvere un problema particolare o porre in atto
una procedura (o una serie di procedure) particolare(i) su un computer.
Software
Istruzioni computer in generale.
Software di sistema
Serie di programmi utilizzati per controllare e gestire il funzionamento di un computer e
l’assegnazione e l’impiego delle risorse informatiche. (Il software del sistema comprende
programmi che possono modificare dei dati o altri programmi senza seguire i processi consueti
stabiliti nell’applicazione in causa; l’accesso al software di sistema dovrebbe pertanto essere
molto limitato e concesso esclusivamente a personale non incaricato della programmazione e,
preferibilmente, non addetto a funzioni operative o di gestione degli accessi).
Dichiarazioni di terzi (DT)
Dichiarazioni fornite da controllori specializzati in SI che esercitano le proprie funzioni per
un’organizzazione diversa dall’ISC. Le DT coprono, di norma, i controlli generali relativi ai
centri e/o alle applicazioni informatiche. Cfr. il paragrafo 3.6.
Utente
Persona o unità che utilizza i sistemi informatici. Si tratta, in particolare, nel settore privato o in
quello pubblico, di servizi che si avvalgono dei sistemi informatici per adempiere alle funzioni di
cui sono responsabili in seno all’organizzazione.
- 55 -
ALLEGATO 1
CONTROLLI GENERALI (RIGUARDANTI LE ISTALLAZIONI INFORMATICHE) QUESTIONI GENERALI RELATIVE ALLA GESTIONE
OBIETTIVI DI CONTROLLO ED ESEMPI DI TECNICHE DI CONTROLLO
OBIETTIVI DI CONTROLLO
Procedure o controlli possibili
Nota: In ciascun caso, si tratta di una gamma di possibilità presentate a titolo
illustrativo; non è necessario che siano tutte realizzate per conseguire l’obiettivo
di controllo; l’obiettivo può essere raggiunto in altri modi. Il controllore deve
formulare un giudizio sull’efficacia complessiva dell’insieme dei controlli
effettivamente compiuti, tenendo a mente le dimensioni, la complessità e
l’importanza del sistema in causa.
GA. ORGANIZZAZIONE E GESTIONE
GA1.
Pianificazione, assegnazione delle risorse umane, stesura delle relazioni e
separazione delle funzioni
Fare in modo che il servizio informatico abbia la giusta collocazione nell’ambito
dell’organizzazione, che sia dotato di personale sufficiente e che le funzioni
incompatibili siano separate.
1. Il responsabile del servizio informatico occupa una posizione gerarchica
appropriata, data l’importanza della tecnologia informatica per l’organizzazione,
e la posizione del servizio informatico in seno all’intera organizzazione è consona
alle responsabilità e agli obiettivi ad esso assegnati.
2. I piani strategici in campo informatico sono elaborati e rivisti ogni anno: Essi sono
esaminati e approvati dai vertici dell’organizzazione (direzione o consiglio
d’amministrazione).
3. Il personale addetto al servizio informatico non ne è, al contempo, utente e
viceversa: il personale del servizio informatico non può avviare o approvare
un’operazione, mentre il personale che utilizza le risorse informatiche non può
scrivere programmi che modifichino i dati.
4. Nell’ambito dell’organizzazione viene pubblicato ed aggiornato un organigramma
del servizio informatico.
5. Per quanto concerne il personale del servizio informatico, è stata definita una
politica che garantisce l’assunzione, la formazione e la permanenza del personale
- 56 -
in possesso delle competenze necessarie e che prevede eventuali sostituzioni in
caso di cessazione delle funzioni.
6. In ogni settore funzionale del servizio informatico si rilevano livelli appropriati di
supervisione e di approvazione.
7. Nel servizio informatico sono disponibili delle descrizioni ufficiali delle varie
mansioni, regolarmente aggiornate.
8. Il personale addetto alla gestione e quello incaricato della programmazione
appartengono a due gruppi distinti: i primi non sono autorizzati a scrivere
programmi e i programmatori non possono far funzionare i computer.
9. Se le dimensioni del servizio informatico lo consentono, è opportuno che il
personale avente accesso al software di sistema non svolga funzioni di
programmatore e di operatore.
10. Le procedure di sicurezza di carattere logico (diritti di accesso e password) sono
gestite da personale che non si occupa della programmazione.
11. Il servizio informatico è regolarmente in contatto con i servizi utilizzatori.
12. Una politica di gestione dei cambiamenti disciplina lo sviluppo e il potenziamento
delle applicazioni informatiche ed assicura che i nuovi programmi vengano
pienamente “collaudati” ed accettati dall’utente.
GB. POLITICA IN MATERIA DI SICUREZZA
GB1.
Sensibilizzazione e politica in materia di sicurezza
Definire e comunicare le politiche e le procedure relative alla sicurezza delle
informazioni, fare in modo che i responsabili della gestione, gli utilizzatori e il
personale del servizio informatico siano consapevoli dei problemi di sicurezza e
che rispettino pertanto le procedure applicabili in materia.
1. È stata definita una politica per quanto concerne l’accesso, sia logico che fisico,
alle risorse informatiche; essa è stata comunicata alla direzione e al personale, che
vi si attengono.
2. Una politica di sicurezza fisica riguardante:
le restrizioni in materia di accesso agli edifici, ai locali informatici, alle
zone in cui è custodito materiale informatico,
i rischi di incendio e di altri sinistri,
il piano di emergenza,
è stata definita, comunicata ai responsabili della gestione al personale, che la
rispettano.
- 57 -
3. Tutti gli agenti che utilizzano i PC sono tenuti a firmare un documento contenente
le disposizioni relative alla sicurezza e altre da seguire rigorosamente, comprese
le norme in materia di sicurezza fisica, l’esclusiva utilizzazione di software
autorizzato (provvisto di licenza) e di misure anti-virus (limitazioni
all’importazione di dati e di programmi potenzialmente pericolosi).
4. L’accesso alle risorse informatiche è controllato attraverso i codici di
identificazione dell’utente e le password riservate.
5. I codici di identificazione dell’utente e le password sono stabiliti dal personale
incaricato a tal fine e solo previa autorizzazione scritta dal superiore gerarchico
della persona che richiede l’accesso.
6. La politica relativa all’accesso da parte del personale a risorse esterne, tra cui
Internet, è stata definita ed enunciata.
7. Un responsabile della sicurezza con la formazione tecnica adeguata viene
designato e consultato ai fini dell’approvazione dei dispositivi di controllo
dell’accesso posti in atto.
8. Le procedure di sicurezza vengono periodicamente sottoposte a verifica.
9. Il responsabile della sicurezza presenta regolarmente relazioni ufficiali sullo stato
delle procedure di sicurezza; i responsabili della gestione provvedono a dar seguito
a tali relazioni.
10. La direzione incarica di tanto in tanto degli esperti (consulenti esterni o addetti al
controllo interno) di procedere ad una revisione ufficiale della sicurezza dei sistemi
informativi.
11. Se la rete è accessibile dall’esterno (ad esempio Internet), è stato posto in atto un
sistema di protezione (“firewall”).
12. L’efficacia di questo sistema è stata esaminata da un consulente specializzato.
GC.
CONTINUITÀ E RIPRESA DELL’ATTIVITÀ DOPO UN SINISTRO
GC1.
Back-up, memorizzazione esterna alla sede dell’istallazione (off-site), recupero
e piano di intervento in caso di sinistro (disaster recovery)
Garantire la sicurezza dei dati contro il rischio di perdita o di danno ed
assicurare la continuità delle operazioni.
1. Sono state definite una politica e una procedura dettagliate per quanto concerne
una copia di emergenza dei dati e dei programmi (back-up).
- 58 -
2. Sono previste routine che consentono di produrre copie di salvaguardia dei file
nell’ambito delle normali attività quotidiane (particolarmente importanti per i
sistemi decentrati con teleinserimento dei dati etc.).
3. Copie di salvaguardia dei file chiave principali vengono eseguite in base ad un
calendario appropriato e custodite esternamente alla sede dell’istallazione.
4. Copie di back-up dei programmi applicativi chiave e della documentazione
fondamentale vengono effettuate e custodite off-site.
5. Copie di back-up dei programmi del sistema operativo vengono prodotte e
custodite off-site.
6. I programmi applicativi e i programmi del sistema operativo off-site sono
aggiornati o sostituiti ogniqualvolta vengano apportate modifiche significative ai
programmi. L’accesso ai file permanenti, ai programmi applicativi e ai programmi
del sistema operativo situati esternamente al luogo dell’istallazione è limitato al
personale autorizzato.
7. Le procedure di recupero e di riavviamento, compreso il ripristino rapido dei file
danneggiati o perduti sono poste in atto e verificate periodicamente.
8. Esiste un piano di emergenza anti-sinistro (disaster recovery), per la continuità
dell’attività, che consente di proseguire le operazioni in corso, al livello richiesto
dagli utenti, nel caso in cui il servizio informatico non sia in grado di assicurare il
normale funzionamento delle sue attività.
9. Il piano anti-sinistro viene regolarmente sottoposto a test (ad esempio su base
annuale). In seguito a tali verifiche vengono redatte delle relazioni formali e la
direzione provvede ad adottare le misure necessarie.
10. Le copie del piano suddetto sono custodite off-site.
GD.
GESTIONE DEL PATRIMONIO INFORMATICO E RICORSO A
FORNITORI DI SERVIZI ESTERNI
GD1.
Responsabilità relative al patrimonio informatico dell’organizzazione
Fare in modo che sia designato un responsabile della gestione delle risorse
informatiche.
1. Nell’ambito dell’organizzazione viene determinata la “proprietà” di ciascun bene
informatico (hardware, software, applicazioni e dati).
2. Viene reso conto delle attività del personale e del funzionamento delle
attrezzature.
- 59 -
3. Gli utenti sono responsabili/proprietari dei rispettivi dati ed applicazioni.
4. Vengono eseguiti e regolarmente verificati inventari dell’hardware.
5. Un inventario attendibile del software (compreso il software istallato nei PC) viene
eseguito e regolarmente verificato.
6. Viene designato un responsabile incaricato di verificare il rispetto delle condizioni
previste dalle licenze per l’utilizzazione del software e vengono attuate, a tal fine,
le misure necessarie.
7. È definita una politica chiara in materia di gestione e di responsabilità informatiche
dei singoli utenti, riguardante, fra l’altro:
-
la sicurezza (cfr. GB1.3);
le esigenze in termini di back-up;
la misura in cui i programmi possono essere sviluppati dagli utenti
finali;
la documentazione e le altre procedure di base per questi programmi
locali nonché per i fogli elettronici che assolvono talune funzioni in
seno all’organizzazione.
8. Lo stato e la “proprietà” della posta elettronica sono stati definiti e comunicati al
personale.
GD2.
Ricorso ai fornitori di servizi esterni (ad esempio, esternalizzazione (outsourcing)
di servizi specifici, uso di uffici informatici esterni)
Assicurare una gestione efficace del ricorso a fornitori di servizi esterni.
1. È previsto l’accesso da parte dei controllori.
2. Il contratto o la convenzione relativa alla qualità dei servizi forniti specificano
alcune esigenze riguardanti, fra l’altro:
il rendimento;
la sicurezza;
la proprietà dei dati e l’accesso a questi ultimi;
la disponibilità dei servizi;
le disposizioni da applicare in casi di emergenza (ad esempio se il
fornitore di servizi cessa la sua attività).
3. La direzione sorveglia attivamente il rendimento rispetto alle esigenze espresse.
- 60 -
ALLEGATO 2
CONTROLLI DELLE APPLICAZIONI INFORMATICHE OBIETTIVI DI CONTROLLO ED ESEMPI DI TECNICHE DI CONTROLLO
OBIETTIVI DI CONTROLLO
Procedure o controlli possibili
Nota: In ciascun caso, si tratta di una gamma di possibilità presentate a titolo
illustrativo; non è necessario che siano tutte realizzate per conseguire l’obiettivo
di controllo; l’obiettivo può essere raggiunto in altri modi. Il controllore deve
formulare un giudizio sull’efficacia complessiva dell’insieme dei controlli
effettivamente compiuti, tenendo a mente le dimensioni, la complessità e
l’importanza del sistema in causa.
AA. ORGANIZZAZIONE E DOCUMENTAZIONE
AA1. Responsabilità in materia di applicazioni
Fare in modo che le responsabilità siano adeguatamente ripartite sul piano della
gestione per quanto concerne ogni aspetto della manutenzione e del funzionamento
delle applicazioni.
1. L’utilizzatore (o l’utente principale) è considerato il responsabile (“proprietario”)
dell’applicazione.
2. La manutenzione dell’applicazione e le decisioni circa il suo futuro sviluppo sono
gestite formalmente, di preferenza dal proprietario.
3. Il rendimento dell’applicazione e il suo contributo alla funzione operativa di cui fa
parte sono gestite attivamente, di preferenza dal proprietario.
4. La proprietà dei dati utilizzati dall’applicazione è specificata.
5. I compiti del servizio informatico e di eventuali terzi (ad esempio (software-house)
società di servizi e di consulenza) per quanto concerne il funzionamento e l’assistenza
relative all’applicazione sono previsti nelle convenzioni relative alla qualità del servizio
(mediante contratto nel caso di terzi).
6. Tutti i servizi incaricati di inserire i dati e di gestire i risultati prodotti sono noti e le
loro responsabilità (in materia di tempi, qualità, sicurezza etc) sono oggetto di un
accordo formale.
- 61 -
7. La ripartizione delle responsabilità riguardo alla precisione e all’integrità permanente
dei dati memorizzati è chiara (di norma, la responsabilità dovrebbe incombere, in
ultima analisi, all’utente).
8. Per quanto riguarda le decisioni da adottare e da porre in atto in merito alle
disposizioni di sicurezza e di controllo concernenti l’applicazione, le responsabilità
sono assegnate tenendo conto della politica di sicurezza generale dell’organizzazione
e delle misure di sicurezza applicate dal servizio informatico.
9. Sono designati i responsabili incaricati di fornire e tenere aggiornata la
documentazione, compresi i manuali dell’utente.
AA2. Ripartizione dei costi
Fare in modo che i costi del funzionamento delle applicazioni siano identificati e
costantemente esaminati.
1. I costi di funzionamento dei computer sono registrati e ripartiti per applicazione.
2. Le spese generali e le spese per il personale del servizio informatico sono identificate
e ripartite per applicazione.
3. Le spese di funzionamento sono notificate al responsabile dell’applicazione e ai
responsabili della gestione delle risorse; esse vengono esaminate conformemente alla
politica dell’organizzazione in materia.
4. Le spese di manutenzione e di potenziamento delle applicazioni informatiche sono
identificate e notificate.
5. Per quanto riguarda i lavori di sviluppo e di manutenzione vengono elaborati dei
preventivi approvati dal proprietario o dal responsabile della gestione delle risorse; essi
vengono usati per controllare i lavori.
AA3. Documentazione
Fare in modo che sia predisposta tutta la documentazione necessaria, considerando
i tipi di applicazioni in causa e le necessità dell’organizzazione. (La documentazione
può essere custodita su supporto non cartaceo a condizione che siano assicurate la
disponibilità e l’affidabilità dei mezzi di stoccaggio.)
1. UNA DESCRIZIONE DETTAGLIATA DEL SISTEMA presenta i dati e il
funzionamento dell’applicazione in termini che ne fanno un mezzo di comunicazione
efficace fra gli utenti e i fornitori di servizi informatici.
2. La descrizione dettagliata del sistema viene regolarmente aggiornata.
3. Essa è conforme alle norme dell’organizzazione in materia di documentazione e alla
metodologia di sviluppo dei sistemi.
- 62 -
4. In essa (o in un documento a parte) sono indicate le esigenze dell’utente in materia di
controllo ed eventuali altri requisiti speciali riguardanti l’applicazione.
5. Una DOCUMENTAZIONE DEI PROGRAMMI strutturata e compendente codicisorgente comprensibili è disponibile e regolarmente aggiornata.
6. I diritti dell’organizzazione di ottenere una documentazione e codici-sorgente
sviluppati da contraenti esterni sono garantiti anche in caso di bancarotta del fornitore
(ad esempio depositandoli presso terzi).
7. Le ISTRUZIONI PER GLI OPERATORI sono aggiornate e vertono su qualsiasi
azione speciale richiesta (ad esempio: risposta ad un messaggio di errore, chiusura non
rientrante nella norma etc.).
8. I MANUALI DELL’UTENTE definiscono con precisione responsabilità e procedure
e sono sistematicamente aggiornati.
AB. IMMISSIONE DATI
AB1. Autorizzazione
Fare in modo che siano introdotti tutti - ed esclusivamente - gli elementi autorizzati.
1. I controlli di accesso assicurano che solo le persone autorizzate accedano alle
procedure di immissione dei dati.
2. Le immissioni di dati sono eseguite in base a documenti autorizzati, sottoposti a
verifica per quanto concerne l’autorizzazione (solitamente una firma) da parte della
persona che procede all’inserimento dei dati, oppure ad una verifica amministrativa
preliminare.
3. I documenti utilizzati per l’immissione dei dati sono numerati progressivamente;
vengono inoltre verificate, mediante computer o manualmente, la validità e l’integrità
della sequenza.
4. Le registrazioni che non rientrano nella trascrizione di documenti autorizzati ricevono
l’autorizzazione in funzione della loro importanza prima di essere elaborate. (Tale
operazione può aver luogo, all’occorrenza, su base statistica). I metodi adottati
comprendono:
- lo stoccaggio delle registrazioni in un file apposito fino al loro svincolamento da
parte di un supervisore mediante un procedimento interattivo;
- la segnalazione delle registrazioni recenti da sottoporre ad un supervisore per la
verifica;
- l’ottenimento dell’autorizzazione a stampare, successiva alla registrazione, prima
di procedere ad ulteriori elaborazioni;
5. La trasmissione dei documenti autorizzati e verificati è controllata per blocchi (tecnica
batch).
- 63 -
6. Le registrazioni vengono stampate per conferma e inviate agli ordinatori per
l’apposizione della firma.
7. Le modifiche dei dati permanenti vengono autorizzate adeguatamente.
8. Le verifiche programmate impediscono la convalida e il trattamento delle registrazioni
che non possono, logicamente, essere state autorizzate, ad esempio nel caso di
pagamenti per importi superiori alla dotazione disponibile.
AB2. Esaustività ed esattezza dei dati
Assicurarsi che i dati introdotti nelle applicazioni siano esatti e completi.
(L’immissione comprende sia dati relativi ad operazioni che dati permanenti/di
riferimento.)
1. Vengono eseguiti controlli per blocchi che comprendono l’uso di totali di controllo
(hash) per tutti i campi particolarmente delicati ed è accertata la concordanza dei totali
richiesti.
2. I controlli di validità sono espletati da un programma per assicurare che i dati
registrati:
- abbiano il formato previsto per ciascun campo;
- siano contenuti entro certi limiti (ad esempio, non devono essere negativi laddove
ciò è logicamente impossibile né superare importi ragionevoli prestabiliti; essi
devono inoltre rientrare nella sequenza conosciuta di elementi dello stesso tipo
(numeri di assegni etc.).
3. Per i dati riservati si ricorre alla doppia registrazione.
4. Per l’introduzione dei dati on-line, i tabulati delle registrazioni eseguite indicano i totali
aggregati, i quali vengono verificati o confrontati con i totali stabiliti separatamente per
la sessione.
5. Dei digit di controllo vengono utilizzati con numeri di riferimento e sottoposti ad una
procedura di convalida.
6. La convalida comprende verifiche di coerenza dei dati inseriti (ad esempio, debiti =
crediti; i numeri di riferimento corrispondono al relativo materiale descrittivo.)
7. Si procede a controlli di carattere logico avvalendosi di registrazioni esistenti ed
accessibili (ad esempio, i saldi di conto).
8. I dati permanenti (e altri dati chiave) sono stampati e approvati definitivamente
dall’utilizzatore responsabile prima di essere utilizzati nell’elaborazione.
9. Qualora il sistema rifiuti dei dati nel corso della procedura di convalida o di
elaborazione, vengono creati dei file di attesa (suspense file) informatici o manuali per
la gestione degli errori; sono inoltre previste delle procedure per assicurare la
- 64 -
correzione e il reinserimento rapidi dei dati in sospeso (senza per questo eludere la
procedura di autorizzazione normale e le altre verifiche relative alle registrazioni) o la
loro soppressione.
AC. ELABORAZIONE
AC1. Elaborazione delle operazioni
Fare in modo che il trattamento delle operazioni sia esauriente ed aritmeticamente
esatto e che i risultati (compresi i dati generati) siano correttamente classificati e
adeguatamente registrati nei file informatici.
1. I totali di controllo per il blocco o la sessione sono confrontati con la modifica
complessiva in record di controllo appropriati, nell’ambito dei file informatici. (È
importante che i tipi di blocchi e le registrazioni di controllo siano strutturati in modo
da consentire l’individuazione, mediante questo controllo, di un errore di
classificazione rilevante).
2. Qualora il programma generi dei dati (ad esempio svolga operazioni aritmetiche come
la conversione di valuta, o ricerchi e registri dei dati aventi un nesso logico ma non
aritmetico con i dati inseriti, ad esempio, i pagamenti), l’utente compie delle verifiche
rispetto ad una previsione dell’importo globale elaborata separatamente o ad un
campione di operazioni.
3. Le informazioni prodotte comprendono stampe o videate di controllo su cui gli
utilizzatori responsabili devono confermare e accettare i totali di controllo chiave.
4. I controlli di convalida inclusi nei programmi comprendono le seguenti oeprazioni:
(1) fare in modo che i totali (per blocco) stabiliti prima dell’elaborazione siano presi
interamente in considerazione in ciascuna fase;
(2) effettuare controlli di coerenza laddove le registrazioni eseguite riassumono
informazioni già esistenti (ad esempio, quando figurano sia il numero di conto che il
nome);
(3) effettuare controlli dei limiti degli importi generati (calcolati, ricercati) per
programma.
5. I computi e i totali di controllo sono tenuti su ciascun file di dati cui ha accesso
l’applicazione.
6. I computi e i totali di controllo sono tenuti per ciascun tipo di operazione.
7. Viene utilizzata una serie di processi (success units) per assicurarsi che le operazioni
complesse siano interamente iscritte negli appositi file oppure completamente
annullate.
8. Dei file di controllo separati su un elaboratore diverso vengono utilizzati per verificare
che siano state caricate le versioni appropriate dei file.
- 65 -
9. I totali di controllo manuale sono stabiliti e raffrontati regolarmente con i totali
prodotti dal sistema.
10. Qualora il sistema rifiuti dei dati nel corso della procedura di convalida o di
elaborazione, vengono creati dei file di attesa informatici o manuali per la gestione
degli errori; sono previste delle procedure per assicurare la correzione e il
reinserimento rapidi dei dati in sospeso (senza eludere la procedura di autorizzazione
normale e le altre verifiche relative alle registrazioni) o la loro soppressione.
AC2. Altre operazioni di elaborazione
Fare in modo che altre operazioni di elaborazione (comprese la riorganizzazione dei
dati, come le procedure di fine anno o di fine mese, le verifiche regolari dell’integrità
dei dati, la produzione di rapporti e di analisi non direttamente connessi ai dati
registrati, la fornitura di dati ad altre applicazioni e i dispositivi di interrogazione)
siano eseguite a tempo debito e diano risultati corretti).
1. Il calendario relativo alle operazioni regolari di questo tipo è controllato
dall’utilizzatore; l’esecuzione ha luogo secondo le istruzioni di quest’ultimo.
2. Le procedure utenti stabiliscono le responsabilità relative alle verifiche da compiere sui
risultati di tali operazioni (ad esempio, verificare che gli importi indicati come trattati
corrispondano alle previsioni, che i nuovi importi globali che figurano nelle
registrazioni di controllo rispecchino gli adeguamenti previsti, che i rapporti
informativi di gestione indichino mediante totali di controllo che vi è incluso l’insieme
dei dati previsti).
3. Laddove i dati appartenenti all’applicazione sono accessibili da parte di un dispositivo
di interrogazione, il grado di verifica appropriato è incorporato nel trattamento che
genera risposte (ad esempio, dimostrare, ove sia importante, che tutti i record
pertinenti sono stati letti, calcolando e indicando il totale delle registrazioni che non
sono state selezionate).
4. Gli utilizzatori di dispositivi di interrogazione e i responsabili di altre applicazioni che
si servono dei dati sono consapevoli del livello di affidabilità dei dati e della procedura
programmata con cui li ottengono.
AD. TRASMISSIONE DEI DATI
AD1. I dati dovrebbero essere trasmessi in maniera accurata ed esauriente
Fare in modo che tutti i dati trasmessi, attraverso la rete o mediante dischetti o
nastri, giungano a destinazione corretti e completi e che non si verifichino perdite o
divulgazioni di dati durante la loro trasmissione (vedasi inoltre la sezione AF1).
1. Utilizzazione di digit di controllo, di totali “hash” e di altri totali di controllo.
2. Utilizzazione di firme digitali.
- 66 -
3. Codificazione dei dati..
4. Uso di password.
5. Numerazione progressiva dei messaggi, sequenziamento delle operazioni.
6. Le notifiche che confermano il ricevimento vengono trasmesse e immediatamente
raffrontate alle registrazioni dei dati trasmessi.
AE. DATI PERMANENTI
AE1. Esattezza duratura dei dati permanenti
Garantire che tutti i dati contenuti nel sistema e aventi carattere permanente o di
riferimento permangano esatti e completi.
1. La responsabilità della verifica dell’esattezza permanente dei dati incombe o al gestore
della base dati o agli utilizzatori competenti.
2. I totali di controllo sono utilizzati per sorvegliare lo stato dei file che contengono dati
permanenti.
3. La stampa di dati permanenti o di riferimento viene controllata periodicamente
dall’utilizzatore competente in base a documenti-sorgente. Tale verifica può aver luogo
su base ciclica o statistica, a seconda del rischio che comportano eventuali dati inesatti.
AF. USCITA
AF1. Esattezza delle informazioni prodotte
Assicurare l’esattezza e l’esaustività delle informazioni prodotte su carta, video, o
supporti magnetici, nonché attraverso collegamenti elettronici.
1. Il programma effettua verifiche di convalida e del campo di variazione sulle
registrazioni prodotte. Se le informazioni prodotte non sono conformi appaiono dei
messaggi di avvertimento. Esiste una procedura diretta all’utente per trattare questi
messagi di avvertimento.
2. Esistono procedure volte a garantire un livello appropriato di controllo di plausibilità
per quanto riguarda i risultati stampati (dall’assenza di controllo per documenti interni
che non costituiscono una base su cui adottare decisioni alla lettura integrale a fronte
di documenti di sostegno, come, ad esempio, per gli assegni di importo elevato).
3. Per la trasmissione di istruzioni di pagamento alle banche:
-
l’utilizzatore competente si serve sia dei totali di controllo che delle verifiche
mediante sondaggio (ad esempio verifiche saltuarie a campione sul disco da
trasmettere o lettura a caso e campionamento dei messaggi trasmessi) per
- 67 -
-
ottenere la ragionevole certezza che le informazioni effettivamente inviate siano
identiche a quelle autorizzate;
la trasmissione di nastri o di dischi deve essere curata da servizi di corriere
affidabili;
i dischi o i nastri preparati in attesa di essere inoltrati devono essere custoditi con
la massima sicurezza;
i limiti prestabiliti relativi all’importo totale e alle singole operazioni sono
concordati con la banca;
gli avvisi di ricezione vengono tempestivamente raffrontati (in tempo per revocare
eventualmente i pagamenti);
il raffronto post-pagamento viene eseguito tempestivamente.
4. I prospetti d’uscita comprendono totali confrontati dall’utilizzatore con i totali stabiliti
prima dell’inserimento dei dati. Delle stampe particolareggiate dell’input sono
disponibili, all’occorrenza, per esaminare eventuali divergenze.
AF2. La distribuzione corretta delle informazioni prodotte
Fare in modo che le informazioni generate pervengano a tutti i destinatari
contemplati, ed esclusivamente ad essi.
1. I dati prodotti dal centro informatico sono tenuti sotto sorveglianza e distribuiti
rispettando le norme di sicurezza necessarie e la loro riservatezza.
2. Gli elenchi dei destinatari delle informazioni generate sono rivisti regolarmente e i
recapiti inutili o inesatti vengono cancellati.
3. Le copie superflue dei risultati ottenuti (per le quali non vi sono cioè destinatari) non
vengono prodotte.
4. Le norme di sicurezza generali applicate ai personal computer, ai terminali e alle
stampanti situati presso gli utilizzatori finali garantiscono sufficientemente la
riservatezza dei dati generati, tenendo conto del livello di sicurezza dell’edificio e della
qualità dei controlli in materia di password etc..
5. La persona responsabile della sicurezza relativa all’applicazione conosce bene i vari
gruppi di utilizzatori che hanno accesso ai dati generati in qualsiasi forma e decide di
conseguenza in materia di controllo (cfr. il punto AA1.8). In particolare, i controlli di
accesso logico per l’applicazione tengono conto delle possibilità di accesso attraverso
tutte le reti con cui è collegata l’istallazione.
6. Tutta la produzione prevista è preso in considerazione (ad esempio, l’uso di una
numerazione progressiva per individuare la soppressione non autorizzata di rapporti
che segnalano eccezioni).
7. I rapporti vengono prodotti regolarmente anche se non vi sono problemi da segnalare
(i destinatari dovrebbero pertanto abituarsi a ricevere un rapporto e ad essere più
- 68 -
attenti a rilevare un rapporto soppresso da una persona che non desidera che il suo
contenuto venga divulgato.)
8. I formulari di documenti negoziabili, riservati o delicati (ad esempio gli assegni)
devono essere correttamente registrati e protetti affinché possano essere
adeguatamente salvaguardati da furti o danni. Il registro dei formulari deve essere
regolarmente confrontato con l’inventario disponibile e le eventuali discrepanze
rilevate devono essere accuratamente esaminate.
- 69 -
ALLEGATO 3
ESIGENZE IN MATERIA DI CONTROLLO DELLE APPLICAZIONI
I seguenti requisti sono espressi in termini generali. Nel complesso, è necessario fornire ai gestori
utilizzatori degli elementi probatori con una frequenza adeguata (ad esempio quotidianamente),
affinché essi possano avere la certezza che i dati e l’elaborazione operata dall’applicazione sono
corretti. Soluzioni specifiche (come gli aggregati e i totali di controllo, la numerazione
progressiva, i rapporti da utilizzare per un raffronto o per la verifica di plausibilità, la
consultazione del supervisore/responsabile e l’approvazione registrata dei dati di controllo sullo
schermo) devono essere definiti nelle prime fasi del progetto.
Quanto segue presuppone che nei sistemi/reti in cui è installata l’applicazione in causa siano insiti
controlli generali del sistema soddisfacenti per l’utente. Tali controlli dovrebbero coprire, ad
esempio, l’accesso fisico, l’accesso logico in generale, la separazione delle funzioni del personale
informatico, il back-up, il piano di ripristino in caso di sinistro, le modifiche (a livello di
software), nonché indicatori di rendimento che misurino l’efficienza del sistema.
1. Accesso
L’applicazione dovrebbe impedire l’accesso ai programmi da parte di personale
non autorizzato e prevedere che l’accesso alle risorse utenti (elaborazioni o dati)
sia gestito da uno o più utilizzatori principali ed eventualmente limitato,
all’occorrenza, per rispettare le diverse modalità di lavoro e separazioni delle
funzioni vigenti in seno ai servizi utilizzatori (ad esempio, in base al codice
contabile, al valore, alle funzioni etc.). L’accesso dovrebbe essere sempre
controllato e registrato su base individuale e il sistema dovrebbe impedire e
segnalare qualsiasi tentativo di accesso non autorizzato.
2. Immissione di dati
Il sistema dovrebbe fornire elementi probatori che consentano ai responsabili
utilizzatori di accertare l’esaustività dei dati immessi (compresi i dati permanentit),
la loro validità conformemente alle esigenze dell’utilizzatore e la loro corretta
registrazione nei file adeguati.
3. Integrità dei dati
Il sistema dovrebbe essere organizzato in modo da fornire regolarmente ai
responsabili utilizzatori elementi da cui risulti che i dati permanenti e quelli
registrati sono sempre completi ed esatti.
4. Elaborazione delle operazioni
Il sistema dovrebbe fornire regolarmente elementi atti a dimostrare l’esattezza del
trattamento delle operazioni nel loro complesso e della loro registrazione nei file
adeguati.
- 70 -
5. Modifica dei dati e dei programmi attraverso procedure di emergenza
Qualora dei dispositivi o delle procedure di emergenza che consentono di
modificare dei dati saltando la normale procedura di convalida siano integrati
nell’applicazione, è necessario poterne registrare e limitare rigorosamente
l’utilizzazione.
6. Traccia del controllo
È necessario poter tracciare nel sistema l’iter seguito da tutte le operazioni.
Dovrebbe essere tenuta una traccia di ciascun dato componente i totali stabiliti in
varie fasi, onde poter identificare le singole operazioni.
7. Record
Tutte le azioni eseguite per ciascuna registrazione di operazioni dovrebbero essere
contrassegnate dal codice di identificazione dell’utilizzatore, nonché recare la data
e l’ora del computer (oltre al codice di operazione). Dovrebbero essere conservate
le registrazioni complete di ciascuna modifica (senza sovrapposizione di
registrazioni).
8. Uscita
I dati generati dovrebbero recare la data e l’ora nonché (qualora fosse necessario
a fini di controllo) un numero progressivo. Dei controlli appropriati (il cui
funzionamento deve essere dimostrato al contabile) devono essere espletati sul
trasferimento elettronico dei dati di pagamento, al fine di garantire che tutte le
operazioni autorizzate (e solo quelle) siano eseguite a tempo debito.
- 71 -
N. 23
IL CAMPIONAMENTO A FINI DI CONTROLLO
INDICE
Paragrafi
Fattori che incidono sulla decisione di procedere ad un campionamento
Concetti di base e definizioni
Le fasi del campionamento a fini di controllo
Documentazione
Controllo sulla gestione
Valutazione dei risultati globali delle verifiche di convalida
1
2
3
4
5
6
Allegato 1
--------------------
1.
1.1
Nella spiegazione delle norme di controllo dell'INTOSAI (paragrafo 153) si legge:
"I risultati del controllo, le conclusioni e le raccomandazioni devono essere basati su
elementi probatori. Dato che i controllori raramente hanno l'occasione di esaminare tutte
le informazioni relative all'organismo controllato, è d'importanza fondamentale scegliere
accuratamente le serie di dati e le tecniche di campionamento".
2.
Fattori che incidono sulla decisione di procedere ad un campionamento
2.1. Gli elementi probatori possono essere raccolti usando tecniche diverse che possono essere
riassunte nelle grandi categorie di ispezione, osservazione, indagine e conferma, calcoli ed
analisi (cfr. l'allegato 1 del criterio-guida n. 13 "Elementi probatori e metodo di controllo").
Il controllore può applicare siffatte tecniche ad un insieme intero di dati (verifica del 100%)
oppure trarre conclusioni per l'insieme intero di dati (la popolazione) prelevando da esso
e analizzando un campione rappresentativo di elementi: quest'ultima procedura è detta
campionamento a fini di controllo.
2.2. Il controllore deve giudicare se il campionamento costituisca un mezzo adeguato per
ottenere parte degli elementi probatori necessari. Tra i fattori da considerare figurano:
- 72 -
.
il numero e la grandezza relativa degli elementi nella popolazione;
.
.
la validità degli elementi in causa e il loro rischio intrinseco di errore;
la pertinenza e l'attendibilità degli elementi probatori forniti da verifiche e procedure
alternative, i costi relativi e il tempo che ciascuna di esse richiede.
2.3. Il campionamento spesso risulterà adeguato quando si effettuano sia test sul controllo che
verifiche di convalida. Tuttavia, poiché gli obiettivi di questi tipi di verifiche sono diversi,
potrà essere necessario ricorrere a metodi diversi di campionamento.
3.
Concetti di base e definizioni
3.1. Dato che il controllore cerca di trarre delle conclusioni relative ad una popolazione intera
analizzando un campione di elementi da essa prelevati, è d'importanza fondamentale che
il campione sia rappresentativo della popolazione da cui è preso.
3.2. Vi è il rischio che al termine di una verifica su un campione il controllore giunga a
conclusioni diverse da quelle che avrebbe tratte se tutta la popolazione fosse stata
sottoposta a verifica: questo è detto il rischio di campionamento. Il controllore deve dar
prova di avvedutezza nella programmazione, nell'esecuzione e nella valutazione dei risultati
del lavoro di campionamento, al fine di ridurre ad un livello accettabile il rischio di
campionamento.
3.3. Vi sono campioni statistici e campioni non statistici. Entrambi esigono professionalità nelle
fasi della programmazione, della verifica e della valutazione. Il campionamento statistico
inoltre richiede l'impiego di metodi di selezione casuale e applica la teoria della probabilità.
Questo consente al controllore di:
.
.
.
definire la grandezza del campione;
valutare i risultati sotto il profilo quantitativo;
stimare il rischio di campionamento e trarre così delle conclusioni concernenti l'intera
popolazione.
Il presente criterio guida non si prefigge di fornire orientamenti dettagliati per quanto
concerne la teoria della probabilità; se del caso, il controllore dovrebbe consultare esperti
per giungere a valide conclusioni in questo campo.
3.4. Anche quando il controllore decide di prelevare un campione non statistico egli dovrebbe
considerare l'opportunità di applicare metodi di selezione casuale. In genere ciò aumenta
la probabilità che il campione sia rappresentativo della popolazione. Il controllore deve
sempre vagliare con attenzione se un campione non statistico costituisca una base
ragionevole per trarre delle conclusioni in merito alla popolazione da cui è tratto.
4.
Le fasi del campionamento a fini di controllo
4.1. Tanto per i campioni statistici quanto per quelli non statistici è utile distinguere quattro fasi
distinte nel processo di campionamento: la programmazione del campione, la selezione
degli elementi da verificare, la verifica, la valutazione dei risultati. I paragrafi che seguono
brevemente riassumono ciascuna di queste fasi.
- 73 -
Programmazione del campione
-----------------------------------4.2. Nella prima fase della programmazione del campione viene definita con precisione la
popolazione. È importante disporre di una popolazione omogenea per prelevare campioni
statistici. Ciò significa che la popolazione dovrebbe essere composta di elementi perlopiù
simili, a cui si applicano sistemi simili o comuni e che pertanto sono esposti a rischi
analoghi. È opportuno definire anche gli elementi da campionare: può trattarsi infatti di
un'operazione, del saldo di un conto, o forse di un'unità monetaria.
4.3. È indispensabile che il controllore definisca con chiarezza l'obiettivo specifico del controllo
che si intende conseguire con l'analisi del campione. Questo procedimento dovrebbe
comprendere la definizione di errore (nella verifica di convalida) o di eccezione (nei test
sul controllo).
4.4. Anche le dimensioni del campione dovrebbero essere definite in questa fase della
programmazione. Un fattore importante è costituito dal fatto che un campione di
dimensioni più vaste ha maggiori probabilità di essere rappresentativo della popolazione
rispetto ad un campione più ridotto. Tuttavia, se il settore da verificare è considerato
relativamente insignificante in termini di consuntivi finanziari globali, il controllore può
essere propenso ad accettare un rischio maggiore di campionamento.
Selezione degli elementi da verificare
------------------------------------------4.5. Durante tutta la procedura di selezione, è bene che il controllore esamini regolarmente se
il campione selezionato sarà sufficientemente rappresentativo della popolazione. Questo
è particolarmente importante nel caso di un campione non statistico e soprattutto quando
la selezione non è casuale.
4.6. Il controllore dovrebbe guardarsi dal rischio di tralasciare una parte della popolazione
quando procede alla selezione del campione. Ad esempio, è spesso necessario, specie in
ambienti computerizzati, effettuare un raffronto e documentarlo tra il file usato per
prelevare il campione e la popolazione quale figura nei conti dell'organismo.
Verifica
--------4.7. Nei limiti del possibile, la verifica dovrebbe essere effettuata in base ad un questionario
precedentemente definito. In casi eccezionali, ciò potrà rivelarsi non fattibile; occorrerà
allora ricorrere a procedure alternative per ottenere elementi probanti equivalenti per gli
aspetti interessati.
4.8. Il controllore dovrebbe valutare il momento in cui è opportuno svolgere la verifica. Questo
vale in particolare per la verifica di conformità il cui obiettivo è solitamente quello di
giudicare se i controlli siano stati efficaci per un certo periodo.
- 74 -
Valutazione dei risultati
---------------------------4.9. Quando si riscontrano errori od eccezioni, occorre indagarne le cause e la natura. Ciò
consente al controllore di valutarne l'impatto potenziale sui consuntivi finanziari sottoposti
a controllo e sul controllo stesso.
4.10. Dopo aver valutato gli errori o le eccezioni riscontrati nel campione, è utile che il
controllore stimi "il livello più probabile di errore o di eccezione" nella popolazione nel suo
insieme. Si procede per estrapolazione dal "livello di errore/eccezione noto" del campione.
4.11. Il terzo passo è quello di aggiungere a questa estrapolazione un margine di rischio di
campionamento(1). Questa stima del "livello superiore di errore/eccezione" può ora essere
raffrontata al livello massimo di errore/eccezione tollerabile per il controllo. Se il livello
totale stimato di errore/eccezione supera il livello tollerabile il controllore dovrebbe
considerare le seguenti possibilità:
.
.
.
richiedere all'organismo controllato di indagare in merito agli errori/eccezioni
riscontrati e in merito al potenziale di ulteriori errori/eccezioni. Potranno
eventualmente essere concordati degli adeguamenti nei consuntivi finanziari;
svolgere ulteriori verifiche al fine di ridurre il rischio di campionamento e di
conseguenza il margine da prevedere nella valutazione dei risultati;
applicare procedure di controllo alternative per ottenere garanzie addizionali.
4.12. La conclusione finale tratta dal lavoro di campionamento, assieme ai risultati di altre
procedure di controllo, dovrebbe consentire al controllore di valutare se i consuntivi
finanziari siano accettabili e di presentare quindi le relative relazioni.
4.13. Questa procedura di valutazione (come viene applicata ai risultati della verifica di
convalida) è illustrata nel diagramma che figura all'ALLEGATO 1.
5.
Documentazione
5.1. Il controllore deve pervenire a numerosi giudizi nel corso del processo di campionamento.
È indispensabile che tali giudizi siano accuratamente documentati (cfr. il criterio-guida
n. 26 “Documentazione”) per consentire ai supervisori di svolgere il loro esame.
6.
Controllo sulla gestione
6.1. I paragrafi precedenti hanno fornito orientamenti su come utilizzare il campionamento
nell'ambito di controlli finanziari (compreso l'esame della legalità e della regolarità). È da
rilevare che il campionamento è spesso un mezzo per ottenere elementi probatori nel
quadro dei controlli sulla gestione (cfr. il criterio-guida n. 41 “Il controllo sulla gestione”).
Gli obiettivi del campionamento possono essere diversi, ma i principi che stanno alla base
sono gli stessi.
(1)
Come rilevato al paragrafo 3.3., è possibile calcolare questo margine solo quando è usata una tecnica di
campionamento statistico.
- 75 -
ALLEGATO 1 : ALUTAZIONE DEI RISULTATI GLOBALI DELLE VERIFICHE DI
CONVALIDA
LSE
ECU
Livello
massimo di
errore (soglia
di rilevanza)
Margine di errore di
campionamento
LSE
UEL
EP
LSE
campionamento
campionamento
Estrapolazione
EP
EP
Estrapolazione
Estrapolazione
EN
EN
Errore noto
EN
Errore noto
Errore noto
Situazione I
LSE =
Limite superiore di errore
Situazione II
EP =
Errore probabile
Situazione III
EN =
Errore noto
Conclusioni che si possono trarre:
Situazione I:
Il limite superiore di errore è inferiore all'errore tollerabile. Il risultato
è accettabile.
Situazione II:
Il limite superiore di errore supera l'errore tollerabile ma l'errore
probabile è inferiore all'errore tollerabile. Cfr. il paragrafo 4.11.
Situazione III:
L'errore probabile supera l'errore tollerabile. I consuntivi finanziari non
sono accettabili.
- 76 -
N. 24
LE PROCEDURE ANALITICHE
INDICE
Paragrafi
Introduzione
Le procedure analitiche applicate nella pianificazione del controllo
Le procedure analitiche applicate come verifiche di convalida
Le procedure analitiche applicate nella fase finale del controllo
L’uso delle procedure analitiche nel controllo sulla gestione
Tipi di procedure analitiche
1
2
3
4
5
6
Allegato 1
--------------------
1.
1.1
La spiegazione delle norme di controllo dell’INTOSAI (paragrafo 86) raccomanda di
utilizzare le procedure analitiche nei seguenti termini:
"…L’ISC deve dotarsi dell’intera gamma delle metodologie di controllo moderne,
comprese le tecniche basate sull’analisi dei sistemi, i metodi di esame analitico, il
campionamento statistico e gli strumenti di controllo dei sistemi di informazione
automatizzati.”
Il paragrafo 160 delle stesse note esplicative spiega l’obiettivo delle procedure analitiche
nel controllo dei rendiconti finanziari:
"L’analisi dei rendiconti finanziari ha lo scopo di accertare l’esistenza delle relazioni
attese fra i diversi elementi dei rendiconti finanziari, consentendo di individuare relazioni
inattese e tendenze insolite…"
- 77 -
1.2
Le procedure analitiche sono state definite come segue (1):
"Le procedure analitiche sono analisi di tendenze e di indici significativi, che
comprendono l’esame delle variazioni e delle relazioni che sono incoerenti rispetto ad
altre informazioni pertinenti o che presentano uno scarto rispetto agli importi
prevedibili.”
1.3
Inoltre, alcuni metodi che possono essere applicati nell’ambito delle procedure analitiche
sono stati descritti come segue (2):
"Per porre in essere le procedure suddette si possono applicare diversi metodi, che
variano dai semplici raffronti ad analisi complesse, in cui si utilizzano tecniche statistiche
sofisticate. Le procedure analitiche possono essere applicate a rendiconti finanziari
consolidati, a rendiconti finanziari di sottogruppi ... ed ai vari componenti delle
informazioni finanziarie. La scelta da parte del controllore delle procedure, dei metodi
e del livello di applicazione è una questione di giudizio professionale.”
2.
Introduzione
2.1
Il presente criterio-guida di applicazione ha lo scopo di fornire al controllore esterno
("auditor") delle attività della Comunità europea consigli sull’uso delle procedure
analitiche. Queste ultime aiutano il controllore:
-
a comprendere l’organismo da controllare ed a pianificare il controllo (paragrafi 3.1 3.9);
ad applicare le procedure come verifiche di convalida (paragrafi 4.1 - 4.12); e
ad esaminare i risultati alla fine del controllo (paragrafi 5.1 - 5.2).
I controllori possono servirsi delle procedure analitiche sia nel controllo sulla gestione,
sia nell’esame dei rendiconti finanziari. L’uso delle procedure analitiche nel controllo
sulla gestione è trattato brevemente al paragrafo 6.1.
Natura delle procedure analitiche
--------------------------------------2.2
Le procedure analitiche comprendono diverse tecniche, che il controllore utilizza per
studiare le interrelazioni fra i dati e per verificarne la plausibilità. I dati possono essere sia
finanziari, sia non finanziari e provenire da fonti interne ed esterne. In generale le
procedure analitiche consistono nell’esaminare le cifre presentate nei rendiconti finanziari
per verificare la coerenza fra le stesse e rispetto alle cognizioni del controllore
sull’organismo e sulle sue attività.
2.3
Il controllore può fare ricorso a procedure analitiche quando può presumere che sussistano
delle relazioni fra le voci contenute nei rendiconti finanziari e le voci figuranti nei conti e
(1)
Norma internazionale di controllo 520, paragrafo 3 (IFAC Handbook, 1996)
(2)
Norma internazionale di controllo 520, paragrafo 6 (IFAC Handbook, 1996)
- 78 -
nei dati non finanziari. Le procedure analitiche comprendono una serie di tecniche
specifiche:
-
-
-
2.4
lo studio delle modifiche dei saldi contabili nel corso di periodi precedenti, che porta
ad una previsione per il periodo in corso (ad esempio, il rimborso regolare di un
prestito per x anni)
il confronto tra le informazioni finanziarie ed i risultati attesi (ad esempio esaminando
le variazioni dei risultati reali rispetto ai bilanci di previsione ed alle previsioni;
lo studio delle relazioni fra i saldi contabili per un certo periodo (ad esempio gli
interessi dovuti o esigibili per prestiti assunti o erogati);
i calcoli che consentono di prevedere un dato saldo contabile (ad esempio (a)
utilizzando dati indipendenti sugli effettivi e sui tassi medi di retribuzione per prevedere
i costi totali del personale per il periodo in causa; (b) utilizzando dati provenienti dal
settore agricolo per prevedere i pagamenti per ettaro agli agricoltori);
lo studio delle relazioni fra le informazioni finanziarie e quelle non finanziarie, che
possono confermare la conoscenza delle informazioni finanziarie da parte del
controllore oppure attirare la sua attenzione su cifre insolite o impreviste che riflettono
le operazioni pertinenti (ad esempio (a) entrate derivanti dalle licenze rispetto al
numero di queste; (b) i dazi all’importazione rispetto ai dati sulle importazioni fisiche;
(c) i costi dell’ammasso agricolo rispetto ai registri delle scorte fisiche).
Le procedure analitiche rientrano in tre ampie categorie: l’analisi delle tendenze, l’analisi
degli indici e l’analisi di previsione. Queste procedure sono descritte a grandi linee
nell’ALLEGATO 1. Le procedure analitiche basate sull’analisi delle tendenze o degli
indici sono molto utili nelle fasi di pianificazione e di esame finale, per aiutare i controllori
ad impostare ed a condurre a termine i loro lavori. Le procedure analitiche di previsione
sono più comunemente utilizzate per ottenere elementi probatori nell’ambito delle verifiche
di convalida.
Le possibilità di utilizzazione delle procedure analitiche
----------------------------------------------------------------
2.5
La misura in cui il controllore può ricorrere alle procedure analitiche dipende da una serie
di fattori, e precisamente:
-
la natura dell’organismo e delle sue attività;
la misura in cui i saldi contabili e le operazioni possono essere previsti con un’esattezza
ragionevole;
la conoscenza dell’organismo acquisita nel corso di controlli precedenti;
la disponibilità delle informazioni finanziarie e non finanziarie;
l’affidabilità dei diversi tipi di informazioni disponibili; e
la compatibilità e l’indipendenza delle informazioni provenienti da fonti diverse.
3.
Le procedure analitiche applicate nella pianificazione del controllo
3.1
Nella fase di pianificazione i controllori possono applicare le procedure analitiche:
-
per confermare e migliorare la loro conoscenza delle attività dell’organismo;
per individuare settori di rischio di controllo potenziale;
- 79 -
-
per individuare operazioni e/o saldi contabili inattesi o insoliti rilevanti; e
per aiutare a stabilire la natura, il calendario e l’ambito delle procedure di convalida,
ivi incluse le procedure analitiche di convalida.
3.2
Le cognizioni che il controllore acquisisce dalle procedure analitiche nella fase di
pianificazione possono essere utilizzate per basare su di esse la parte rimanente della
procedura di pianificazione e la definizione del metodo per l’esame di particolari saldi
contabili. Quando le procedure analitiche applicate alla pianificazione mostrano differenze
significative rispetto alle aspettative del controllore, questi dovrà elaborare procedure
specifiche per scoprire la causa di queste fluttuazioni.
3.3
Le procedure analitiche nella fase di pianificazione possono anche comportare un’analisi
preliminare dei dati disponibili, che aiuterà il controllore a decidere se sia possibile
applicare le procedure analitiche di convalida per ottenere i necessari elementi probatori
ad un costo ragionevole. Ad esempio, il controllore può svolgere un’analisi iniziale dei dati
per valutarne la struttura e la qualità e per indagare su eventuali relazioni fra variabili
differenti.
3.4
Quando applica le procedure analitiche nella fase di pianificazione, usualmente il
controllore esamina informazioni provenienti da fonti diverse, sia interne sia esterne
all’organismo. A titolo di esempio il controllore può esaminare informazioni come:
-
-
i rendiconti finanziari degli esercizi precedenti;
relazioni esterne pertinenti, ad esempio relazioni sul rendimento e relazioni statistiche;
informazioni non finanziarie pertinenti, come il numero del personale o richieste di
risarcimento trattate;
i rendiconti finanziari periodici, le relazioni ed altre analisi della direzione
dell’organismo, in cui i risultati dell’esercizio in corso sono confrontati con quelli degli
esercizi precedenti e con i bilanci di previsione e le previsioni dell’esercizio in corso;
e
dati su indici significativi e sui risultati rispetto agli obiettivi di rendimento.
In molti casi i controllori dovrebbero essere in grado di ottenere la maggior parte di queste
informazioni dalla direzione dell’organismo.
3.5
Il grado di sofisticazione e l’ambito delle procedure analitiche applicate nella fase di
pianificazione dipendono dalla valutazione del controllore e variano a seconda delle
dimensioni dell’organismo, della sua complessità e della disponibilità delle informazioni.
Per alcuni organismi le procedure possono limitarsi ad un esame delle modifiche dei saldi
contabili fra l’esercizio precedente e l’esercizio in corso. Nel caso di altri organismi le
procedure possono comportare un’analisi più approfondita dei rendiconti finanziari mensili
e confronti con dati non finanziari.
3.6
Le procedure analitiche applicate nella pianificazione dovrebbero consentire una migliore
comprensione delle attività dell’organismo. Le procedure possono comportare:
-
l’esame dei saldi contabili più significativi e di alcune categorie di operazioni che
figurano nei rendiconti finanziari;
l’esame dei bilanci di previsione e delle previsioni dell’organismo;
- 80 -
-
il rendimento ed i piani futuri in base a colloqui con i servizi finanziari e operativi;
l’esame di statistiche e di altre informazioni sulle attività dell’organismo; e
l’esame dei risultati ottenuti rispetto ai bilanci di previsione ed agli obiettivi di
rendimento.
3.7
Queste procedure aiutano il controllore ad individuare i mutamenti avvenuti nelle attività
e nelle operazioni dell’organismo che possono incidere sui suoi rendiconti finanziari. Esse
attirano anche l’attenzione del controllore su settori specifici dei rendiconti finanziari che
richiedono un esame particolare.
3.8
Il controllore deve valutare le procedure applicate per la predisposizione del bilancio di
previsione dell’organismo prima di fare eccessivo assegnamento su di esse. In particolare,
deve tener conto delle pressioni che possono essere esercitate su taluni servizi ai fini del
rispetto del bilancio di previsione, nonché del rischio di manipolazione dei risultati, ad
esempio con un’imputazione erronea delle spese alle linee di bilancio per evitare un
superamento degli stanziamenti.
3.9
Altre procedure analitiche che il controllore può utilizzare nella fase di pianificazione
consistono nell’analisi degli indici e nell’elaborazione di profili. Quest’ultima consiste nel
rappresentare graficamente i risultati in base alla contabilità mensile, per individuare le
operazioni insolite e le fluttuazioni inattese che richiedono una spiegazione. L’analisi degli
indici può anche evidenziare tendenze preoccupanti. Queste tecniche possono essere ad
esempio:
-
-
il confronto fra la percentuale degli impegni contratti ed il totale degli stanziamenti
d’impegno resi disponibili, per verificare il livello di esecuzione del bilancio di
previsione (analisi degli indici)
il confronto fra le spese di bilancio mensili reali ed il bilancio di previsione, confronto
dal quale può risultare che una parte considerevole delle spese è stata erogata durante
un periodo di ferie, indicando così la possibile esistenza di un problema (elaborazione
dei profili).
4.
Le procedure analitiche applicate come verifiche di convalida
4.1
Quando si applicano le procedure analitiche per ottenere elementi probatori di convalida
del controllo, il controllore deve tener conto dell’obiettivo del controllo per il quale queste
procedure sono utilizzate, della natura dei saldi/operazioni contabili controllati e della
qualità dei dati disponibili. Il controllore deve tenere presente che le procedure analitiche
sono più affidabili in un ambiente di controllo forte, con controlli interni efficaci e dati
esterni qualitativamente soddisfacenti. Le procedure analitiche di convalida hanno anche
maggiori possibilità di fornire elementi probatori sull’esaustività e misura dei dati contabili
ma, di norma, non forniscono prove sulla legittimità e sulla regolarità delle operazioni e
sull’appropriatezza degli elementi dell’attivo e del passivo registrati in bilancio.
4.2
Come fonti di elementi probatori per le verifiche di convalida nei controlli finanziari sono
accettabili solo test mirati a prevedere un valore da comparare con un saldo contabile reale.
I test di previsione variano da un semplice calcolo del saldo contabile ad un’analisi di
regressione complessa. Nello svolgere un test di previsione per ottenere elementi probatori
di convalida, il controllore dovrà:
- 81 -
-
determinare lo scarto massimo accettabile che può risultare dalla procedura, fissando
un livello di precisione;
comprendere il rapporto fra il saldo contabile e le variabili utilizzate nella previsione;
confermare l’affidabilità delle informazioni utilizzate;
calcolare l’importo previsto;
individuare gli scarti significativi fra il saldo contabile e l’importo previsto;
esaminare tutti gli scarti ed ottenere una prova di convalida; e
valutare i risultati.
Queste fasi sono esaminate più dettagliatamente nei paragrafi che seguono.
La fissazione di un livello di precisione
--------------------------------------------4.3
Per le procedure analitiche di convalida il controllore deve stabilire un livello di precisione.
Questa precisione corrisponde allo scarto massimo fra la previsione del controllore e
l’importo figurante nei conti, che è ancora accettabile per le finalità del test. Il campo in cui
può situarsi il saldo contabile è chiamato zona di ragionevolezza.
4.4
Il controllore deve definire uno scarto accettabile ( e così definire la zona di
ragionevolezza) per una procedura analitica di convalida prima di formulare una previsione
sul saldo contabile. Lo scarto accettabile rappresenta il punto di riferimento rispetto al
quale si valutano i risultati delle procedure analitiche di convalida. Il metodo di calcolo
dello scarto accettabile deve tener conto dell’entità del saldo contabile controllato. Quanto
più quest’ultimo è rilevante, tanto minore dev’essere lo scarto accettabile come percentuale
della cifra contabile verificata.
La comprensione della relazione
--------------------------------------
4.5
Per il controllore comprendere la relazione fra il saldo contabile previsto ed altre variabili
costituisce l’elemento chiave per valutare l’efficacia delle procedure analitiche di convalida.
La relazione deve essere compresa sotto i seguenti punti di vista:
-
-
-
Plausibilità - Il controllore deve esser certo che la relazione presunta sia plausibile.
Ad esempio, è ragionevole supporre che esista una relazione fra il numero del
personale ed il costo totale per le retribuzioni. D’altra parte, non sarebbe
necessariamente logico presumere una relazione fra il numero del personale ed altri
costi di gestione.
Pertinenza - Una variabile particolare può essere soggetta a diverse influenze. Il
controllore deve assicurarsi che tutte queste influenze, od almeno le più importanti,
facciano parte del modello utilizzato per la previsione. Un semplice calcolo dei costi
per le retribuzioni basato sulle cifre controllate degli esercizi precedenti, sulle
variazioni nel numero dei dipendenti e sugli aumenti medi dei salari non sarebbe
appropriato, ad esempio, quando si sono verificati cambiamenti importanti nella
ripartizione del personale secondo i gradi fra un esercizio e l’altro.
Coerenza - Non sempre è possibile attendersi che le relazioni osservate in passato
continuino nel futuro. Ad esempio, le relazioni fra i saldi contabili, che possono essere
state relativamente stabili negli esercizi prededenti, possono variare a causa di
- 82 -
-
-
modifiche dell’attività. Quando pone in atto le procedure analitiche di convalida, il
controllore deve considerare la possibilità di cambiamenti nelle relazioni.
Frequenza della valutazione - Quanto più spesso si valuta un insieme di variabili,
tanto più è probabile che la qualità delle informazioni sulla relazione fra le variabili
migliori.
Indipendenza dei dati originali - Gli elementi probatori provenienti dalle procedure
analitiche di convalida sono molto limitati se si confrontano due variabili provenienti
entrambe dalla stessa fonte. La procedura è efficace solo se si utilizzano informazioni
provenienti da fonti diverse.
Affidabilità delle informazioni utilizzate
---------------------------------------------4.6
Prima di fare assegnamento sui risultati delle procedure analitiche applicate come
procedura di convalida, il controllore deve ottenere prove pertinenti e ragionevoli
dell’affidabilità delle informazioni utilizzate. A tal fine deve esaminare:
-
se le informazioni siano state verificate applicando procedure di controllo,
se la provenienza delle informazioni si situi al di fuori del servizio contabile/finanziario
(ad esempio una fonte esterna),
se il sistema utilizzato per ricavare le informazioni sia stato sottoposto a controlli
interni efficaci.
Individuazione delle differenze significative
-------------------------------------------------4.7
Lo scarto fra l’importo previsto e l’importo contabilizzato è significativo se supera lo
scarto accettabile (cioè la previsione supera la zona di ragionevolezza). Uno scarto
inferiore a quello accettabile può nondimeno essere significativo se ricorrono l’una o l’altra
delle condizioni seguenti:
-
esso è solo marginalmente inferiore allo scarto accettabile;
potrebbe cambiare un’eccedenza in un deficit o viceversa;
potrebbe portare ad un utilizzo degli stanziamenti superiore agli stanziamenti
disponibili;
è rilevante nell’ambito della valutazione del rendimento rispetto ad un obiettivo. Tali
scarti possono essere particolarmente significativi quando riguardano il pagamento dei
premi di rendimento.
Esame degli scarti ed ottenimento di elementi probatori di convalida
-----------------------------------------------------------------------------------4.8
Quando le procedure analitiche di convalida palesano scarti significativi fra gli importi
previsti e quelli contabilizzati, è essenziale che il controllore esamini tali scarti basandosi
sulle spiegazioni ottenute. Queste ultime devono tutte essere documentate e avvalorate da
elementi probatori. Le procedure analitiche di convalida non possono dare alcuna certezza
se gli scarti significativi non possono essere giustificati da spiegazioni appropriate e da
elementi probatori di convalida.
- 83 -
4.9
Il controllore dovrebbe tenere presente che scarti significativi possono essere dovuti a
quanto segue:
-
errori nell’importo contabilizzato,
semplificazioni o errori nelle supposizioni del controllore,
variabili importanti non introdotte nel modello di previsione.
Il controllore deve sempre considerare in quale misura errori nelle supposizioni o nelle
variabili a sostegno della previsione possono spiegare gli scarti significativi. Quando il
controllore individua errori od omissioni nel modello di previsione, può essere necessario
rivedere il modello.
4.10 Quando esamina gli scarti significativi risultanti da procedure analitiche di convalida, in
primo luogo il controllore dovrebbe chiedere spiegazioni alla direzione dell’entità
controllata. Tali spiegazioni devono essere quantificate e documentate. Il controllore deve
anche assicurarsi che la differenza fra l’importo previsto e quello contabilizzato sia
esaminata e spiegata nella sua totalità.
4.11 Il controllore si basa sul proprio giudizio e sulla propria esperienza per decidere se le
spiegazioni della direzione siano accettabili e quali elementi probatori siano necessari e
presso chi reperirli. Il controllore deve anche assicurarsi che le spiegazioni e gli elementi
probatori ottenuti siano ragionevoli e coerenti in base alla sua conoscenza dell’organismo.
Valutazione dei risultati
---------------------------4.12 Se lo scarto non può essere spiegato e corroborato in modo sufficiente, di norma il
controllore deve procedere a verifiche dettagliate delle operazioni, per ottenere la certezza
necessaria. Se la procedura analitica non ha avuto successo, ciò può significare l’esistenza
di un errore significativo nel saldo contabile o nella categoria di operazioni.
5.
Le procedure analitiche applicate nella fase finale del controllo
5.1
Nella fase finale del controllo, il controllore deve applicare le procedure analitiche per
giungere ad una conclusione generale sulla coerenza dei rendiconti finanziari
complessivamente rispetto alla sua conoscenza delle attività dell’organismo. Le procedure
analitiche utilizzate nella fase d’esame finale sono spesso le stesse applicate durante la fase
di pianificazione del controllo.
5.2
È importante che i controllori leggano i rendiconti finanziari finali (comprese le
informazioni con obbligo di pubblicità) ed esaminino:
-
se gli elementi probatori raccolti riguardo a saldi insoliti o inattesi individuati nella fase
di pianificazione o nel corso del controllo siano sufficienti;
se esistano saldi o relazioni insoliti o inattesi che non siano stati individuati in
precedenza;
se i rendiconti finanziari dell’esercizio in corso siano plausibili rispetto a quelli
dell’esercizio precedente, in base alle loro conoscenze.
- 84 -
Nell’esaminare gli aspetti suddetti il controllore deve decidere se siano stati ottenuti
elementi probatori sufficienti a sostegno del proprio parere sui rendiconti finanziari.
6.
L’uso delle procedure analitiche nel controllo sulla gestione
6.1
Le procedure analitiche possono essere utilizzate ampiamente nella fase di pianificazione
dei controlli sulla gestione e come mezzo per ottenere elementi probatori di convalida. Ad
esempio, l’analisi dei costi su un dato periodo può aiutare il controllore ad individuare
settori caratterizzati da scarsa economicità, per cui sono necessarie ulteriori verifiche
durante il controllo. L’uso di tecniche di riferimento (confronto dei costi della gestione
dell’entità controllata rispetto a quelli di organismi simili) e l’analisi degli indicatori di
gestione sono in generale forme riconosciute di procedure analitiche impiegate in certi
controlli sulla gestione per ottenere elementi probatori di convalida. Per maggiori
informazioni si può fare riferimento al criterio-guida n. 41 “Il controllo sulla gestione”.
- 85 -
Allegato 1 - Tipi di procedure analitiche
L’analisi delle tendenze
L’analisi delle tendenze è l’analisi dei cambiamenti verificatisi nel saldo di un dato conto o in una
linea dei rendiconti finanziari in periodi contabili precedenti. Nelle fasi di pianificazione o di
verifica si può adottare un metodo diagnostico, in cui il controllore semplicemente confronta
l’importo reale dell’anno corrente con la tendenza del passato per stabilire se l’importo si discosta
chiaramente dalla tendenza.
A fini di convalida può essere adottato un metodo di previsione, con cui il controllore cerca di
prevedere il valore dell’anno corrente basandosi sulla tendenza.
Esistono diverse tecniche per l’analisi delle tendenze. Le tecniche più complesse possono fornire
previsioni più esatte e possono prestarsi particolarmente alle verifiche di convalida. Tuttavia, man
mano che aumenta la complessità delle tecniche, la loro applicazione richiede in generale uno
sforzo di controllo maggiore. Occorre trovare un equilibrio fra costi e benefici di ogni tecnica.
Le tecniche di analisi delle tendenze comprendono:
-
i metodi grafici;
i confronti di periodi;
le medie ponderate;
le medie mobili;
l’analisi cronologica;
le tecniche a variabili multiple come l’analisi di regressione.
I metodi grafici ed i confronti di periodi si prestano meglio alle fasi di pianificazione e di verifica
del controllo.
L’analisi degli indici
L’analisi degli indici è qualsiasi metodo che consiste nel confrontare relazioni pertinenti fra le
cifre dei rendiconti finanziari. Questo metodo consente di isolare relazioni usuali o stabili (nel
tempo) esistenti fra i saldi contabili. L’analisi degli indici risulta particolarmente utile quando gli
indici possono essere calcolati per un sufficiente numero di anni, consentendo così di individuare
e di valutare correttamente le tendenze.
I due metodi di analisi degli indici più comunemente usati sono:
-
l’indicizzazione su base comune e
l’analisi degli indici finanziari.
L’indicizzazione su base comune
L’indicizzazione su base comune consiste nel confrontare le voci delle entrate e delle spese
con il totale delle voci delle entrate oppure le voci del bilancio con il totale dell’attivo,
confrontando ad esempio gli interessi percepiti o versati in relazione ai prestiti assunti od
- 86 -
erogati. Essa è particolarmente utile quando si desidera confrontare le voci delle entrate
e delle spese con il totale delle entrate da un esercizio all’altro.
L’analisi degli indici finanziari
L’analisi degli indici finanziari consiste nel confrontare i saldi dei rendiconti finanziari per
comprendere la relazione fra tali saldi ed individuare le variazioni verificatesi nella relazione
nel corso del tempo. La ricerca delle relazioni esistenti fra i saldi contabili può aiutare i
controllori a comprendere le informazioni contenute nei rendiconti finanziari.
Il controllore può utilizzare un’ampia gamma di indici finanziari a seconda della natura
dell’organismo e dei relativi rendiconti finanziari. Il margine finanziario lordo (risultato di
esercizio rispetto alle vendite), la rotazione delle scorte (costo delle vendite rispetto al
valore delle scorte) e la dilazione dei pagamenti (i crediti rispetto al totale delle vendite a
credito) sono tre indici importanti generalmente esaminati in un organismo commerciale.
Certi indici finanziari, che consistono nel valutare l’attivo a breve termine di un’entità
rispetto al suo passivo a breve termine, possono dare una valutazione utile della sua
capacità di far fronte ai suoi obblighi a breve termine e possono richiamare l’attenzione su
problemi di liquidità.
L’analisi degli indici può essere una tecnica efficace purché sussistano le seguenti
condizioni:
-
gli indici da confrontare devono essere calcolati adottando la stessa metodologia,
le cifre delle diverse operazioni e/o dei diversi saldi incluse nell’indice da confrontare
sono calcolate applicando le stesse politiche contabili,
si suppone che l’indice sia relativamente stabile da un esercizio all’altro.
L’analisi di previsione
L’analisi di previsione è una procedura analitica in cui si utilizzano calcoli o serie di calcoli che
portano alla previsione di un importo fondata sulla conoscenza delle relazioni plausibili esistenti,
utilizzando informazioni di gestione e finanziarie pertinenti.
Di solito l’analisi di previsione è la procedura analitica più efficace. Tuttavia, la sua efficacia
dipende dai fattori seguenti:
-
la plausibilità delle relazioni individuate,
la considerazione degli indicatori di previsione pertinenti,
l’omissione di indicatori di previsione non pertinenti,
l’uso di informazioni di gestione non finanziarie e di informazioni esterne o di informazioni
finanziarie pertinenti.
- 87 -
Esempi di controlli di previsione
Il controllore può servirsi dei controlli di previsione, ad esempio, per verificare la
completezza e l’esattezza delle spese per le retribuzioni. Il controllore può adottare
tecniche di formulazione di modelli semplici oppure metodi statistici più complessi per
elaborare una previsione a seconda della natura e della qualità delle informazioni
disponibili.
i)
Il metodo basato su un modello semplice. Questo metodo per prevedere le spese
salariali può essere efficace quando dati affidabili sul numero degli impiegati ed i gradi
sono forniti da sistemi di gestione del personale che sono indipendenti dai dati sui
salari. Come prima approssimazione, il controllore può cercare di prevedere il totale
dei costi salariali per un dato periodo moltiplicando il numero degli impiegati di
ciascun grado per il valore mediano della scala dei salari del grado. Tuttavia, questo
metodo non tiene conto del numero degli impiegati di ciascun grado in punti diversi
della scala dei salari. Il controllore può eventualmente utilizzare informazioni sul tempo
trascorso nel grado per perfezionare la procedura utilizzando un salario medio
ponderato per ciascun grado anziché semplicemente il valore mediano di ciascuna
scala. Ulteriori perfezionamenti potrebbero tener conto di altre variabili, come i premi
di rendimento annuali, che possono anche essere significativi rispetto al valore totale
del conto controllato.
ii) I metodi statistici formali. Quando il controllore dispone di dati storici di buona
qualità sulle spese salariali e sulle variabili di previsione pertinenti, può essere utile
applicare tecniche statistiche formali come la regressione multipla. Ad esempio, il
controllore può disporre di dati affidabili sulle spese salariali mensili e degli importi
mensili corrispondenti per il numero medio degli impiegati effettivi negli ultimi anni.
Su queste basi si può sviluppare un modello statistico per prevedere le spese salariali
in termini di numero degli impiegati e di tempo e servirsi di questo modello per
prevedere, in base al numero degli impiegati corrispondente, le spese dell’esercizio in
corso.
- 88 -
N. 25
L’USO DEI LAVORI DI ALTRI CONTROLLORI ED ESPERTI
INDICE
Paragrafi
Le norme di controllo dell’INTOSAI
L’ambito di questo criterio guida
Introduzione
L’uso dei lavori di altri nella fase di programmazione
L’uso dei lavori di altri alla fine del controllo
L’acquisizione di elementi probatori dai lavori di altri controllori
Considerazioni particolari sul lavoro dei controllori interni
Considerazioni particolari sul ricorso ad esperti
Altre letture
1
2
3
4
5
6
7
8
9
-------------------1
1.1
Il paragrafo 132 delle norme di controllo dell’INTOSAI dispone:
“Il controllore deve programmare il controllo in modo da garantire l’espletamento di un
controllo di qualità elevata in modo economico, efficiente, efficace e tempestivo.”
Questa norma è così spiegata al paragrafo 134:
“Nel programmare un controllo, il controllore:
(g) esamina il controllo interno dell’organismo controllato ed il suo programma di lavoro;
(h) valuta il grado di affidabilità da assegnare ad altri controllori, ad esempio al controllo
interno”.
1.2
Inoltre, il paragrafo 152 delle norme di controllo dell’INTOSAI stabilisce quanto segue:
“Per avvalorare il giudizio e le conclusioni del controllore sull’organizzazione, sul
programma, sull’attività o sulla funzione oggetto del controllo, si devono reperire elementi
probatori adeguati, pertinenti e dal costo ragionevole.”
- 89 -
2
L’ambito di questo criterio-guida
2.1
Questo criterio-guida verte sull’uso, da parte delle Istituzioni superiori di controllo
europee, dei lavori di altri controllori ed esperti:
-
nel caso dei controllori, il criterio-guida si riferisce al lavoro svolto da controllori
interni dell’organismo controllato e da controllori esterni di terzi (ad esempio i
controllori esterni di operatori economici che intrattengono relazioni con l’organismo
controllato, incluse, laddove opportuno, le Istituzioni superiori di controllo di paesi che
non sono Stati membri dell’Unione europea). Tuttavia, questo criterio-guida non verte
sui rapporti fra le Istituzioni superori di controllo della Comunità europea.
-
nel caso degli esperti il criterio-guida verte sui lavori svolti da professionisti che non
sono controllori. Può trattarsi di esperti alle dirette dipendenze dell’ISC, di consulenti
impiegati dall’organismo oggetto del controllo o di esperti che operano in modo
indipendente (ad esempio ricercatori universitari). Gli esperti possono essere (ad
esempio):
-
economisti;
giuristi;
architetti, periti, agrimensori e periti di assicurazioni;
statistici;
sociologi ed esperti in sondaggi dell’opinione pubblica;
esperti scientifici, tecnici e industriali;
consulenti di direzione aziendale.
3
Introduzione
3.1
Nel contesto dei controlli delle ISC si possono utilizzare i lavori di altri controllori ed
esperti in tre modi:
-
-
-
nella fase di programmazione dei compiti di controllo, le relazioni redatte da altri
controllori ed esperti possono informare il controllore in merito ai potenziali punti forti
e punti deboli dei sistemi di controllo ed in merito a casi di errori gravi che siano stati
commessi nel settore di controllo;
durante la fase delle verifiche i lavori di altri controllori ed esperti possono servire per
reperire una parte dgli elementi probatori ritenuti necessari per conseguire gli obiettivi
del controllo. Utilizzando i lavori di altri controllori è possibile ridurre la mole di
lavoro assunta dall’ISC e pertanto liberare risorse per altri compiti di controllo;
alla fine del controllo le relazioni di altri controllori ed esperti possono fornire
informazioni per convalidare o mettere in dubbio i risultati ottenuti oppure le
conclusioni preliminari che il controllore ha tratto in base agli elementi probatori
raccolti durante la fase delle verifiche di controllo.
Il presente criterio-guida verte in gran parte sull’uso dei lavori di altri controllori ed esperti
nella fase delle verifiche, come uno dei fattori per reperire gli elementi probatori necessari
ai fini del controllo. Questo aspetto è trattato ai paragrafi 6-8. Tuttavia è necessario
dapprima esaminare rapidamente l’impiego dei lavori di altri controllori ed esperti nella fase
di programmazione (paragrafo 4) e alla fine del controllo (paragrafo 5).
- 90 -
3.2
Spesso le ISC possono basarsi sui lavori di controllori interni e così ridurre il numero
delle verifiche dettagliate che le ISC stesse devono svolgere. Per potersi basare su tali
lavori, spesso occorrono una programmazione ed una stretta collaborazione prima del
controllo o nelle sue primissime fasi. Pertanto, se la valutazione preliminare del controllo
interno è positiva (cfr. i paragrafi 7.3 - 7.6), l’ISC ha l’occasione di esaminare e di
discutere con il controllore interno fino a che punto il programma di lavoro del controllo
interno potrebbe essere adattato per tener maggiormente conto delle esigenze del controllo
esterno. In questo modo è possibile ridurre al minimo la duplicazione dell’attività svolta
ed offrire all’ISC la possibilità di utilizzare al massimo i lavori del controllo interno.
4
L’uso dei lavori di altri nella fase di programmazione
4.1
Il lavoro di altri controllori ed esperti può essere utile al controllore nella fase di
programmazione, ma egli deve servirsene con cautela. Pur potendo - come parte della
suddetta fase - tener conto di eventuali relazioni disponibili di altri controllori ed esperti,
il controllore dovrà sempre valutarne l’attendibilità e l’adeguatezza prima di stabilire quale
influenza abbiano sulle verifiche di controllo da svolgere. Ciò comporta l’accertamento di
due condizioni: che il controllore od esperto autore dei lavori fosse indipendente
dall’organismo o dall’attività controllati e che abbia operato con obiettività. Inoltre, il
controllore deve considerare se gli obiettivi dei lavori in causa ed i metodi applicati
dall’altro controllore coincidano a sufficienza con quelli del compito di controllo, se le
conclusioni tratte dall’altro controllore od esperto siano basate su elementi probatori
sufficienti e se l’altro controllore od esperto fosse competente sul piano professionale e
tecnico.
5
L’uso dei lavori di altri alla fine del controllo
5.1
Quando i lavori di altri controllori od esperti convalidano i risultati ottenuti o le conclusioni
tratte dal controllo dell’ISC, il controllore in causa può trarne una certa sicurezza, ma
questa si aggiunge - e non può sostituirsi - agli elementi probatori adeguati, ragionevoli
e pertinenti (1) che il controllore deve reperire per conseguire gli obiettivi del controllo.
5.2
Quando vi è una discrepanza fra i risultati o le conclusioni di un controllo dell’ISC e quelli
esposti nella relazione di un altro controllore od esperto, ciò può indicare una carenza o
nel lavoro svolto dall’ISC o in quello dell’altro controllore od esperto. In alternativa,
un’apparente discordanza può derivare dal fatto che i due lavori avevano obiettivi diversi.
Per quanto possibile ed efficiente sotto il profilo dei costi, occorre che il controllore:
-
5.3
(1)
ricerchi le cause di ogni eventuale discrepanza;
riesamini la sufficienza e la ragionevolezza dell’analisi e dell’interpretazione degli
elementi probatori del controllo ottenuti.
Qualora i risultati o le conclusioni degli altri controllori od esperti non corrispondano a
quelli ottenuti od a quelle tratte dall’ISC, e qualora le relazioni di tali controllori od esperti
siano a disposizione dell’organismo controllato, o possano diventarlo, è possibile che
l’organismo controllato metta in discussione i risultati o le conclusioni dell’ISC.
Cfr. il criterio-guida n. 13 “Elementi probatori e metodo di controllo”.
- 91 -
6
L’acquisizione di elementi probatori dai lavori di altri controllori
Obiettivo
-----------
6.1
Si può ricorrere ai lavori di altri controllori per acquisire parte degli elementi probatori del
controllo necessari per conseguire gli obiettivi del compito di controllo. Nel fare questo
gli scopi consistono nel diminuire le risorse di personale dell’ISC necessarie per svolgere
il compito di controllo, nell’evitare un’inutile duplicazione del lavoro di controllo e nel
ridurre al minimo lo scompiglio che ne deriva per l’organismo controllato.
Le condizioni per utilizzare i lavori di altri controllori come elementi probatori del
controllo
-------------------------------------------------------------------------------------------
6.2
Quando si ricorre ai lavori di un altro controllore od esperto, è importante che l’ISC
consideri attentamente:
-
se abbia una conoscenza soddisfacente del settore di controllo per poter valutare con
cognizione di causa l’impatto dei lavori del’altro controllore od esperto;
se l’altro controllore od esperto abbia la competenza professionale necessaria nel
contesto del compito specifico;
se i lavori dell’altro controllore od esperto siano sufficienti ed i metodi di lavoro siano
idonei agli scopi dell’ISC nel contesto degli obiettivi del compito di controllo in
questione.
6.3
I rapporti dell’ISC con altri controllori ed esperti possono essere complessi. La valutazione
necessaria per poter utilizzare i loro lavori come elementi probatori del controllo può
risultare difficile. Questo problema può essere affrontato nella fase di programmazione del
controllo, cosicché, se tale uso si dimostra impossibile, si possono programmare procedure
alternative di controllo per far sì che vengano reperiti elementi probatori adeguati,
ragionevoli e pertinenti.
6.4
Oltre a considerare i fattori elencati ai paragrafi 6.2 - 6.3 nella fase di programmazione, il
controllore che sta utilizzando i lavori di un altro controllore od esperto come elementi
probatori del controllo deve anche riesaminarli allorché analizza ed interpreta i risultati di
tali lavori. Inoltre, il controllore deve valutare l’impatto dei risultati dell’altro controllore
od esperto sul parere da esprimere. Laddove questi risultati sono significativi per il parere,
il controllore dell’ISC normalmente li discute con l’altro controllore od esperto e stabilisce
se debba svolgere egli stesso ulteriori verifiche ai fini del controllo.
6.5
Tutti gli aspetti del processo consistente nel fare assegnamento su altri controllori od
esperti, descritto ai paragrafi 6.2 - 6.4, dev’essere documentato in modo esauriente nei
documenti di lavoro del compito di controllo (per ulteriori indicazioni cfr. il criterio-guida
n. 26 “Documentazione”).
- 92 -
7
Considerazioni particolari sul lavoro dei controllori interni
Definizione
-------------
7.1
Per “controllo interno” si intende un’attività di valutazione organizzata all’interno di un
organismo controllato come servizio per tale organismo. Le sue funzioni possono
comprendere, fra l’altro, l’esame, la valutazione e la sorveglianza dell’adeguatezza e
dell’efficacia dei sistemi di controllo interno e contabili. Nel contesto comunitario il
“controllo interno” può includere funzioni specializzate come quella del controllore
finanziario.
7.2
Il ruolo del controllo interno è definito dalla direzione e quindi i suoi obiettivi possono
differire da quelli del controllore esterno. Tuttavia, tipo e ambito di lavoro svolto dai
controllori interni ed esterni possono in parte coincidere.
Conoscere, valutare e incoraggiare il controllo interno
---------------------------------------------------------------
7.3
Il controllore del’ISC deve conoscere la struttura ed il funzionamento del controllo interno
ed effettuare una valutazione preliminare dei lavori relativi. A questo scopo è necessario
che possa accedere liberamente alle relazioni ed ai documenti di lavoro del controllore
interno.
7.4
Di norma, la valutazione preliminare del controllo interno dovrebbe vertere su quanto
segue:
-
-
7.5
(2)
la posizione gerarchica: il livello al quale il controllore interno riferisce ed i
provvedimenti presi dalla direzione in base alle sue relazioni; qualsiasi limitazione od
ostacolo imposti al controllore interno (in particolare nelle sue comunicazioni con il
controllore esterno);
l’ambito del suo lavoro;
la sua competenza tecnica, comprese la designazione, la formazione, l’esperienza e le
qualifiche professionali del personale di controllo interno;
il metodo di lavoro: si tratta di stabilire se l’attività di controllo interno sia
correttamente programmata, sorvegliata, rivista e documentata, come pure se esistano
manuali, programmi di lavoro e documenti di lavoro sul controllo sufficienti.
In mancanza di controllo interno o laddove si accertino carenze all’atto della valutazione
preliminare del controllo interno, il controllore dell’ISC deve ponderare se occorra
segnalare tali carenze alla direzione dell’organismo controllato(2).
In molti casi il controllore dell’ISC può essere in grado di suggerire alla direzione miglioramenti del controllo
interno (ad esempio raccomandazioni di opportuni programmi di formazione e strutture di notifica.). Tuttavia,
occorre procedere in modo da non compromettere l’indipendenza della funzione di controllo esterno.
- 93 -
L’impiego dei lavori del controllo interno come parte degli elementi probatori del controllo
esterno
------------------------------------------------------------------------------------------7.6
Le considerazioni di cui ai paragrafi 6.2 - 6.3 e 7.3 - 7.4 valgono quando i lavori di
controllo interno sono utilizzati come parte degli elementi probatori del controllore
esterno. Inoltre, il controllore dell’ISC deve stabilire:
-
-
se gli elementi probatori reperiti tramite il controllo interno soddisfino per qualità e
quantità le esigenze specifiche dell’ISC, tenendo conto del fatto che gli obiettivi
possono essere diversi. Nell’esaminare questo problema il controllore ISC di norma
considererà anche la natura, i tempi e la portata del lavoro di controllo interno;
se le conclusioni tratte dal controllo interno siano compatibili con gli elementi
probatori del controllo che sono stati reperiti;
se tutte le eccezioni o elementi insoliti riscontrati dal controllo interno abbiano avuto
una soluzione corretta.
7.7
In alcune situazioni l’ISC e gli organismi controllati concludono accordi scritti affinché
l’ISC possa utilizzare con il maggior beneficio possibile i lavori dei controllori interni.
8
Considerazioni particolari sul ricorso ad esperti
Obiettivo
-----------
8.1
Il ricorso ad esperti ha lo scopo di porre a disposizione dell’équipe di controllo conoscenze
tecniche o capacità essenziali per conseguire gli obiettivi del controllo e di cui diversamente
non si potrebbe disporre. In genere gli esperti sono assunti direttamente dall’ISC in base
ad un contratto e sono scelti dall’équipe responsabile del compito di controllo.
Condizioni per la designazione e il ricorso ad esperti
-------------------------------------------------------------
8.2
Il ricorso ad esperti ha lo scopo di aiutare l’équipe di controllo nell’acquisire elementi
probatori adeguati, ragionevoli e pertinenti per raggiungere gli obiettivi del controllo. A
tal fine devono essere soddisfatte le seguenti condizioni:
-
-
-
l’ambito e la natura del lavoro dell’esperto e le modalità secondo cui deve riferire,
devono essere definiti chiaramente al più presto possibile: questa condizione è
essenziale per individuare un esperto che abbia le conoscenze tecniche e le capacità
appropriate;
l’ISC deve accertarsi che l’esperto sia indipendente dall’organismo controllato (di
solito questo significa che l’esperto non ha lavorato di recente per l’organismo
controllato od organizzazioni ad esso correlate). È possibile che l’ISC debba
considerare se la natura e l’ambito di altri lavori svolti dall’esperto siano tali da
comprometterne l’indipendenza (ad esempio nel caso in cui l’esperto dipenda
considerevolmente da contratti con un terzo i cui interessi possono in parte coincidere
con il settore che l’esperto deve studiare per conto dell’ISC);
il controllore deve assicurarsi della competenza professionale dell’esperto,
- 94 -
dell’obiettività dei suoi lavori, dell’idoneità dei metodi di lavoro applicati e
dell’adeguatezza, ragionevolezza e pertinenza degli elementi probatori del controllo
che l’esperto produce. Laddove necessario, il controllore svolge ulteriori verifiche per
accertarsi di quanto sopra indicato.
Queste condizioni comportano che l’esperto, che non ha necessariamente acquisito
un’esperienza di lavoro in un contesto di controllo, deve essere seguito con attenzione e
guidato dal capo dell’équipe incaricata del compito di controllo. Una descrizione
dettagliata del suo mandato può facilitare questo compito di direzione e di guida.
8.3
La relazione prodotta come risultato di un compito di controllo in cui si fa ricorso ad un
esperto, resta una relazione dell’ISC. Normalmente l’esperto deve coadiuvare l’équipe di
controllo, che resta responsabile della formulazione e della presentazione di un parere in
materia di controllo all’ISC. Pertanto, è di solito inopportuno riferirsi specificamente ad
un parere dell’esperto nella relazione redatta in esito al controllo.
Riservatezza
---------------
8.4
Di norma gli esperti assunti dalle ISC sono tenuti a rispettare regole di riservatezza.
Occorre che i controllori che lavorano con esperti si familiarizzino con queste regole e
siano preparati per consigliare gli esperti in merito. Può essere opportuno inserire
sistematicamente clausole sulla riservatezza nei contratti conclusi con esperti.
9
Altre letture
9.1
Il comitato del settore pubblico della Federazione internazionale degli esperti contabili
(IFAC)(3) ha pubblicato nell’ottobre 1994 un proprio studio #4 intitolato “L’uso dei lavori
di altri controllori - un punto di vista del settore pubblico”. Questo testo dà ulteriori
indicazioni che possono interessare i lettori del presente criterio-guida.
(3)
International Federation of Accountants, 114 West 47th Street, Suite 2410, New York, USA - New York 10036
- 95 -
N. 26
DOCUMENTAZIONE
INDICE
Paragrafi
I vantaggi di un'adeguata documentazione
Il contenuto dei fascicoli di controllo
Fascicoli correnti e permanenti
Riservatezza delle informazioni di controllo
Conservazione della documentazione di controllo
1
2
3
4
5
6
--------------------
1.
1.1
Nella spiegazione della norma INTOSAI (paragrafo 156) si legge quanto segue:
"I controllori devono conservare in modo adeguato gli elementi probatori del controllo in
documenti di lavoro, incluse basi e delimitazione del programma, lavoro svolto e risultati
del controllo".
2.
I vantaggi di un'adeguata documentazione
2.1. Un'adeguata documentazione aiuta l'Istituzione superiore di controllo (ISC) a migliorare
la propria efficienza ed efficacia in quanto:
(a) agevola la pianificazione;
(b) registra le carenze, gli errori e le irregolarità individuati in sede di controllo;
(c) conferma ed avvalora i giudizi, i pareri e le relazioni del controllore;
(d) costituisce fonte di informazioni per preparare le relazioni o per rispondere a
quesiti posti dall'organismo controllato o da altri, certifica il lavoro svolto
costituendo anche riferimento per il futuro;
(e) attesta la conformità con le norme e i criteri-guida in materia di controllo, nonché
- 96 -
con le procedure interne delle ISC;
(f) sostiene (o fornisce una difesa contro) reclami, azioni giudiziarie ed altri
procedimenti legali;
(g) promuove e fornisce prove sulle acquisizioni professionali del controllore;
(h) agevola l'esame, la supervisione e la garanzia della qualità (v. sotto).
2.2. Una documentazione adeguata riveste particolare importanza per l'esame, la supervisione
e la garanzia della qualità, in quanto:
(a) aiuta il supervisore:
.
.
.
ad accertare se gli obiettivi del controllo siano stati conseguiti;
ad assicurarsi che il lavoro affidato sia stato adeguatamente eseguito;
a valutare i giudizi formulati dal controllore nel corso della verifica e ad
individuare settori dove potrebbe essere necessario svolgere indagini
supplementari, per ottenere gli elementi probanti necessari per trarre conclusioni
o formulare raccomandazioni;
. ad adempiere al compito di riesaminare i documenti della verifica e di sorvegliare
l'attività dei controllori con maggiore efficienza ed efficacia;
(b) fornisce le basi per procedere ad autonome valutazioni di garanzia della qualità (cfr.
il criterio-guida n. 51 "Garanzia della qualità").
3.
Il contenuto dei fascicoli di controllo
3.1. Tutte le fasi del controllo devono essere documentate con cura, come anche le osservazioni
e le conclusioni che ne derivano. Questa documentazione è conosciuta globalmente come
fascicolo del controllo.
3.2. Il fascicolo di controllo costituisce la principale documentazione del lavoro svolto dal
controllore e delle sue conclusioni su questioni di rilievo. Esso attesta la cura con cui il
controllore ha operato e lo aiuta nell'espletamento e nella revisione del proprio controllo.
3.3. Il fascicolo di controllo rappresenta un sostegno fondamentale per il controllo. Tutte le fasi
del controllo, dalla programmazione iniziale alla preparazione dell'ultima stesura della
relazione, dovrebbero essere in esso documentate. Ciascuna ISC dovrebbe sviluppare
proprie tecniche, fondate di norma sulla propria esperienza, sulle proprie particolari
esigenze e sull'ambito in cui opera, per costituire, esaminare e archiviare i fascicoli di
controllo.
3.4. Non è possibile stabilire ciò che deve o non deve figurare nei fascicoli di controllo.
Tuttavia, in linea di principio, un fascicolo è ben organizzato quando è sufficientemente
completo e dettagliato da consentire ad un controllore esperto, che non abbia avuto in
precedenza alcun rapporto con la verifica in argomento, di accertare il tipo di lavoro svolto
per avvalorare le conclusioni.
3.5. Il fascicolo di controllo deve contenere documenti chiari, leggibili, completi, pertinenti,
- 97 -
esatti, concisi, precisi e comprensibili. Qualora vengano usate prove informatiche, è
opportuno individuarle in modo adeguato e descriverne l'origine, il contenuto e l'ubicazione
in modo esauriente.
3.6. I fascicoli di controllo dovrebbero essere pianificati e, in molti casi, organizzati già in una
fase iniziale del controllo. I fascicoli degli anni precedenti, qualora siano disponibili,
costituiscono utile guida.
3.7. Il controllore dovrebbe ricorrere a riferimenti per indicare la provenienza dei dati (etc.),
raffronti, raccordi ed elaborazioni. Alcune ISC hanno stabilito simboli standard a tal fine.
Quando non sono stati stabiliti simboli, o quando il controllore usa simboli non standard,
il loro significato deve essere chiaramente indicato nei documenti in causa. Lo stesso vale
per i simboli usati nei diagrammi di flusso.
3.8. Per agevolare il riesame ed in particolare assistere il supervisore nella ricerca e nella
valutazione degli elementi probatori acquisiti in sede di controllo per avallare le
conclusioni, le raccomandazioni e le relazioni, è fondamentale che i documenti di lavoro
contengano riferimenti ad altri documenti precedenti o successivi. Un buon sistema di
riferimenti incrociati richiede fin dall'inizio riferimenti chiari e logici a tutti i documenti di
lavoro, con individuazione della fonte e dell'utilizzazione dei dati.
3.9. I fascicoli di controllo di norma dovrebbero essere predisposti in modo tale, e presentare
un livello di qualità tale, da poter essere usati come prove in eventuali procedimenti
giudiziari e legali. Pertanto, i controllori dovrebbero firmare e datare i rispettivi documenti
di lavoro.
3.10. Dall'esame di un fascicolo di controllo completo dovrebbe risultare chiaramente chi ha
proceduto al suo riesame, quando, e qual è stato il risultato del citato riesame. Sarebbe
opportuno conservare le note dei supervisori che indicano accordo o che segnalano
elementi incompleti o non chiari. Esse sono di fondamentale utilità per supervisori di livello
superiore.
3.11. La documentazione dovrebbe menzionare tutti i contatti avuti con l'organismo controllato
riguardo a questioni di rilievo (ad esempio, deficienze riscontrate durante i test sul
controllo , assicurazioni ricevute dalla direzione dell'organismo, etc.).
4.
Fascicoli correnti e permanenti
4.1. I fascicoli inerenti a singoli controlli sono generalmente denominati fascicoli correnti. Oltre
a questi vengono spesso costituiti fascicoli permanenti. Questi ultimi contengono le
informazioni che saranno usate di anno in anno per controlli successivi in un settore
specifico. Essi sono di fondamentale importanza per la pianificazione e la successiva
esecuzione del lavoro di controllo. Dovrebbero essere aggiornati regolarmente.
5.
Riservatezza delle informazioni di controllo
5.1. Le ISC hanno spesso accesso ad informazioni riservate dal punto di vista commerciale,
politico o della sicurezza. Le ISC ed il loro personale devono operare con la debita
professionalità per garantire che tali informazioni siano adeguatamente salvaguardate e, di
- 98 -
conseguenza, devono istituire procedure e controlli atti a garantire la sicurezza fisica dei
fascicoli di controllo. Analogamente, è normale che questi ultimi, le comunicazioni con gli
organismi controllati ed i progetti di relazione siano trattati alla stregua di documenti
confidenziali finché non siano state seguite le apposite procedure previste per la loro
pubblicazione.
5.2. Le ISC devono contemperare l'esigenza di riservatezza delle informazioni di controllo ed
eventuali legislazioni che riconoscano ai cittadini la libertà d'informazione.
6.
Conservazione della documentazione di controllo
Le ISC devono emanare chiare istruzioni per la conservazione ed archiviazione della
documentazione che avvalora le conclusioni formulate in rapporti pubblicati. Queste
istruzioni, tra l'altro, devono prevedere:
-
il periodo di conservazione prima della distruzione;
il trasferimento dei fascicoli dall'unità di controllo all'archivio centrale;
il contenuto tipico dei fascicoli, le procedure di classificazione e di ricerca.
- 99 -
GRUPPO 3 COMPLETAMENTO DEL CONTROLLO
N. 31
STESURA DELLE RELAZIONI
INDICE
Paragrafi
La stesura delle relazioni sui controlli congiunti e coordinati
Le norme di stesura delle relazioni dell'INTOSAI
1
2
Allegato 1
--------------------
1.
1.1. Il presente criterio-guida concerne la stesura delle relazioni finali sui controlli svolti dalle
ISC, relazioni destinate agli organismi esterni responsabili e, se del caso, al pubblico.
1.2. I paragrafi 163 - 191 delle norme di controllo dell'INTOSAI danno orientamenti precisi in
materia di stesura delle relazioni. Essi sono riassunti nell'ALLEGATO 1 del presente
testo.
1.3
Oltre agli orientamenti forniti nei paragrafi 163 - 191 delle norme di controllo
dell’INTOSAI, altri orientamenti sono forniti nel criterio-guida n. 41 “Il controllo sulla
gestione”.
- 100 -
2.
La stesura delle relazioni sui controlli congiunti e coordinati
2.
La stesura delle relazioni sui controlli congiunti di due o più ISC e sui controlli coordinati
può presentare particolari difficoltà. È consigliabile che le ISC interessate concordino una
procedura di stesura delle relazioni nella fase della programmazione e che il processo venga
seguito con attenzione nella fase della stesura delle relazioni, in modo da poter affrontare
tempestivamente eventuali problemi.
2.2. La procedura di stesura delle relazioni dovrebbe contemplare i seguenti elementi:
.
.
.
.
.
.
il calendario della stesura delle relazioni;
la definizione precisa delle responsabilità di ciascuna ISC in materia di elaborazione
delle relazioni;
la lingua nella quale redigere le relazioni e accordi in materia di traduzione;
l'accordo circa i progetti di relazione all'interno delle ISC partecipanti e da parte degli
organismi controllati (corrispondenza, riunioni, trattamento riservato a
risposte/commenti);
le disposizioni prese per la pubblicazione, comprese le relazioni con la stampa ecc.;
la presentazione delle relazioni alle autorità parlamentari o altre.
- 101 -
ALLEGATO 1: SINTESI DELLE NORME DI STESURA DELLE RELAZIONI
DELL'INTOSAI
1.
L'espressione "stesura delle relazioni" comprende sia il parere del controllore e altre
osservazioni su un insieme di consuntivi finanziari che la relazione finale del controllore sul
completamento di un controllo di gestione.
2.
(a) Alla fine di ogni controllo il controllore redige, secondo l'opportunità, un parere o una
relazione che descriva in forma appropriata i risultati del controllo; il contenuto deve
essere di facile comprensione e privo di vaghezza o ambiguità, deve contenere solo
informazioni corroborate da elementi probatori adeguati e pertinenti, ed essere libero,
obiettivo, giusto e costruttivo.
(b) Spetta alla ISC cui appartengono i controllori di decidere in ultima analisi sull'azione
da intraprendere in relazione a pratiche fraudolenti od irregolarità gravi da essi
scoperte.
Per quanto concerne i controlli di regolarità, il controllore prepara una relazione
scritta, che forma parte della relazione sui consuntivi finanziari o che è separata, sulle
verifiche di conformità alle leggi in vigore ed ai regolamenti. La relazione deve
contenere una dichiarazione che specifichi, per gli elementi sottoposti a verifica, che
tali leggi e regolamenti sono stati rispettati e, per gli elementi non sottoposti a verifica,
che nulla indica che non lo siano.
Per quanto concerne i controlli di gestione, la relazione deve contenere tutti i casi
importanti di non conformità attinenti agli obiettivi di controllo."
3.
Nella spiegazione delle norme di controllo dell’INTOSAI (paragrafo 170) si forniscono
degli orientamenti relativi alla forma e al contenuto da dare a tutti i pareri di controllo e
altre relazioni sui controlli finanziari. Il controllore deve prestare particolare attenzione ai
seguenti aspetti della relazione:
-
4.
Titolo
Firma e data
Obiettivi e portata
Completezza
Destinatario
Identificazione degli argomenti
Base giuridica
Conformità alle norme
Opportunità dell'azione
Le spiegazioni delle norme di controllo dell’INTOSAI (paragrafi 171-182) descrivono il
normale schema delle osservazioni, compresi i rilievi e le riserve nonché l'azione necessaria
- 102 -
nei casi in cui il controllore scopra carenze, irregolarità o mancanza di conformità.
5.
Le spiegazioni delle norme di controllo dell’INTOSAI (paragrafi 183-188) forniscono
indicazioni precise in materia di stesura delle relazioni sui controlli di gestione, soprattutto
riguardo all'obiettività e all'equità di cui il controllore deve dar prova nell'interpretare e nel
presentare gli elementi probatori raccolti. Nel limite del possibile, le relazioni devono
essere redatte in uno spirito costruttivo e suggerire miglioramenti atti ad ovviare alle
carenze.
6.
Le spiegazioni delle norme di controllo dell’INTOSAI (paragrafi 189-191) contengono
indicazioni circa il contenuto delle relazioni, tenuto conto della rilevanza degli argomenti
interessati (rilevanza per natura e contesto, nonché in termini di valore).
- 103 -
N. 32
ALTRE INFORMAZIONI PRESENTATE NEI DOCUMENTI CHE CONTENGONO
I RENDICONTI FINANZIARI CONTROLLATI
INDICE
Paragrafi
Introduzione
Ambito del criterio-guida
La responsabilità dei controllori e le “altre” informazioni
I concetti e le definizioni di base
La pianificazione del controllo e le procedure di controllo
La stesura delle relazioni
1
2
3
4
5
6
--------------------
1.
Introduzione
1.1. Questo criterio-guida ha lo scopo di fornire al controllore esterno (“auditor”) delle attività
della Comunità europea consigli in merito al controllo delle altre informazioni presentate
nei documenti che contengono i rendiconti finanziari controllati.
1.2
Poiché il mandato costituzionale delle Istituzioni superiori di controllo e della Corte dei
conti europea può comportare responsabilità diverse per quanto riguarda il controllo delle
altre informazioni presentate nei documenti che contengono i rendiconti finanziari
controllati, gli orientamenti espressi in questo criterio-guida devono essere applicati
tenendo conto delle particolari circostanze in causa.
2.
Ambito del criterio-guida
2.1. I documenti presentati dagli organismi controllati, che contengono i rendiconti finanziari
controllati, presentano anche, in misura crescente, altre informazioni. Queste “altre”
informazioni, che possono essere di carattere sia finanziario, sia non finanziario,
comprendono l’analisi e la verifica delle operazioni e dei risultati finanziari dei sistemi di
gestione, dei piani di spesa e delle prospettive per il futuro (cfr. il successivo
paragrafo 4.1).
- 104 -
2.2. Queste “altre” informazioni spesso saranno lette insieme ai rendiconti finanziari controllati.
Per gli utenti tali informazioni spesso rivestono una grande importanza poiché
contribuiscono alla comprensione della gestione finanziaria ed operativa dell’entità
controllata, delle sue circostanze e risorse finanziarie, nonché dei suoi piani e delle
prospettive future.
2.3. Questo criterio-guida di applicazione ha lo scopo:
-
di individuare le “altre” informazioni nei documenti che contengono i rendiconti finanziari
controllati; e
-
di fornire al controllore orientamenti per la verifica delle altre informazioni, ivi inclusa la
linea di condotta da seguire per quanto riguarda le anomalie e le incoerenze rilevanti
contenute nelle “altre” informazioni.
3.
Le responsabilità dei controllori e le “altre” informazioni
3.1
Lo scopo del controllo dei rendiconti finanziari consiste nell’esprimere un parere su di essi.
Spesso un controllore non ha la responsabilità di riferire in merito alla corretta esposizione
delle “altre” informazioni. Tuttavia, il controllore deve essere consapevole del fatto che la
credibilità dei rendiconti finanziari e la sua relazione al riguardo possono essere
compromesse da incoerenze fra i rendiconti finanziari e le “altre” informazioni, oppure da
anomalie nelle “altre” informazioni. Il controllore è pertanto in linea di massima tenuto ad
esaminare la precisione e la coerenza di queste altre informazioni.
3.2
In conformità dei principi legislativi dei vari paesi oppure del suo mandato, è possibile che
il controllore debba riferire in merito ai risultati della sua verifica. A meno che lo statuto
o il mandato non dispongano diversamente, il controllore deve stabilire in quale misura tale
relazione deve comprendere i risultati della sua verifica o di altre informazioni.
3.3
Nella verifica delle altre informazioni presentate nei documenti che contengono i rendiconti
finanziari, è importante stabilire che la direzione dell'entità controllata deve essere
considerata responsabile del loro contenuto. Uno dei postulati fondamentali delle norme
di controllo dell'INTOSAI (Norme di controllo dell'INTOSAI, paragrafo 6(d)) recita:
“L'instaurazione di sistemi appropriati, all'interno dell'amministrazione, di informazione,
controllo, valutazione e stesura delle relazioni, agevolerà la procedura del rendimento dei
conti. La direzione è responsabile dell'esattezza e dell'adeguatezza della forma e del
contenuto delle relazioni finanziarie e di altre informazioni."
4.
I concetti e le definizioni di base
4.1
Qui di seguito vengono dati esempi di "altre" informazioni che possono essere presenti in
documenti che contengono i rendiconti finanziari controllati:
-
la relazione annuale di gestione
i riferimenti a piani e bilanci per gli esercizi futuri
- 105 -
-
i riferimenti ai progetti od alle attività in corso o programmati
i riferimenti ad avvenimenti posteriori al periodo contabile
le spiegazioni sulle modalità di calcolo delle stime relative ai conti
le informazioni sull'analisi dei risultati operativi, della produttività e dei sistemi di
gestione
i riferimenti a circostanze organizzative
i riferimenti alla legislazione applicabile in materia ed a ogni eventuale modifica della
stessa, e
i riferimenti alle condizioni ambientali.
-
È importante che il controllore si renda conto dei limiti posti alla sua verifica delle altre
informazioni. Ad esempio, il controllore non può confermare o approvare piani e bilanci
dell'entità controllata, ma solo valutare la coerenza fra i principi ed i metodi applicati
nell'elaborazione delle stime.
4.2
Nell'esaminare le altre informazioni presenti nei documenti che includono i rendiconti
finanziari controllati, il controllore deve considerare:
–
–
–
4.3
se le altre informazioni siano incoerenti rispetto ai rendiconti finanziari controllati e
se vi siano anomalie nei riferimenti alla situazione finanziaria ed agli sviluppi futuri, che
diano una visione inesatta, insufficiente o ingannevole della situazione dell'entità
controllata.
Il controllore può anche assicurarsi che non siano state omesse informazioni che
possano essere importanti per gli utenti.
Un'anomalia od un'incoerenza sono rilevanti se sono suscettibili di influenzare gli utenti dei
rendiconti finanziari o delle altre informazioni di cui sono corredati. Più specificamente:
–
–
un'anomalia rilevante dei fatti sussiste quando altre informazioni significative prive di
relazione con le questioni trattate nei rendiconti finanziari (controllati) sono riferite o
presentate in modo erroneo e
le altre informazioni, o il modo in cui sono presentate, sono incoerenti in modo
rilevante quando contraddicono le informazioni contenute nei rendiconti finanziari
(controllati) e sono così importanti da suscitare dubbi sui principi basilari delle
relazioni del controllore su tali rendiconti finanziari .(1))
4.4
La rilevanza finanziaria delle questioni trattate è un fattore sostanziale (rilevante in termini
di valore), ma il controllore deve anche decidere se l'anomalia o l'incoerenza siano
significative a causa del contesto o della natura rispettivi. Ad esempio, un'anomalia od
un'incoerenza minori in una relazione di gestione allegata ai rendiconti finanziari controllati,
può portare il lettore a crearsi un'opinione irrealisticamente ottimistica della gestione o
delle prospettive future dell'entità controllata.
4.5
Il controllore deve sempre prestare particolare attenzione alla possibilità che le anomalie
(1)
Le definizioni date di anomalie rilevanti e di incoerenze rilevanti sono tratte da "New Zealand Society of
Accountants Auditing Guidelines"#8 (1986).
- 106 -
o le incoerenze (comprese le omissioni) nelle altre informazioni siano dovute all'intenzione
precisa della direzione dell'entità controllata. Possono darsi talune circostanze che
aumentano il rischio intrinseco di queste anomalie o incoerenze intenzionali. Ad esempio,
la direzione dell'entità controllata può subire pressioni politiche perché raggiunga un dato
livello di rendimento oppure gli stipendi dei dirigenti possono dipendere dal
raggiungimento di dati obiettivi o dal sistema di gestione prestabilito.
5.
La pianificazione del controllo e le procedure di controllo
5.1
Il controllore deve esaminare le altre informazioni presenti nei documenti che contengono
i rendiconti finanziari controllati a prescindere dal fatto che debba o meno stendere una
relazione sulla sua verifica. Nel pianificare la verifica delle altre informazioni il controllore
deve prestare particolare attenzione alle eventuali conseguenze delle incoerenze o delle
anomalie contenute in tali informazioni. La verifica dev'essere pianificata e svolta in
conformità del rischio e della rilevanza stimati dal controllore.
5.2
Il controllore può individuare le omissioni confrontando le altre informazioni dell'anno in
corso con quelle pubblicate negli anni precedenti e quindi identificando le incoerenze nel
corso del tempo nelle altre informazioni presentate. Le omissioni possono anche essere
individuate, a titolo di esempio, esaminando i verbali delle riunioni del consiglio di
amministrazione, etc.
5.3
Di solito il controllore procede alla verifica delle altre informazioni contemporaneamente
al controllo dei rendiconti finanziari.
5.4
Se il controllore è dell'avviso che le altre informazioni unite ai rendiconti finanziari:
-
danno un quadro inesatto od inadeguato delle attività o della situazione generale
dell'entità controllata, oppure
lasciano il lettore nel dubbio sul contenuto o sull'adeguatezza delle informazioni in uno
o più settori, il controllore deve cercare di risolvere il problema. Ciò può comportare
colloqui con la direzione dell'entità controllata e l'esame di documenti supplementari.
5.5
Come in altre procedure di controllo, il controllore deve valutare e giudicare
obiettivamente gli elementi probatori a sostegno dei fatti esposti nelle altre informazioni
in base alla sua conoscenza del settore ed ai risultati della verifica.
6.
La stesura delle relazioni
6.1. La stesura, da parte del controllore, delle relazioni sui risultati della verifica delle altre
informazioni dipende:
-
dall'obbligo o meno di redigere una relazione e,
dal fatto che le altre informazioni contengano o meno, a suo avviso, informazioni
ingannevoli o incoerenti, che possono essere rilevanti per l'utente.
6.2. Quando dall'esame delle altre informazioni risultano casi di anomalie o di incoerenze, il
- 107 -
controllore normalmente deve attirare su questi l'attenzione della direzione dell'entità
controllata. Il controllore deve chiedere alla direzione dell'entità controllata di modificare
appropriatamente i rendiconti finanziari o di aggiungere informazioni per risolvere in modo
soddisfacente errori o incoerenze significativi.
6.3. Se la direzione dell'entità controllata non accetta di apportare le modifiche richieste o non
può farlo (2), ed il controllore considera rilevanti l'incoerenza o le anomalie, egli deve
esaminarne le conseguenze per la sua relazione sui rendiconti finanziari. Se vengono
scoperte incoerenze o anomalie rilevanti dopo la stesura della relazione del controllore sui
rendiconti finanziari, il controllore valuterà gli ulteriori provvedimenti da prendere (ad
esempio informarne il ministero competente).
6.4. La relazione del controllore può essere di natura diversa a seconda dei principi legislativi
dei diversi paesi e del mandato che ha ricevuto. Tuttavia, quando il controllore ha l'obbligo
di stendere una relazione oppure decide in tal senso, spesso è opportuno, come minimo,
che il controllore descriva brevemente il lavoro svolto ed i risultati ottenuti, ivi comprese
le informazioni ingannevoli o incoerenti significative.
(2)
Ad esempio, nella Comunità europea i rendiconti finanziari e le informazioni che li accompagnano sono posti
a disposizione della Corte dei conti europea nella loro forma definitiva e sono trasmessi contemporaneamente
alle autorità competenti per il discarico.
- 108 -
GRUPPO 4 CONTROLLO SULLA GESTIONE
DELLE NORME DI CONTROLLO DELL'INTOSAI
N. 41
IL CONTROLLO SULLA GESTIONE
INDICE
Paragrafi
Norma di controllo dell’INTOSAI
Il mandato di effettuare il controllo sulla gestione
Principi di base e definizioni
Il controllo finanziario e il controllo sulla gestione: analogie e differenze
La programmazione del controllo sulla gestione
La metodologia del controllo sulla gestione
L’elaborazione delle relazioni inerenti al controllo sulla gestione
Metodologia del controllo sulla gestione: tecniche di raccolta dei dati e
tecniche di analisi delle informazioni
1
2
3
4
5
6
7
Allegato 1
--------------------
1.
Riferimento alle norme di controllo dell'INTOSAI
1.1
I paragrafi 38 e 40 delle norme di controllo dell’INTOSAI dispongono:
"A livello di finanze pubbliche, l’ambito del controllo include il controllo di legittimità e il
controllo sulla gestione”.
- 109 -
"Il controllo sulla gestione interessa gli aspetti dell’economicità, efficienza
ed efficacia e comprende:
(a) il controllo dell’economicità delle attività amministrative in conformità
con le procedure e i principi di sana amministrazione e con le politiche di
gestione;
(b) il controllo dell’efficienza nell’utilizzazione di risorse umane, finanziarie
ed altre, compresi l’esame dei sistemi informativi, la misurazione del
rendimento e il monitoraggio, nonché le procedure utilizzate dagli organismi
controllati per ovviare alle carenze individuate; inoltre,
(c) il controllo dell’efficacia della gestione per quanto concerne il
conseguimento degli obiettivi da parte dell’organismo controllato, e il
controllo dell’impatto reale delle attività rispetto all’impatto atteso”.
2.
Il mandato di effettuare il controllo sulla gestione
2.1
In molti paesi la costituzione o la legislazione attribuisce all’ISC il diritto di svolgere, in
una certa forma, il controllo sulla gestione. In alcuni paesi l’ISC ha l’obbligo, in
determinate circostanze, di eseguire un controllo sulla gestione o di formulare un parere
sull’attendibilità degli indicatori di rendimento pubblicati dagli organismi controllati nelle
relazioni annuali o in documenti analoghi. Perfino nei paesi in cui la costituzione o la
legislazione non prevede che l’ISC svolga controlli sull’economicità, l’efficienza e
l’efficacia, la prassi attuale mostra una tendenza ad includere questo tipo di attività come
parte dei controlli finanziari e di regolarità ('controllo integrato'). Tali controlli richiedono
sovente da parte del controllore una valutazione dei sistemi evidenziata in un parere
professionale riguardo all’efficienza e all’efficacia delle strutture e delle procedure
organizzative, nonché all’economicità con cui sono state eseguite le operazioni.
2.2
Gli obiettivi globali del controllo sulla gestione variano a seconda del paese. Questi
possono essere definiti nella legislazione di base dell’ISC oppure essere oggetto di
decisioni interne dell’ISC. In generale, la maggior parte delle ISC persegue uno o più dei
seguenti obiettivi globali:
a. fornire all’organo legislativo o all’autorità preposta al discarico una valutazione
imparziale relativa all’attuazione economica, efficiente e/o efficace degli indirizzi
politici;
b. fornire all’organo legislativo o all’autorità preposta al discarico una valutazione
imparziale relativa all’attendibilità degli indicatori o delle dichiarazioni sul rendimento
pubblicati dall’organismo controllato;
c. individuare i settori a basso rendimento e quindi dare un supporto all’organismo
controllato, o più in generale l’amministrazione, per il miglioramento dell’economicità,
dell’efficienza e/o dell’efficacia;
d. individuare i casi di “buon andamento”, per sottoporli all’attenzione
dell’amministrazione e/o degli organismi controllati.
2.3
Il paragrafo 42 delle norme di controllo dell’INTOSAI, che fornisce una delucidazione di
alcune norme, dispone:
- 110 -
“In molti paesi il mandato di effettuare il controllo sulla gestione non prevede l’esame degli
indirizzi politici sui quali si basano i programmi statali”.
In questi casi, i controlli sulla gestione non rimettono in causa gli obiettivi dei programmi,
bensì esaminano le misure prese per concepire, attuare e valutare i risultati di tali
programmi e possono comprendere un esame dell’adeguatezza delle informazioni su cui
poggiano le decisioni di adozione dei programmi (esame della fase di pianificazione del
ciclo di programma).
2.4
Le norme INTOSAI applicabili al controllo sulla gestione sono citate nei rispettivi titoli del
presente criterio.
3.
Principi di base e definizioni
3.1
Il controllo sulla gestione
-----------------------------Come affermato nel paragrafo 1 di cui sopra, il controllo sulla gestione (ovvero “controllo
dell’ottimizzazione delle risorse”, “controllo della sana gestione finanziaria”, “audit della
gestione”, ...) verte sull’esame dell’economicità, dell’efficienza e/o dell’efficacia (“le tre
E”). Un determinato controllo sulla gestione può avere come obiettivo l’esame di uno o
più di questi tre aspetti.
Un controllo sulla gestione può quindi includere un esame dei sistemi utilizzati per
assicurare l’attuazione delle “tre E” e/o un esame sostanziale del rendimento
dell’organismo controllato sotto questi profili. Un controllo sulla gestione può altresì
comprendere l’esame delle decisioni assunte dai responsabili della gestione dell’organismo,
nonché l’esame delle attività, in attuazione dei programmi. In quest’ultimo caso il controllo
verterà generalmente sul modo in cui l’esecutivo svolge le proprie funzioni, e le strategie
di programmazione, di attuazione, di controllo, di valutazione e di quant’altro.
3.2
L’economicità va intesa come la minimizzazione dei costi delle risorse o dell’utilizzazione
del denaro pubblico impiegato per un’attività (input), tenuto conto della qualità (1).
L’economicità rimanda al concetto di “buona gestione” nello spendere il denaro pubblico.
Ciò che dovrebbe essere definito “buona gestione” o “spreco” è una questione di
valutazione che richiede un criterio esterno (ad es. dei rubinetti d’oro sarebbero eccessivi,
poiché i rubinetti di acciaio sono altrettanto funzionali; tuttavia, sarebbe giudicata
unanimamente funzionale la corona di una regina fatta d’oro!)
Il fattore dell’economicità induce spesso il controllore ad esaminare elementi quali
l’elaborazione di specifiche per la fornitura di beni e servizi ed altri aspetti
dell’approvvigionamento, come gare d’appalto e contratti.
(1)
In alcuni controlli (entrate, redditi, ricavi), l’economia potrebbe implicare la massimizzazione o
l’ottimizzazione delle entrate che derivano dall’attività interessata (ad es. massimizzare le entrate provenienti
dalla privatizzazione di una società pubblica, facendo in modo che le pubblicazioni del governo siano vendute
a prezzi di mercato ecc.).
- 111 -
L’efficienza è il rapporto tra i prodotti, in termini di beni, servizi ed altro e le risorse
(input) utilizzate per produrli. L’efficienza in quanto tale è strettamente connessa al
concetto di “produttività”.
Come per l’economicità, anche per l’efficienza occorre un punto di riferimento per essere
compresa pienamente, ad es. il confronto con il rapporto input/output di organizzazioni
analoghe (“benchmarking”, norme di “buona prassi” ecc.).
Il concetto di efficacia dei costi è connesso all’efficienza di un organismo controllato, di
un’attività, programma od operazione, nel raggiungimento di determinati risultati rispetto
ai costi. Le analisi di efficacia dei costi studiano la relazione tra costi dei progetti e risultati,
espressi in costi per unità di risultato raggiunto. Il rapporto costo efficacia è soltanto un
elemento nell’esame globale dell’efficienza, che può includere l’analisi di altri elementi,
quali il momento in cui sono stati forniti gli output rispetto al momento ottimale per
massimizzare l’impatto.
L’efficacia misura la misura in cui gli obiettivi sono stati raggiunti e il rapporto tra gli
effetti previsti di una attività e quelli raggiunti. (2)
Il controllore può cercare di valutare o misurare l’efficacia confrontando i risultati (ovvero
“l’impatto”) con i traguardi fissati negli obiettivi programmatici (questo approccio è spesso
descritto come “conseguimento dell’obiettivo”). Tuttavia, è solitamente più appropriato,
controllando l’efficacia, cercare di determinare la misura in cui gli strumenti utilizzati hanno
contribuito al raggiungimento degli obiettivi programmatici. Questo è il controllo
dell’efficacia in senso “proprio” e richiede la prova che i risultati osservati siano realmente
i risultati dell’azione intrapresa dall’organismo controllato al fine di conseguire gli obiettivi
programmatici e non i risultati di altri fattori esterni. Ad esempio, se l’obiettivo
programmatico è quello di ridurre la disoccupazione, la constatata diminuzione del numero
dei disoccupati è il risultato delle azioni dell’organismo controllato oppure è il risultato di
un miglioramento generale del clima economico su cui l’organismo controllato non esercita
alcun influsso? In questo caso, il controllo deve essere concepito in modo da poter
risolvere la problematica della “effettiva” imputazione: deve affrontare il problema
dell’effettiva esclusione di variabili esterne interferenti.
3.3
L’economicità e l’efficienza interessano generalmente i processi e le decisioni di gestione
interni dell’organismo controllato (sebbene ciò possa comportare raffronti con analoghi
organismi o processi esterni). Tuttavia, il controllo dell’efficacia può essere inteso nei
seguenti modi:
-
(2)
in senso stretto, quando sono esaminate soltanto la gestione e le operazioni interne
dell’organismo controllato. In questo caso, il controllo dell’efficacia sarà di norma
incentrato sul risultato dell’organismo ed esaminerà “l’impatto interno” (quello
identificabile nell’organismo controllato);
Fonte: INTOSAI Audit Standards, Glossary. Si consulti anche il criterio su “Elementi probatori e metodi di
controllo”, Allegato 2, paragrafo 6.1.
- 112 -
-
in senso più ampio, quando l’esame si estende al di là degli ambiti dell’organismo
controllato. In questo caso, il controllo dell’efficacia non si prefigge di misurare
soltanto il prodotto, ma anche i risultati o l’impatto ottenuto dall’organismo
controllato. A tal fine, il controllore deve prendere in considerazione l’incidenza che
le variabili esterne (ad es. fattori al di fuori del controllo della gestione dell’organismo)
hanno sul prodotto dell’organismo controllato.
3.4
Il grafico seguente illustra tali concetti.
3.5
Ove dal controllo sulla gestione non sia voluto necessariamente trarre conclusioni su tutti
e tre gli aspetti (economicità, efficienza ed efficacia), ne deriva che un esame separato sulla
economicità ed efficienza delle attività, senza considerare (almeno nel breve periodo)
l’efficacia, risulta di limitata utilità. Viceversa, in un controllo dell’efficacia il controllore
deve anche considerare gli aspetti dell’economia e dell’efficienza: i risultati di un organismo
controllato, attività, programma o operazione possono aver prodotto l’esito voluto, ma le
risorse impiegate a tal fine sono state utilizzate in modo economico ed efficiente?
Per l’esame dell’efficacia, occorre generalmente valutare il risultato o l’incidenza di
un’attività. Così, mentre un approccio fondato sull’analisi dei sistemi può rivelarsi utile (ad
es. valutare in che modo l’organismo controllato misura e sorveglia il suo impatto), il
controllore necessiterà solitamente di acquisire documentazione sufficiente sui risultati ed
effetti dell’attività, programma o organismo.
3.6
Un aspetto specifico dei controlli sia dell’efficienza che dell’efficacia è costituito dallo
studio degli effetti non intenzionali, soprattutto se questi effetti sono negativi. Sorge a
questo punto un problema di delimitazione, poiché tali effetti possono investire ambiti
estranei alla competenza e alle facoltà dell’ISC. Un modo di limitare la scelta può essere
- 113 -
quello di considerare gli effetti non intenzionali che in altri programmi vengono contrastati,
ad es. effetti secondari sull’ambiente di un programma di incentivazione economica.
4.
Controllo finanziario e controllo sulla gestione: analogie e differenze
4.1
Il paragrafo 183 della norme dell’INTOSAI, che fornisce una delucidazione delle norme,
dispone che:
"A differenza del controllo sulla regolare esposizione [ovvero finanziario] inquadrato in
maniera relativamente rigida quanto alle disposizioni e alle finalità, l’ambito del controllo
sulla gestione è ampio per natura; la sua copertura è più selettiva e può estendersi ad un
ciclo di diversi anni, senza limitarsi ad un solo periodo contabile; di norma non è legato a
specifici rendiconti finanziari o altri. Di conseguenza, le relazioni relative al controllo sulla
gestione sono varie e contengono argomentazioni più articolate”.
Norme di controllo
----------------------
4.2
Nonostante il carattere più vario e l’ambito più ampio del controllo sulla gestione, il
controllore deve cercare il più possibile, nel contesto del controllo specifico da attuare, di
svolgere tale controllo nel rispetto delle norme dell’INTOSAI. In particolare, il controllore:
-
nel determinare l’ampiezza e l’ambito del controllo, deve esaminare e valutare
l’affidabilità del controllo interno (Norme di controllo dell’INTOSAI, paragrafo 141 vedasi il criterio-guida n. 13 “Elementi probatori e metodo di controllo”);
-
deve programmare il controllo in modo da garantire l’espletamento di un controllo di
qualità elevata in modo economico, efficiente, efficace e in modo tempestivo (Norme
di controllo dell’INTOSAI, paragrafo 132 - vedasi il criterio-guida n. 11
“Programmazione del controllo”);
-
deve far sì che si ottengano elementi probatori adeguati, pertinenti e a un costo
ragionevole a sostegno del giudizio e delle conclusioni del controllore riguardanti
l’organizzazione, il programma, l’attività o la funzione controllati (Norme di controllo
dell’INTOSAI, paragrafo 152 - vedasi il criterio-guida n. 13 “Elementi probatori e
metodo di controllo”). Tali elementi probatori e i giudizi formulati dal controllore sulla
base di tali elementi devono essere documentati adeguatamente e devono essere
soggetti a procedure di garanzia della qualità (Spiegazione delle norme di controllo
dell’INTOSAI, paragrafo 156 - cfr. il criterio-guida n. 51 “Garanzia della qualità”).
Inoltre, dato che il controllo sulla gestione può risultare più aperto a valutazioni ed
interpretazioni rispetto al controllo finanziario, il controllore deve prestare particolare
attenzione all’imparzialità e all’obiettività della relazione che viene elaborata.
La scelta dei settori di controllo e lo studio preliminare
---------------------------------------------------------------4.3
Nei controlli finanziari, il settore di controllo è spesso definito per l’ISC dalla sua
legislazione di base o dalla legislazione che istituisce o disciplina l’organismo controllato.
- 114 -
L’ISC deve spesso fornire un parere sui conti annuali dell’organismo controllato oppure
presentare le sue osservazioni nella sua relazione annuale sulla legittimità e sulla regolare
esposizione delle operazioni dell’organismo controllato ecc.. Come menzionato nel
paragrafo 4.1 di cui sopra, l’ISC ha solitamente una maggiore libertà nella scelta dei settori
del controllo sulla gestione. Il controllo sulla gestione può, ad esempio, prendere in esame
un organismo controllato, un programma, un’attività oppure singole operazioni ecc. L’ISC
deve quindi considerare con cura i criteri da applicare nella scelta dei settori da sottoporre
al controllo sulla gestione (cfr. il paragrafo 5.2 in appresso).
4.4
Diversamente dai controlli finanziari, la maggiore libertà nella selezione dei settori
associata al carattere più vasto e alla maggiore possibilità di esprimere un giudizio e
un’interpretazione nei controlli sulla gestione, implica che molte ISC ritengono necessario
effettuare studi preliminari particolareggiati prima di definire i piani di controllo di gestione
(cfr. i paragrafi dal 5.3 al 5.6 in appresso).
Criteri di valutazione
-------------------------
4.5
Nei controlli finanziari, le operazioni esaminate sono giudicate dal controllore in quanto
“corrette” o “ non corrette”, “legittime” o “illegittime” ecc. Tali criteri di valutazione
adottati dal controllore per formulare un parere conclusivo alla fine del controllo sono
relativamente chiusi e solitamente predeterminati da, ad esempio, la legislazione che
istituisce l’organismo controllato. Tuttavia per i controlli sulla gestione la scelta dei criteri
di controllo è generalmente più aperta ed è operata dal controllore stesso. Pertanto, nel
controllo sulla gestione i concetti generali di 'economicità', 'efficienza' ed 'efficacia' devono
essere interpretati in relazione al settore controllato ed i criteri risultanti varieranno da un
controllo all’altro (3).
La natura degli elementi probatori
----------------------------------------
4.6
Il paragrafo 152 delle norme di controllo dell’INTOSAI dispone che:
“Per avvalorare il giudizio e le conclusioni del controllore sull’organizzazione, sul
programma, sull’attività o sulla funzione oggetto del controllo, occorre reperire elementi
probatori adeguati, pertinenti e a un costo ragionevole.”
4.7
(3)
Mentre la maggior parte degli elementi probatori nei controlli finanziari sono conclusivi
(“sì/no”, “vero/falso”), nei controlli sulla gestione ciò accade di rado. Gli elementi
valutativi di un controllo sulla gestione sono solitamente convincenti (“a favore della
conclusione che ...). Il controllore deve scegliere con attenzione le appropriate metodologie
di controllo in modo da ottenere elementi probatori estremamente convincenti (e sfruttare
ogni possibilità di ottenere prove conclusive). Spesso il controllore cerca di ottenere vari
tipi di dati da fonti differenti mediante metodologie diverse e se tutte le prove conducono
Cionondimeno il controllore dovrà solitamente tener conto del contesto legislativo e regolamentare che
disciplina l’attività controllata e ne determina l’esecuzione, al fine di identificare gli obiettivi programmatici
e gli strumenti disponibili per raggiungerli.
- 115 -
alla stessa conclusione la relazione dell’ISC sarà più convincente.
4.8
Quando si lavora in settori in cui gli elementi valutativi da ottenere siano più convincenti
che conclusivi, è spesso utile discutere preventivamente con l’organismo controllato la
natura delle prove da ottenere ed il modo in cui saranno analizzate ed intepretate dal
controllore. Tale approccio riduce il rischio di disaccordo tra il controllore e l’organismo
controllato nelle fasi successive e può accelerare l’elaborazione della relazione. Se non
altro, esso consentirà in generale al controllore di identificare gli ambiti di un potenziale
disaccordo e permetterà al controllore di prevedere la ricerca di ulteriori elementi probatori
necessari a superare il disaccordo.
Il metodo di controllo
--------------------------
4.9
Analogamente ai controlli finanziari, il metodo di controllo nei controlli sulla gestione deve
essere consolidato e le diverse fasi del controllo devono essere svolte secondo un ordine
logico (4). Il controllo include:
-
esami approfonditi dei sistemi delle procedure interne di controllo messe in atto dagli
organismi controllati per garantire l’economicità, l’efficienza e l’efficacia delle loro
operazioni (5). Ciò consente al controllore di identificare settori in cui è necessaria
un’azione correttiva ai fini di un miglioramento;
e/o
-
esami sostanziali dell’economicità, dell’efficienza e/o dell’efficacia delle organizzazioni,
attività, programmi o funzioni interessate.
4.10 Nei controlli finanziari, il controllore può avere la scelta tra un approccio fondato
sull’analisi dei sistemi e le verifiche di convalida dirette. Generalmente, una relazione di
controllo di gestione che identifica carenze nei sistemi o nelle procedure e fornisce esempi
ottenuti dalle verifiche di convalida dell’effetto di tali carenze (in termini di non
conseguimento dei criteri di economicità, efficienza e/o efficacia), avrà una maggiore
incidenza di una relazione che segnala le carenze di un sistema senza indicare l’effetto di
tali carenze o, viceversa, identifica casi sostanziali di mancanza di economicità, efficienza
ed efficacia senza identificarne le ragioni. Nel controllo sulla gestione il controllore può
spesso scegliere una combinazione di elementi probatori ottenuti dall’analisi dei sistemi e
dalle verifiche di convalida.
4.11 Laddove le procedure di controllo interno siano altamente sviluppate ed in particolare
quando la legislazione obbliga i servizi ministeriali ed altre agenzie ad una propria
valutazione ('autovalutazione') regolamentata dei programmi e della loro organizzazione,
(4)
(5)
Decidere cosa esaminare ed identificare gli obiettivi del controllo, i quesiti chiave del controllo e i principali
criteri di controllo (paragrafi 4.3-4.5 sopra); programmare il controllo (paragrafo 5 in appresso); svolgere il
controllo (paragrafo 6 in appresso); relazione e seguito dato alle conclusioni della relazione (paragrafo 7 in
appresso).
Va rilevato che le norme di controllo dell’INTOSAI (paragrafo 141) prevedono che il controllore esegua
almeno un esame sommario dell’affidabilità del controllo interno, come parte del processo di programmazione.
- 116 -
l’ISC può decidere di limitare il suo controllo sulla gestione ad una specie di
metavalutazione (valutazione della valutazione). Va sottolineato che, tuttavia, un tale
approccio è applicabile soltanto se il controllore dell’ISC sia pienamente convinto che i
processi di valutazione interni forniscano valutazioni obiettive, complete e tempestive dei
programmi interessati.
5.
Programmazione del controllo sulla gestione
5.1
I controlli di gestione devono essere programmati. Le principali caratteristiche del processo
di programmazione sono descritte nel criterio-guida n. 11 “Programmazione del controllo”.
Tale criterio verte sugli aspetti della programmazione propri alla concezione del controllo
sulla gestione.
La scelta dei settori di controllo
-------------------------------------
5.2
La scelta dei settori di controllo sarà basata sulle politiche di programmazione dell’ISC.
I criteri per stabilire le priorità di controllo si fondano normalmente sul valore aggiunto del
controllo relativamente al compito principale dell’ISC. Il valore aggiunto è solitamente
maggiore:
-
-
-
quando i poteri speciali dell’ISC vengono pienamente esercitati;
quando il campo della politica, l’organizzazione, l’attività, il programma o la funzione
in questione non hanno formato oggetto di un esame o di una valutazione indipendente
in un passato recente, oppure quando fanno parte del controllo sistematico del
settore/organizzazione nell’ambito di un programma a lungo termine dell’ISC.
quando sussistono rischi significativi che la gestione finanziaria, il rendimento o
l’ottimizzazione delle risorse siano insufficienti. Quelli che seguono sono esempi di
fattori che possono comportare alti rischi:
- gli importi finanziari o di bilancio in causa sono rilevanti oppure hanno registrato
cambiamenti notevoli (ad es. incremento o riduzione improvvisi di un programma);
- settori tradizionalmente esposti al rischio (contratti di approvvigionamento,
progetti di alta tecnologia, progetti ambientali ...)
- attività nuove o urgenti;
- strutture di gestione complesse, mancanza di chiarezza in materia di responsabilità
e obbligo di rendere conto ...
quando il settore è di interesse potenziale o attuale per il Parlamento o il pubblico.
quando le conclusioni che risultano dal controllo possono influenzare la formulazione
di una nuova legislazione o la revisione della legislazione esistente o le procedure di
gestione interne nello stesso settore d’intervento, oppure quando possono essere
applicate ad ambiti connessi o analoghi dell’attività pubblica.
Programmazione del controllo e studio preliminare
----------------------------------------------------------5.3
Dopo che la scelta dell’oggetto del controllo è stata effettuata, il controllore può procedere
alla programmazione del controllo sulla gestione. Come si è rilevato nel paragrafo 4.4 di
cui sopra, il fatto che il controllore si trovi di fronte a una situazione più complessa,
quando svolge un controllo sulla gestione rispetto a quando opera un controllo finanziario,
- 117 -
implica che occorre prestare una maggiore attenzione alla preparazione iniziale e può
essere necessario redigere uno “studio preliminare” (ovvero “pre-studio”) prima di
predisporre il programma di controllo definitivo.
5.4
Lo studio preliminare ed il programma di controllo dipendono essenzialmente dalla
concezione del controllo sulla gestione ed includono solitamente i seguenti elementi:
a. un’analisi del contesto delle attività in questione inclusi gli obiettivi, il rendimento fino
alla data del controllo e il quadro regolamentare;
b. la comprensione del funzionamento dell’organismo controllato o dell’attività, e quindi
la comprensione dei sistemi chiave di gestione e dei flussi di informazioni;
c. la formulazione degli obiettivi del controllo (qual è il risultato o l’impatto
programmato del controllo?) e delle domande chiave del controllo alle quali rispondere
per conseguire gli obiettivi del controllo.
Gli obiettivi specifici ed i quesiti focali del controllo sono di importanza preminente per la
programmazione e lo svolgimento dei controlli di gestione.
Gli obiettivi del controllo sono di norma strettamente connessi al mandato dell’ISC (che è
volto di solito al miglioramento dell’efficienza e della regolarità dell’azione
dell’amministrazione); i quesiti focali del controllo, invece, sono determinati dalla natura
dell’argomento e dagli obiettivi del controllo.
Vi sono tre tipi di indagini e di quesiti di controllo: descrittivo (cosa è?), normativo (cosa
dovrebbe essere?) e domande di causa-effetto.
Gli obiettivi del controllo e i quesiti chiave del controllo servono entrambi ad identificare
gli elementi valutativi del controllo necessari e quindi la metodologia del controllo nonché
i criteri di valutazione del controllo.
d. La determinazione degli elementi probatori del controllo che risponderanno ai quesiti.
Devono essere valutate la pertinenza, l’affidabilità e la completezza dei dati disponibili negli
organismi controllati (ad es. indicatori di rendimento). La possibilità di raccogliere gli
elementi probatori richiesti (disponibilità dei dati) deve pure essere verificata.
e. La scelta dei metodi da adottare per raccogliere ed analizzare gli elementi probatori del
controllo.
Nei controlli di gestione, i controllori riscontrano frequentemente problemi nel raccogliere
e nell’analizzare gli elementi probatori di controllo richiesti. È quindi solitamente
consigliabile verificare nella fase di programmazione l’attuabilità dei metodi proposti di
raccolta e di analisi dei dati.
f.
La determinazione dei criteri di valutazione del controllo.
I criteri di valutazione del controllo corrispondono alle norme generalmente accettate
secondo cui sono valutati gli elementi probatori. Ad esempio, un controllore che esamina
il criterio dell’ economicità dei servizi sanitari può cercare di comparare i costi delle
medicine prescritte nell’ospedale controllato ai prezzi normali fissati dal Ministero
competente.
Tali criteri di valutazione varieranno secondo il settore e gli obiettivi specifici del controllo,
la legislazione che disciplina l’organizzazione, l’attività, il programma o la funzione
controllati, le finalità dichiarate dell’organizzazione (ecc.) e gli specifici criteri normativi che
- 118 -
l’ISC ritiene in questo caso pertinenti ed importanti.
Nella scelta dei criteri di valutazione, i controllori devono far in modo che questi siano
pertinenti, ragionevoli e realizzabili.
I criteri di valutazione devono essere enunciati chiaramente e convalidati e, se possibile,
tratti da fonti autorevoli, ad esempio:
- legislazione o dichiarazioni ufficiali oppure altri obiettivi e norme pubblicati;
- teoria e prassi di organizzazione e di gestione generalmente accettate;
- norme dell’industria ed altri criteri di confronto pertinenti.
Nella misura in cui le organizzazioni tendono ad “attribuire molto valore alle loro
misurazioni”, il controllore dovrà prestare molta attenzione quando i criteri adottati per il
controllo sono gli stessi definiti ed utilizzati dall’ organismo controllato. Oltre ai criteri
quantitativi il controllore dovrà prevedere l’uso di criteri qualitativi.
Nel definire il settore di controllo, nel determinare i quesiti chiave nonché nel descrivere
i criteri di controllo, i concetti centrali dovrebbero essere definiti con correttezza e con
precisione. Ciò vale per definizioni sia concettuali che operazionali.
5.5
Oltre agli elementi di cui sopra relativi alla concezione del controllo, lo studio preliminare
ed il programma di controllo che ne risulta includeranno solitamente:
a. una valutazione delle conoscenze e delle competenze professionali richieste
dall’équipe di controllo per effettuare il controllo.
Nei casi in cui i controllori interessati non siano in possesso delle competenze richieste, si
dovrebbe provvedere ad attingere all’esterno, rivolgendosi o al personale dell’ISC o a
consulenti esterni (cfr. il criterio-guida “Ricorso ad altri controllori ed esperti”). Se l’équipe
di controllo non dispone delle competenze e conoscenze richieste, è opportuno chiedersi se
sia possibile svolgere il controllo previsto.
b. Un bilancio delle risorse necessarie a svolgere il controllo e un calendario
c. Possibili conclusioni e impatto del controllo.
Il risultato proposto del controllo di gestione dovrebbe essere giudicato anche in termini di
'utilità' e 'fattibilità'. Insieme agli stanziamenti per il controllo, tali fattori dovrebbero
consentire al controllore di ottenere una valutazione globale del valore aggiunto potenziale
che sarà creato dal controllo.
d. Il controllore dovrebbe poter prendere in considerazione gli interessi predominanti e
i punti di vista delle parti principalmente interessate.
Il controllore potrebbe consultarsi con le parti interessate e, per quanto possibile senza
compromettere l’indipendenza del controllo, prendere in considerazione il loro punto di vista
nella definizione degli obiettivi del controllo e nella preparazione del programma di
controllo.
5.6
La programmazione è spesso l’elemento chiave per il successo del controllo sulla gestione.
Una programmazione accurata dà generalmente luogo ad un controllo meno costoso e più
- 119 -
rapido e quindi ad una relazione più utile. Molte ISC ritengono che sia opportuno svolgere
uno studio preliminare dettagliato prima di giungere ad una decisione definitiva sul
proseguimento del controllo.
6.
Metodologia del controllo di gestione
6.1
La natura specifica dei controlli di gestione richiede una scelta oculata delle metodologie
per l’analisi delle variabili esaminate. L’obbligo di ottenere elementi valutativi adeguati,
pertinenti ed affidabili (Norme di controllo dell’INTOSAI, paragrafo 152) avrà
generalmente un’incidenza sulle decisioni prese dal controllore riguardo alle metodologie
appropriate. Per i controlli di gestione in particolare, il controllore presterà attenzione alla
validità e all’affidabilità dei metodi utilizzati per la raccolta e l’analisi dei dati:
*
Validità: i metodi e le tecniche devono permettere di misurare esattamente l’obiettivo
controllato;
*
Affidabilità: ripetendo le stesse operazioni di misurazione con lo stesso insieme di dati,
i risultati dovrebbero rimanere costanti.
Per i controlli sulla gestione si può far ricorso ad una grande varietà di metodi e tecniche,
ad esempio indagini, interviste, (quasi) esperimenti sul campo, studi “prima e dopo”, analisi
secondaria dei dati, benchmarking ecc.. Nell’ambito di tali strategie generali sono possibili
e praticabili diverse configurazioni. L’ALLEGATO 1 fornisce una sintesi di alcune delle
metodologie più comuni utilizzate nei controlli sulla gestione.
6.2
Come affermato nel paragrafo 4.2 di cui sopra, i controllori dovrebbero cercare di svolgere
controlli sulla gestione nel rispetto delle altre norme di controllo dell’INTOSAI, cosa che
condizionerà anche la scelta delle metodologie.
Lavoro sul campo
---------------------
6.3
Per informazioni generali sul lavoro sul campo si consulti il criterio-guida n. 13 “Elementi
probatori e metodo di controllo”. Tale criterio può condurre in particolare il controllore
a valutare se adottare un approccio basato sull’analisi dei sistemi per il controllo specifico
che si sta svolgendo. Anche nei casi in cui si decide di non seguire un approccio basato
sull’analisi dei sistemi, il controllore dovrebbe, come parte del processo di programmazione
del controllo, avere effettuato una valutazione preliminare del sistema delle procedure
interne di controllo.
6.4
Le osservazioni seguenti si applicano in modo particolare al contesto dei controlli sulla
gestione.
6.5
La raccolta dei dati può essere effettuata in una volta sola o con operazioni continue
(analisi cronologica, analisi longitudinale). Le informazioni possono essere raccolte sulla
base di prove materiali, documenti (comprese le dichiarazioni scritte), testimonianze orali
(interviste) oppure con altri mezzi a seconda dell’obiettivo del controllo. Spesso, occorrerà
raccogliere dati sia quantitativi che qualitativi. Si dovrebbe poter spiegare e giustificare,
in termini di adeguatezza, validità, affidabilità, pertinenza e ragionevolezza i tipi di dati
- 120 -
cercati.
6.6
I risultati del lavoro sul campo e dell’analisi (gli elementi valutativi del controllo), insieme
alla documentazione relativa alla programmazione del controllo, devono essere
documentati, classificati e completi di riferimenti affinché i responsabili del controllo
possano esaminare il lavoro effettuato e convalidare le conclusioni alle quali si è giunti (cfr.
il criterio-guida n. 26 “Documentazione” e il criterio-guida n. 51“Garanzia della qualità”).
7.
L’elaborazione delle relazioni inerenti al controllo sulla gestione
7.1
Per i criteri generali sull’elaborazione delle relazioni, si consulti il criterio-guida n. 31
“Stesura delle relazioni”.
7.2
Le relazioni pubblicate a seguito dei controlli sulla gestione includono normalmente i
seguenti elementi:
-
-
una sintesi del contesto in cui le attività controllate hanno luogo e del contesto
organizzativo;
gli obiettivi relativi a tali attività, una descrizione delle attività ed un’analisi del rispetto
potenziale dei criteri di economicità, efficienza ed efficacia, per giungere alla
formulazione degli obiettivi del controllo;
una descrizione o una sintesi delle metodologie di controllo utilizzate per la raccolta
e l’analisi dei dati ed un’indicazione delle fonti dei dati;
una delucidazione dei criteri adottati per l’interpretazione dei risultati;
i risultati del controllo, o quanto meno i risultati considerati significativi per i lettori
a cui si rivolge la relazione;
le conclusioni relative agli obiettivi del controllo.
A seconda della politica dell’ISC, la relazione può presentare raccomandazioni che fanno
seguito alle conclusioni.
7.3
Il rapporto tra obiettivi del controllo, criteri, risultati e conclusioni deve essere verificabile
e completo. Per consentire al lettore di verificare le conclusioni, la relazione deve spiegare
tale rapporto. Il nesso tra risultati del controllo e conclusioni deve essere reale e chiaro.
Nei casi in cui il controllore abbia attribuito una diversa ponderazione ai vari criteri di
controllo per le sue conclusioni, è opportuno che ciò sia precisato per facilitare al lettore
la comprensione della relazione.
7.4
Nei casi in cui l’ISC è solita presentare raccomandazioni, deve esserci un nesso chiaro tra
conclusioni e raccomandazioni. Le raccomandazioni devono normalmente essere formulate
soltanto quando il controllo ha messo in luce soluzioni plausibili e convenienti per le
carenze individuate. Esse non devono presentare solitamente programmi di applicazione
dettagliati - che sono di competenza dei responsabili della gestione - bensì dovrebbero
indicare gli elementi principali di ogni cambiamento necessario, prendendo nella debita
considerazione il costo probabile della loro applicazione. Solitamente si dovrebbe
identificare chiaramente chi è responsabile delle carenze riscontrate e chi deve provvedere
a colmarle.
7.5
Le relazioni del controllo sulla gestione dovrebbero essere obiettive ed eque nella loro
- 121 -
presentazione. Ciò presuppone che:
-
vi siano presentazioni distinte dei risultati e delle conclusioni;
i fatti siano presentati in modo obiettivo;
siano riportati i risultati pertinenti essenziali;
le relazioni siano costruttive e si presentino anche conclusioni positive.
Consultazione con l’organismo controllato
-------------------------------------------------7.6
La maggior parte delle ISC dà solitamente ai responsabili della gestione dell’organismo
controllato la possibilità di esprimere osservazioni sul progetto di relazione. Per facilitare
questo processo e stabilire un dialogo costruttivo e positivo, il controllore può incoraggiare
discussioni e scambi di opinioni, sua una base formale o informale, sia nella fase dello
studio/programmazione preliminare che nel corso del lavoro sul campo.
-------
- 122 -
Allegato
Metodologia del controllo sulla gestione
I controlli di gestione dispongono di una grande varietà di metodi e tecniche. Segue in appresso
una breve descrizione dei metodi e delle tecniche più comuni utilizzati per la raccolta e l’analisi
dei dati.
1
Tecniche di raccolta dei dati
1.1
Esame dei fascicoli
Attingere ai documenti costituisce una tecnica molto efficiente di raccolta dei dati e
pertanto l’esame dei fascicoli formerà sovente la base di molti controlli di gestione. I
fascicoli contengono un’ampia gamma di elementi probatori, quali le decisioni dei
funzionari, la documentazione dei beneficiari dei programmi e i documenti dei programmi
dell’amministrazione. È essenziale determinare la natura, l’ubicazione e la disponibilità dei
fascicoli nella fase iniziale del controllo di gestione, affinché questi possano essere
esaminati con una certa facilità (efficacia dei costi).
1.2
Campionamento ai fini di controllo
Come dispone il paragrafo 6.1 del criterio del campionamento ai fini di controllo: è da
rilevare che il campionamento è spesso un mezzo per ottenere elementi probatori nel
quadro dei controlli di gestione. Gli obiettivi del campionamento possono essere diversi,
ma i principi che stanno alla base sono gli stessi.
1.3
Analisi secondaria/Ricerca documentaria
L’analisi secondaria consiste, ad esempio, nell’esame delle relazioni di ricerca generale, dei
libri e degli articoli relativi al settore del programma o di studi specifici del settore,
compresi i controlli e le valutazioni anteriori. Ciò permette di aggiornare o ampliare le
conoscenze professionali del controllore su un argomento particolare.
1.4
Indagini
Un’indagine è una raccolta sistematica di informazioni da una determinata popolazione,
solitamente mediante interviste o questionari distribuiti ad un campione di unità della
popolazione.
Le indagini sono utilizzate per raccogliere informazioni dettagliate e specifiche presso un
gruppo di persone od organizzazioni. Si rivelano particolarmente utili quando occorre
quantificare le informazioni date da un numero cospicuo di persone su un problema o un
argomento specifico.
Si dispone di un’ampia gamma di tecniche di indagine. Le più utilizzate sono solitamente
- 123 -
la posta, il telefono e le interviste dirette.
1.5
Interviste
Un’intervista è uno scambio di domande e risposte volto ad ottenere determinate
informazioni. Le interviste possono essere non strutturate (ovvero con domande aperte)
o strutturate (domande chiuse).
Le interviste possono essere utilizzate nella fase di programmazione e nell’esame vero e
proprio per ottenere documenti, pareri ed idee attinenti agli obiettivi del controllo, per
confermare fatti, corroborare i dati di altre fonti oppure considerare eventuali
raccomandazioni.
1.6
Gruppi target
I gruppi specifici sono costituiti da una selezione di persone riunite per discutere argomenti
e problemi specifici. Sono utilizzati innanzitutto per la raccolta qualitativa di dati, ovvero
di informazioni che permettono di comprendere i valori e le opinioni delle persone che
operano nel processo o nell’attività soggetta al controllo.
1.7
Analisi comparativa (“benchmarking”)
Il benchmarking è un procedimento che permette di raffrontare i metodi, i processi, le
procedure, i prodotti e i servizi di un’organizzazione con quelli delle organizzazioni che
si distinguono costantemente negli stessi tipi di attività.
Il benchmarking può essere utilizzato:
-
1.8
per incoraggiare un esame obiettivo dei processi, delle procedure e dei sistemi che
pongono problemi;
per elaborare criteri ed identificare modalità operative potenzialmente migliori;
per attribuire maggiore credibilità alle raccomandazioni del controllo.
Studi “prima e dopo”
In uno studio prima e dopo si confronta la situazione prima dell’avvio del programma alla
situazione dopo l’applicazione del programma.
Un semplice studio “prima e dopo” consiste in una serie di misurazioni prima dell’avvio del
programma ed una seconda serie sullo stesso gruppo di partecipanti dopo un periodo
sufficientemente lungo di partecipazione. L’impatto è stimato raffrontando le due serie di
misure.
L’inconveniente principale di questa tecnica consiste nel fatto che le differenze tra le misure
prima e dopo non possono essere attribuite con certezza al programma.
- 124 -
1.9
(Quasi) esperimenti sul campo/Metodo sperimentale
L’aspetto essenziale degli esperimenti veri e propri è l’attribuzione casuale di obiettivi a
gruppi trattati e non trattati che costituiscono rispettivamente il gruppo sperimentale e il
gruppo di controllo.
Un gruppo di controllo è un gruppo di obiettivi non trattati i cui risultati relativi alla
valutazione dell’impatto sono comparati a quelli dei gruppi sperimentali.
Un gruppo sperimentale è un gruppo di obiettivi che viene sottoposto ad un intervento e
i cui risultati sono confrontati a quelli dei gruppi di controllo.
Un quasi esperimento è un’operazione di ricerca dell’impatto in cui i gruppi 'sperimentali'
e 'di controllo' non sono formati casualmente.
I problemi pratici e strategici che sorgono nell’utilizzazione del metodo sperimentale hanno
condotto ad un incremento nell’uso di metodi 'quasi sperimentali', che tentano di escludere
per quanto possibile gli effetti esterni che rendono difficile la valutazione dell’impatto.
Tuttavia, questi metodi non offrono la stessa garanzia di un esperimento vero e proprio.
I due tipi più comuni di metodi quasi sperimentali prevedono la formazione di gruppi di
controllo o di confronto in modo da approssimarsi il più possibile ad una ripartizione
casuale. Ciò viene effettuato associando i gruppi che partecipano a quelli che non
partecipano oppure con un adeguamento statistico dei partecipanti e dei non partecipanti,
affinché le caratteristiche essenziali di questi siano più equivalenti possibile.
2
Tecniche di analisi delle informazioni
2.1
Quadro logico (MLP Modello di Programma Logico)
Il quadro logico (ovvero teoria del programma/teoria dell’intervento) riproduce la struttura
o la logica del programma controllato. Esso mostra la gerarchia del programma in termini
di obiettivi e responsabilità. Partendo dagli obiettivi del programma di livello più elevato
e dagli effetti auspicati, procede poi con i sottoprogrammi, gli elementi dei sottoprogrammi
e le attività specifiche e ciascun elemento di livello inferiore è connesso logicamente ad un
elemento di livello superiore.
Il quadro logico può essere di ausilio al controllore per comprendere i problemi del
controllo di gestione, poiché incentra l’attenzione sul rapporto tra gli obiettivi e i
sottobiettivi del programma e gli output e i risultati (incidenze ed effetti) che risultano dal
programma. Esso consente al controllore di identificare e rispondere a domande quali:
-
gli obiettivi permettono di comprendere chiaramente la logica del programma, dei beni
e dei servizi forniti e degli utenti di tali beni e servizi?
gli obiettivi permettono di identificare in modo chiaro e quantificabile i risultati
auspicati?
i nessi causali tra i livelli gerarchici sono plausibili?
- 125 -
Nella fase di programmazione il quadro logico aiuta inoltre il controllore a comprendere
l’organismo controllato e ad identificare i risultati decisivi del programma, nonché i sistemi
e le operazioni del programma che producono tali risultati.
2.2
Statistiche descrittive per la comprensione della distribuzione dei dati
La distribuzione dei dati è espressa generalmente da un grafico (diagramma a colonne o
curva) che indica tutti i valori di una variabile. Le statistiche che descrivono la distribuzione
dei dati possono essere strumenti efficaci per l’analisi dei dati e la stesura della relazione.
Vi sono tre dimensioni fondamentali di una distribuzione dei dati che possono essere
rilevanti per le osservazioni relative al controllo:
-
il livello dei dati (livello modale, mediano, medio, quartile ecc.);
la dispersione dei dati (valori minimi e massimi, grado di dispersione, code ecc.);
la forma della distribuzione dei dati (distribuzione normale, uniforme, bimodale ecc.).
La distribuzione dei dati può essere utilizzata:
2.3
per identificare il livello, la dispersione o la forma dei dati quando questi elementi sono
più importanti di un numero che rappresenta la 'media';
per decidere se una variabile di rendimento risponde ad un criterio del controllo;
per interpretare la distribuzione della probabilità al fine di valutare il rischio;
per determinare se il campione di dati è rappresentativo della popolazione.
Analisi regressiva
L’analisi regressiva è una tecnica atta a valutare il grado di associazione (correlazione)
delle variabili.
L’analisi regressiva può essere utilizzata:
-
2.4
per verificare un rapporto che si suppone vero;
per identificare i rapporti tra variabili che hanno un nesso causale, suscettibili di
spiegare i risultati;
per identificare casi inusuali che si riscontrano tra i valori attesi;
per operare previsioni sui valori nel futuro.
Analisi costi-benefici (ACB)
Le analisi costi-benefici studiano il rapporto tra i costi del progetto e i benefici/svantaggi
espressi in termini monetari. Un’analisi costi-benefici può essere utilizzata, ad esempio, nel
controllo di gestione di un progetto di costruzione di un’infrastruttura stradale.
Il fine dell’analisi costi-benefici consiste nel determinare se i benefici di un organismo,
programma o progetto sono superiori ai relativi costi.
L’analisi costi-benefici può essere utilizzata:
- 126 -
-
per assicurarsi che un’analisi svolta dall’organismo di controllo rispetti le norme
professionali;
per comparare costi e benefici quando questi elementi sono noti o possono essere
ragionevolmente stimati;
per raffrontare i costi delle opzioni alternative quando i benefici possono essere ritenuti
costanti.
Se effettuata correttamente, l’analisi costi-benefici deve di norma considerare non soltanto
i costi e i benefici tangibili (quantificabili con relativa facilità), ma anche i costi e benefici
non tangibili (difficili da valutare) quali i costi sociali e ambientali.
2.5
Analisi dell’efficacia dei costi (AEC)
L’analisi dell’efficacia dei costi studia il rapporto tra costi e risultati dei progetti, espresso
in costi per unità di risultato conseguito.
Mentre un’analisi costi-benefici consente ai valutatori di comparare l’efficienza economica
delle opzioni alternative del programma, l’analisi dell’efficacia dei costi è volta alla ricerca
dei mezzi meno onerosi per conseguire un determinato obiettivo oppure del valore
massimo che si può trarre da una data spesa.
Contrariamente alla versione economica dell’analisi costi-benefici, nell’analisi dell’efficacia
dei costi i benefici possono essere espressi in unità fisiche anziché monetarie: l’efficacia di
un programma nel raggiungimento di determinati obiettivi fondamentali è connessa al
valore monetario delle risorse destinate al programma o attività.
Ad esempio:
-
-
2.6
si è rilevato che il 20% dei disoccupati trova un impiego permanente in seguito a
programmi di formazione per un costo medio di 1000 ECU a persona e che il 50%
trova un impiego permanente in seguito a programmi che hanno un costo medio di
2000 ECU a persona;
si è rilevato che nello Stato membro X i programmi di formazione che hanno
consentito al 30% dei partecipanti di trovare un impiego permanente hanno un costo
medio di 1400 ECU a persona, mentre nello Stato membro Y sono stati raggiunti
risultati analoghi soltanto con una spesa media di 1730 ECU a persona.
Metavalutazione
Le finalità della metavaluatazione consistono nel determinare la qualità della valutazione
(ricerca), migliorare la qualità delle valutazioni e promuovere l’utilizzo reale della ricerca
ai fini della valutazione nel processo di gestione.
Il ruolo dell’ISC sarà dunque quello di esaminare la qualità reale delle valutazioni effettuate
e dell’adeguatezza delle condizioni organizzative e procedurali ai fini della valutazione.
I criteri della metavalutazione si fondano sulla qualità della ricerca svolta per la valutazione
- 127 -
e sul modo in cui la funzione della valutazione è stata integrata nel processo di gestione:
a. La qualità del controllo/della valutazione di gestione:
Vi sono in generale due criteri:
-
la qualità scientifica/epistemologica della ricerca: criteri teorici, metodologici e
tecnici che riflettono lo stato delle conoscenze. Tra i requisiti teorici figurano, tra
l’altro, la formulazione del problema, la definizione dei concetti, le ipotesi e la
coerenza d’insieme della teoria.
I requisiti metodologici della ricerca implicano inoltre la validità e l’attendibilità
dei risultati della ricerca.
I requisiti tecnici riguardano inoltre l’applicabilità dei criteri di valutazione e
consentono di determinare se la situazione nel settore del programma pubblico
rispetti le norme di valutazione.
-
i criteri di utilità della ricerca per l’esecuzione del programma/della politica: ciò
significa che una relazione di valutazione deve fornire le informazioni che sono
utili per un approccio efficace, efficiente e legittimo ad un determinato problema
del programma. Ad esempio, la relazione deve contenere riferimenti espliciti e
chiari alla necessità di ottenere informazioni tramite la ricerca, ai problemi di
esecuzione del programma pubblico, agli obiettivi della ricerca connessi a
quest’ultimo ecc.. La relazione deve essere redatta con chiarezza (comprensibile)
e rivolta anche ai non specialisti; deve essere completa, accurata e articolata in
modo equilibrato ecc. (1).
b. Il controllo/la valutazione della gestione in quanto funzione di gestione:
I criteri derivanti dai regolamenti per quanto concerne l’integrazione della funzione
della valutazione nell’organizzazione, vale a dire la programmazione delle valutazioni,
l’integrazione della funzione di valutazione del programma nel processo centrale di
bilancio, i risultati delle valutazioni ex ante ed ex post che accompagnano le proposte
di nuovi programmi pubblici o di leggi che consentano l’uso effettivo relativamente a
tali nuovi programmi, la creazione di unità di valutazione, la formazione del personale
ecc..
------Fonti:
B.W. Hogwood and L.A. Gunn, Policy Analysis for the Real World, Oxford University Press
1984
(1)
Fonte: (alcuni capitoli di) J. Mayne, M.L. Bemelmans-Videc et al., Advancing Public Policy Evaluation;
Learning from International Experiences, Elsever/North Holland, 1992
- 128 -
P.H. Rossi and H.E. Freeman, Evaluation; A Systematic Approach, Newbury Park etc. 1993
Office of the Auditor General of Canada; Choosing and Applying the Right Evidence Gathering Techniques in Value-for-Money Audits, Audit Guide 24 (Field Testing Draft), June
1994
Sage Evaluation Kit
- 129 -
GRUPPO 5 QUESTIONI VARIE
N. 51
GARANZIA DELLA QUALITÀ
INDICE
Paragrafi
Controlli a garanzia della qualità
1
2
Elementi caratteristici della funzione di controllo a gdq
Allegato 1
--------------------
1.
Riferimento alle norme di controllo dell'INTOSAI
1.1. Garantire la qualità dei controlli svolti dalle Istituzioni superiori di controllo (ISC) e
dunque accertarsi della conformità di essi con le norme di controllo dell'INTOSAI può
essere considerato un processo in due fasi. In primo luogo è necessario che le ISC adottino
orientamenti e procedure atti a garantire che i compiti di controllo siano svolti ad un livello
di qualità accettabile. In secondo luogo, si raccomanda che le ISC sottopongano i propri
compiti di controllo ad esami di garanzia della qualità (gdq), di livello superiore, onde
accertare che detti orientamenti e procedure vengano rispettati in seno all'ISC e che
producano l'effetto auspicato di garantire un livello accettabile di qualità del lavoro svolto.
1.2. L'ISC deve in primo luogo definire e stabilire, a titolo orientativo, le norme ed il livello di
qualità appropriati ai risultati che intende conseguire e quindi stabilire procedure complete,
intese a garantire che tale livello di qualità sia conseguito. Questi orientamenti e procedure
dovrebbero essere stabiliti facendo riferimento agli obiettivi globali dell'ISC, che di norma
rispecchieranno gli obblighi derivanti dalla legge e le aspettative sociopolitiche a cui l'ISC
- 130 -
deve far fronte.
1.3. Affinché detti orientamenti e procedure possano essere seguiti dal personale dell'ISC, è
importante che vengano pubblicati (ad esempio mediante un manuale del controllo) e che
al personale sia impartita una formazione adeguata.
2.
Controlli a garanzia della qualità
2.1. Sebbene i sopracitati orientamenti e procedure forniscano la base per conseguire il livello
di qualità auspicato, e dunque l'osservanza delle norme di controllo dell'INTOSAI, in
genere non è sufficiente limitarsi alla loro applicazione. Di norma è necessario assicurarsi
anche che essi vengano osservati e che raggiungano gli obiettivi prefissati. Il paragrafo 118
delle norme di controllo dell'INTOSAI stabilisce quanto segue:
"L'ISC deve adottare orientamenti e procedure per esaminare l'efficienza e l'efficacia delle
proprie norme e procedure interne".
2.2. Questa norma viene ulteriormente specificata (paragrafo 121) come segue:
"... è auspicabile che le ISC adottino proprie disposizioni in materia di garanzia della
qualità. Ciò significa che la programmazione, lo svolgimento e le conclusioni relativi ad una
serie di controlli effettuati possono essere esaminati in modo approfondito da personale
dell'ISC adeguatamente qualificato, non coinvolto nei controlli in causa, in consultazione
con i responsabili di tale controllo, per esaminare i risultati delle disposizioni interne in
materia di garanzia della qualità ed informarne periodicamente gli organi direttivi dell'ISC".
2.3. L'obiettivo dei controlli indipendenti a garanzia della qualità è quello di accertare la qualità
globale del lavoro svolto all'interno dell'ISC. Gli orientamenti e le procedure di cui al
paragrafo 1, invece, interessano il controllo della qualità dei singoli controlli.
2.4. In alcune ISC della Comunità europea la collegialità del processo decisionale funge da
meccanismo di garanzia della qualità per quanto riguarda i risultati dell'attività dell'ISC.
2.5. Spesso le ISC istituiscono una funzione distinta di controllo a garanzia della qualità, per
assistere il proprio collegio o controllore generale in questo settore. Nell'ALLEGATO 1
vengono descritti alcuni elementi caratteristici di questa funzione.
- 131 -
ALLEGATO 1 : ELEMENTI CARATTERISTICI DELLA FUNZIONE DI
CONTROLLO A GDQ
I seguenti elementi sono caratteristici della funzione di controllo a garanzia della qualità interna:
*
*
*
*
*
*
*
*
*
*
il personale che svolge controlli a gdq possiede una qualifica ed un'esperienza adeguate
(esso può essere impiegato a tempo pieno nel settore della garanzia della qualità
oppure esservi assegnato per brevi periodi e provenire da altri settori dell'ISC);
il personale che svolge controlli a gdq è indipendente rispetto ai controlli sottoposti ad
esame;
il personale che svolge controlli a gdq ha il potere di selezionare i compiti di controllo
da sottoporre ad esame;
sono istituite procedure per la selezione dei controlli da sottoporre ad esame, il che
assicurerà una copertura adeguata di tutte le attività dell'ISC nell'arco di un dato
periodo di tempo; tutti i compiti dell'ISC devono potenzialmente essere sottoposti ad
esame (pertanto l'esaminatore deve avere una buona conoscenza di tutte le attività
svolte dall'ISC);
sono stabilite procedure per determinare la natura, l'ambito, la frequenza ed i tempi dei
controlli a gdq;
sono istituite procedure per comporre eventuali disaccordi tra il personale addetto ai
controlli a gdq ed il personale di controllo;
il personale che svolge i controlli a gdq ha diritto di accedere a tutti i documenti interni
pertinenti e di rivolgersi al personale che li ha predisposti o che ha effettuato il
controllo;
il personale che svolge i controlli a gdq è tenuto di norma a presentare
tempestivamente un rapporto e a formulare delle raccomandazioni agli organi direttivi
dell'ISC, e questi di norma sono tenuti a fornire una risposta;
il personale di controllo può chiedere che venga svolto un controllo a gdq in qualsiasi
fase dello svolgimento di un controllo;
pubblicazione di una relazione annuale (di norma messa a disposizione di tutto il
personale di controllo).
In alcuni casi, e specie quando l'ISC ricorre ad assegnazioni temporanee per lo svolgimento di
controlli interni a garanzia della qualità, l'ISC può decidere di elaborare ed utilizzare questionari
di controllo standardizzati, contenenti gli obiettivi che il controllore deve conseguire per
accertare la coerenza e la completezza degli esami svolti.
- 132 -
N. 52
LE IRREGOLARITÀ
INDICE
Paragrafi
Introduzione
La programmazione di un controllo
Le procedure di controllo quando si sospettano frodi od altre irregolarità
Le procedure di controllo quando si individuano irregolarità diverse
dalla frode
Le competenze nella notifica di frodi o irregolarità
La tutela degli interessi finanziari delle Comunità europee contro le
frodi ed altre irregolarità: il quadro legislativo
Definizione di irregolarità
1-5
6-8
9-11
12-13
14-18
Allegato 1
Allegato 2
--------------------
Introduzione
1.
Sfera di applicazione
------------------------
1.1
Il presente criterio-guida si prefigge di consigliare il controllore esterno (“auditor”) delle
attività delle Comunità europee in merito al controllo di irregolarità, ivi comprese le
irregolarità originate da frodi.
1.2
Poiché i mandati conferiti dalle rispettive costituzioni alle Istituzioni nazionali di controllo
ed alla Corte dei conti europea possono imporre obblighi diversi per il controllo delle
irregolarità, occorre che i consigli esposti in questa sede siano applicati nei modi opportuni
in funzione delle particolari circostanze in causa. Data la grande importanza che i
parlamenti e i contribuenti europei annettono alla correttezza nella gestione delle attività
governative, le ISC potrebbero voler includere esami di regolarità nell'ambito di tutti i
controlli effettuati, ivi compresi i controlli sulla gestione.
- 133 -
2.
Il quadro legislativo che disciplina il controllo delle irregolarità
-------------------------------------------------------------------------
2.1
L’ALLEGATO 1 di questo criterio-guida di applicazione contiene una sintesi della
legislazione europea sulla tutela degli interessi finanziari delle Comunità contro le frodi e
le irregolarità. I termini “irregolarità” e “frode” nel senso in cui sono applicati nelle
Comunità europee e nel presente criterio-guida, sono definiti dal regolamento (CE
Euratom) n. 2988/95 del Consiglio del 18 dicembre 1995, di cui un estratto è riprodotto
all’ALLEGATO 2.
2.2
Per i fini di questo criterio-guida di applicazione, il termine “frode” si riferisce sia alla
“frode sospettata”, sia alla “frode provata”. È necessario che il controllore conosca la
differenza fra i due concetti. Di solito il controllore usa il termine “frode sospettata” per
riferirsi ad una particolare serie di circostanze che fanno supporre un’attività fraudolenta
e che attirano la sua attenzione durante un controllo. Questo approccio convalida il
principio che solo un tribunale od una giurisdizione equivalente può stabilire se una data
operazione è fraudolenta oppure è una “frode provata”.
3.
Riferimenti alle norme di controllo INTOSAI
-----------------------------------------------------
3.1
“Nell’espletare i controlli (finanziari) di regolarità, occorre verificare la conformità alle
leggi ed ai regolamenti in vigore. Il controllore deve elaborare fasi e procedure di controllo
che garantiscano con certezza ragionevole di scoprire errori, irregolarità ed illeciti che
potrebbero avere un effetto diretto e rilevante sugli importi dei consuntivi finanziari o sui
risultati dei controlli di regolarità. Inoltre, il controllore deve tenere presente la possibilità
di illeciti che potrebbero avere un effetto indiretto e rilevante sui consuntivi finanziari o sui
risultati dei controlli di regolarità”.
4.
Le responsabilità rispettive della direzione e dei controllori
--------------------------------------------------------------------
4.1
Nella spiegazione delle norme di controllo dell’INTOSAI (paragrafo 150) si legge quanto
segue:
“In generale la direzione è responsabile dell’instaurazione di un sistema efficace di controlli
interni che assicurino conformità alle leggi ed ai regolamenti. Nell’elaborare le misure e le
procedure di verifica o di valutazione della conformità i controllori valutano i controlli
interni dell’organismo ed il rischio che la struttura di controllo non sia in grado di prevenire
o di scoprire l’assenza di conformità”.
Pertanto, il controllore non è e non può essere considerato responsabile della prevenzione
delle frodi e delle irregolarità. Di essa è responsabile la direzione, tramite l’attuazione ed
il funzionamento continuo di sistemi di controllo interno e contabili appropriati. Questi
sistemi diminuiscono la possibilità di frodi od irregolarità, ma non l’eliminano.
4.2
Nel contesto delle attività finanziate dalle Comunità europee, il termine “direzione” come
- 134 -
usato nel paragrafo 4.1 di cui sopra significa:
–
–
–
la Commissione europea: essa è responsabile della gestione degli interessi finanziari
delle Comunità europee, compresi i fondi erogati ad autorità pubbliche a livello
nazionale, regionale o locale, e ad imprese del settore privato nell’ambito delle
differenti attività delle Comunità;
le autorità nazionali, regionali e/o locali: esse sono responsabili, come agenti della
Commissione, della gestione corretta ed efficace dei fondi comunitari;
le imprese o gli organismi beneficiari: la direzione delle imprese che ricevono fondi
comunitari è a sua volta responsabile dell’uso corretto ed efficace di tali fondi nei
confronti della Commissione.
4.3
In generale, non fa parte delle responsabilità del controllore lo svolgimento di indagini
specifiche sulle frodi od irregolarità, a meno che ciò non sia prescritto dalla legislazione o
dalle clausole specifiche del mandato di controllo. Tuttavia, nel caso di un controllo sulle
informazioni finanziarie, in cui il controllore esprime un parere sulla presentazione corretta,
sulla legittimità e sulla regolarità di tali informazioni, il controllore programma e svolge il
controllo conformemente alle norme di controllo, allo scopo di reperire elementi probatori
adeguati, ragionevoli e pertinenti sulla misura in cui le informazioni finanziarie in causa
contengono errori rilevanti, compresi gli errori originati da irregolarità.
4.4
Un controllo programmato ed espletato in conformità delle norme di controllo non può
dare la certezza assoluta che le informazioni finanziarie siano esenti da errori rilevanti. La
ragione è che gli errori intenzionali, che conseguono da una frode o da un’irregolarità,
spesso comportano un tentativo di occultamento, che il controllore non è necessariamente
in grado di scoprire, anche se il suo controllo è stato programmato e svolto secondo le
norme di controllo. Si sottolinea pertanto che è inusitato che un controllo espletato da un
ISC abbia l'individuazione delle frodi quale obiettivo specifico, tranne nei casi in cui uno
statuto preveda un obbligo esplicito in questo senso da parte del controllore.
5.
I limiti intrinseci di un controllo
-------------------------------------
5.1
Il carattere di verifica di un controllo sulle informazioni finanziarie comporta un giudizio
sui settori da verificare e sul numero delle operazioni da esaminare. Inoltre, molti elementi
probatori in materia di controllo di solito sono convincenti piuttosto che conclusivi. Di
conseguenza, nell’esame del controllore è insito il rischio che, qualora esista, una
dichiarazione erronea significativa nelle informazioni finanziarie, derivante da frode od
irregolarità, non sia scoperta.
La programmazione di un controllo
6.
Considerazioni generali
---------------------------
6.1
Nel programmare il controllo il controllore acquisisce una conoscenza generale del quadro
normativo applicabile alla particolare attività assoggettata a controllo della Comunità
europea e stabilisce in che modo la direzione opera in conformità di tale quadro. Fra le
fonti d’informazione cui il controllore può riferirsi a tal scopo si possono citare:
- 135 -
–
–
–
–
i trattati che istituiscono le Comunità europee, come emendati dal trattato sull’Unione
europea;
i regolamenti, le direttive e le decisioni comunitarie attinenti ai regimi da controllare;
qualsiasi legislazione delegata pertinente, emanata dallo Stato(i) membro(i) o dalla
Commissione; e
le disposizioni in materia di bilancio e le decisioni riguardanti l’esecuzione del bilancio
a livello della Commissione o negli Stati membri.
7.
La rilevanza
--------------
7.1
Nel programmare un controllo sulle informazioni finanziarie il controllore valuta in quale
misura l’incidenza di una frode o di un’altra irregolarità sia verosimilmente rilevante, per
natura o per valore.
7.2
Il criterio-guida di applicazione n. 12 "Rilevanza e rischi di controllo" espone alcuni
consigli più dettagliati, che possono essere di aiuto al controllore nella formulazione di
questi giudizi.
8.
La valutazione del rischio
-----------------------------Considerazioni generali
8.1
Nel programmare il controllo, il controllore deve tenere presente che il rischio di non
individuare una dichiarazione erronea rilevante originata da frode, è più elevato del rischio
di non individuare una dichiarazione erronea rilevante originata da un’irregolarità derivante
da errori involontari, sviste o ignoranza della legge. Ciò è dovuto al fatto che la frode
comporta di solito atti intesi ad occultarla, quali collusione, falso, mancata registrazione
intenzionale delle operazioni, oppure informazioni deliberatamente false.
Il rischio intrinseco
8.2
Come parte della fase di programmazione, il controllore stabilisce in quale misura il settore
di controllo che intende esaminare è vulnerabile sia alle irregolarità originate da frodi, sia
alle irregolarità causate da errori. La valutazione del rischio intrinseco comprende, fra
l’altro, la disamina di informazioni pertinenti che si possono reperire nelle fonti seguenti:
–
–
–
–
–
–
–
relazioni della Corte dei conti europea;
relazioni di organi di controllo nazionali e/o regionali;
relazioni redatte dagli Stati membri, in particolare a norma dei regolamenti di notifica
citati all’allegato A del presente criterio-guida;
relazioni di organi parlamentari e/o regionali (cioè il Parlamento europeo, i Parlamenti
nazionali e quelli regionali);
relazioni redatte dal comitato consultivo per il coordinamento della lotta contro le
frodi;
relazioni dell’Unità della Commissione per il coordinamento della lotta antifrode
(UCLAF);
relazioni di controllori interni/unità di controllo nella DG XX della Commissione e
- 136 -
–
–
8.3
nelle DG operative;
relazioni di amministrazioni nazionali/locali che partecipano ai programmi di entrata
e spesa dell’Unione europea, ivi comprese relazioni pertinenti di controllori interni; e
altri documenti pertinenti elaborati dalla Commissione (ad esempio le norme per il
funzionamento di regimi particolari).
Dopo aver esaminato questi documenti, il controllore prende in considerazione un’analisi
del rischio più approfondita nel particolare settore di controllo che intende esaminare. Fra
i fattori particolari di cui potrebbe tener conto, vi sono, fra l’altro, i seguenti:
–
–
–
la complessità dei regimi e delle attività comunitarie da esaminare, che si riflette nelle
norme operative;
le competenze e l’integrità presunta dei responsabili della gestione dei fondi
comunitari, a livello europeo, nazionale, regionale o locale;
la probabile attendibilità e/o sufficienza degli elementi probatori di controllo
disponibili.
Il rischio di controllo
8.4
Nel valutare il rischio di controllo, il controllore presuppone che, pur ammettendo che un
sistema efficace di controllo interno riduce le probabilità di dichiarazioni erronee, derivanti
da frodi ed irregolarità, nelle informazioni finanziarie, sussiste sempre il rischio che i
controlli interni non funzionino debitamente. Qualsiasi sistema di controllo interno può
risultare inefficace contro le frodi che comportano collusione fra i dipendenti o da parte
della direzione. La ragione risiede nel fatto che i dirigenti che operano a taluni livelli
occupano una posizione tale da poter neutralizzare i controlli che impedirebbero frodi
analoghe da parte di altri dipendenti, ad esempio ordinando ai subalterni di registrare
erroneamente le operazioni o di occultarle.
8.5
Nell’esame del rischio di controllo il controllore può ritenere opportuno considerare se i
controlli della direzione per la prevenzione e l’individuazione delle frodi siano sufficienti.
Ad esempio, il controllore può decidere di valutare la strategia della direzione riguardo ai
rischi di frode, compresi i provvedimenti che la direzione prende per:
–
–
–
–
individuare i settori, le attività e le funzioni dell’organismo controllato che presentano
una particolare vulnerabilità al rischio di frodi;
porre in essere meccanismi di difesa appropriati nei settori che secondo l’analisi della
direzione sono fortemente vulnerabili al rischio di frodi, meccanismi che sono:
– la separazione delle funzioni;
– la rotazione sistematica del personale: e
– supervisione interna ed ispezioni;
attuare politiche efficaci in materia di risorse umane, sorvegliare l’inserimento di
personale nuovo nel servizio pubblico ed assicurarsi che sia ben consapevole dei
requisiti di onestà e di integrità;
stabilire un codice di condotta atto ad incoraggiare un comportamento ispirato a
principi etici da parte del personale e che sia di guida in settori quali:
– i rapporti con terzi;
– l’accettazione di attività/incarichi al di fuori del servizio pubblico; e
– la dichiarazione di conflitti di interessi ( ad esempio quando un dipendente ha
- 137 -
–
–
interessi al di fuori del servizio pubblico che possono essere in conflitto con i
doveri del suo ufficio);
sorvegliare l’attuazione delle politiche attinenti alle risorse umane, ivi compreso un
riesame periodico del codice di condotta; e
instaurare procedure appropriate per la notifica, le indagini e le azioni da intraprendere
nel caso di eventuali irregolarità e/o frodi sospettate, incluse, laddove necessario, le
misure disciplinari opportune.
8.6
Nel contesto della Comunità europea, le strutture direttive sono complesse, per cui
l’efficacia dei controlli interni assume maggiore importanza. All’interno della Comunità vi
sono almeno tre ordini di organi direttivi: la Commissione; le autorità nazionali, regionali
e/o locali; e le imprese od organismi beneficiari (come definiti al paragrafo 4.2).
8.7
Quando il controllore ha esaminato i controlli interni, secondo la prassi usuale egli è tenuto
a segnalare alla direzione eventuali carenze significative nei controlli scoperte durante il
controllo, comprese - nel presente caso - eventuali carenze che potrebbero aumentare il
rischio di frodi o di irregolarità (cfr. il Criterio-guida di applicazione n. 21 "Valutazione del
controllo interno e test sul controllo").
Le procedure di controllo quando si sospettano frodi od altre irregolarità
9.
9.1
--------------------------Le indicazioni che seguono consigliano sul modo in cui un controllore può applicare
ulteriori procedure di controllo nei casi in cui si sospetta una frode od un’altra irregolarità.
Tuttavia, tali indicazioni non intendono essere esaustive, né riguardano le varie
responsabilità stabilite per legge, che le Istituzioni nazionali di controllo e la Corte dei conti
europea hanno in merito al controllo e alle indagini su frodi e irregolarità. Quindi, i consigli
in questione sono da applicarsi nei modi opportuni alle particolari circostanze in causa.
9.2
Se, nel valutare il rischio , o in esito a test sul controllo o verifiche di convalida, è giunto
alla conclusione che, date le circostanze, è possibile che sussista una frode, il controllore
considera l’impatto potenziale di questa situazione sulle informazioni finanziarie. Se ritiene
che la frode sospettata potrebbe avere un effetto rilevante sulle informazioni finanziarie (ad
esempio perché ha stabilito in precedenza che qualsiasi frode è rilevante per natura), il
controllore applica le procedure supplementari o modificate che ritiene opportune.
9.3
L’entità delle modifiche apportate dal controllore al piano di controllo o alle procedure
supplementari di controllo, dipende dal giudizio che ha formulato:
–
–
–
sulla natura della frode sospettata che avrebbe potuto verificarsi;
sul rischio, presunto, che la frode sospettata sia stata effettivamente perpetrata, in base
alla valutazione del rischio od ai risultati delle verifiche; e
sulla probabilità che un particolare tipo di frode sospettata abbia un effetto rilevante
sulle informazioni finanziarie.
- 138 -
10.
L’applicazione di procedure di controllo supplementari
----------------------------------------------------------------
10.1 Il controllore stabilisce, in base al proprio giudizio, le procedure di controllo più idonee a
confermare l’esistenza di una frode sospettata. Fra l’altro, esse possono comprendere:
–
–
–
–
–
test sul controllo: servono a fornire elementi probatori sull’efficacia o altro dei
controlli atti a prevenire o ad individuare frodi e irregolarità;
verifiche di convalida: servono a comprovare la portata e/o il valore della frode
sospettata;
procedure analitiche: servono ad avvalorare la possibilità di una frode o di
un’irregolarità tramite confronto, analisi delle tendenze o verifiche di previsione;
tecniche d’intervista ( usate principalmente nelle indagini sulle frodi): servono a
fornire elementi probatori della frode perpetrata, di solito predisponendo colloqui con
le persone vicine a quella o quelle sospettate di aver commesso la frode;
tecniche di osservazione: servono ad avvalorare il sospetto di frode, osservando
cambiamenti nei modelli di comportamento delle persone sospettate di frode.
10.2 Quando ricorre a colloqui allo scopo di raccogliere elementi probatori che convalidino la
frode, il controllore è tenuto a rispettare le norme in materia di elementi probatori previste
dall’ordinamento giuridico nel cui ambito egli opera. Lo scopo è di assicurare che gli
elementi probatori raccolti grazie al lavoro in causa possano essere utilizzati in qualsiasi
procedimento giudiziario deciso dalle autorità competenti.
10.3 Prima di passare all’applicazione di procedure di controllo supplementari, il controllore
considera l’opportunità di chiedere i consigli o l’assistenza di esperti nelle indagini sulle
frodi, come la polizia tributaria che opera in alcune amministrazioni nazionali.
11.
Disamina dei risultati delle procedure supplementari
-------------------------------------------------------------
11.1 L'applicazione di procedure modificate o supplementari può consentire al controllore di
confermare o di escludere il sospetto di frode. In caso di conferma, deve assicurarsi che
l’effetto della frode si rifletta correttamente nelle informazioni finanziarie. Ciò è necessario
per far sì che la Commissione e le autorità nazionali competenti ricevano in seguito una
notifica corretta della natura e dalla portata dell’irregolarità.
11.2 In alcuni casi può darsi che il controllore non sia in grado di ottenere elementi probatori
sufficienti a confermare od escludere un sospetto di frode. In una situazione di questo tipo
il controllore considera l’eventuale impatto di tale incertezza sia sulle informazioni
finanziarie, sia sulla dichiarazione di affidabilità. Occorre inoltre che il controllore esamini
le leggi ed i regolamenti previsti dalla giurisdizione nel cui ambito è stata perpetrata la
frode sospettata. È possibile che, laddove opportuno, desideri una consulenza giuridica
prima di riferire, a seconda dei casi, alle autorità nazionali e/o alla Commissione in merito
- 139 -
alle informazioni finanziarie (1).
11.3 A meno che le circostanze non diano indicazioni chiare in senso contrario, il controllore
suppone che un caso di frode non sia isolato. Qualora il sistema di controllo interno avesse
dovuto prevenire o riscontrare la frode, il controllore riesamina la valutazione che ha dato
in precedenza di tale sistema e, se necessario, adatta la natura, i tempi e la portata delle
procedure di convalida.
11.4 Quando nella frode è implicato un dirigente, occorre che il controllore riesamini
l’affidabilità di ogni obiezione sollevata dallo stesso.
Le procedure di controllo quando si individuano irregolarità diverse dalla frode
12.
--------------------------12.1 Quando il controllore viene a conoscenza di informazioni sulla possibile esistenza di
irregolarità diverse dalla frode, ad esempio irregolarità derivanti da errori involontari, sviste
o ignoranza della legge, egli cerca di conoscere la natura delle irregolarità e le circostanze
in cui si sono verificate, e reperisce altre informazioni sufficienti per valutarne gli effetti
sulle informazioni finanziarie. Ad esempio, il controllore considera:
–
–
–
le conseguenze finanziarie potenziali;
se e secondo quali modalità le conseguenze finanziarie dell’irregolarità debbano essere
esposte nelle informazioni finanziarie; e
se le conseguenze finanziarie potenziali siano così gravi da avere un impatto sul parere
in materia di controllo o sulla dichiarazione di affidabilità riguardante la legittimità e
la regolarità delle operazioni in causa.
12.2 Nel primo caso, quando scopre quella che ritiene possa essere un’irregolarità, il controllore
documenta i risultati e li discute con la direzione. Se quest’ultima non dà informazioni
soddisfacenti sull’effettiva regolarità delle operazioni in causa, il controllore può consultare
il consulente legale della direzione in merito all’applicazione delle leggi e dei regolamenti
pertinenti alle circostanze in questione e in merito ai possibili effetti sulle informazioni
finanziarie.
12.3 Se crede che l’irregolarità possa avere un effetto rilevante sulle informazioni finanziarie,
il controllore esamina l’effetto dell’irregolarità sul parere e, laddove opportuno, applica le
ulteriori procedure di controllo che ritiene necessarie.
(1)
Per esempio, il controllore può avere bisogno di un'assistenza giuridica concernente:
-le facoltà e/o gli obblighi delle ISC di trasmettere documenti alle autorità giudiziarie;
-gli obblighi delle ISC di informare le autorità giudiziarie in merito ad eventuali sospetti;
-le facoltà e/o gli obblighi delle INC di cooperare con le autorità giudiziarie in qualsiasi indagine
successiva;
-l'impatto di tali elementi sull'indipendenza dell'ISC.
- 140 -
13.
Altre implicazioni delle irregolarità
-----------------------------------------
13.1 Quando il controllore riscontra che all’interno dell’organismo controllato esiste
un’incidenza elevata di irregolarità, l’impatto di queste carenze potrebbe avere altri effetti:
–
–
può far sorgere dubbi su altri elementi probatori del controllo forniti dall’organismo
controllato, comprese le relazioni sulle verifiche di conformità e le obiezioni della
direzione;
quando i controlli interni non hanno consentito di scoprire le irregolarità, ciò può
indicare carenze significative del controllo ed in tal caso il controllore può riesaminare
la valutazione del rischio di controllo.
Le competenze nella notifica di frodi o irregolarità
14.
----------------------------
14.1 Come principio generale il controllore deve conoscere le procedure di notifica interna ed
esterna che la sua istituzione di controllo (europea o nazionale) applica di norma quando
si scopre una frode, una frode sospettata od un’irregolarità. La conoscenza di queste
procedure e la consultazione tempestiva delle autorità competenti (interne ed esterne) sono
importanti affinché l’indagine sulla frode sospettata sia svolta correttamente, senza correre
il rischio di compromettere i procedimenti giudiziari o amministrativi che possono
conseguirne.
15.
La comunicazione interna
------------------------------
15.1 Di norma il controllore si attiene alle procedure di comunicazione interna prescritte dalla
sua istituzione di controllo per la notifica di frodi, di frodi sospettate o di irregolarità. Per
decidere l’azione più idonea da intraprendere, il controllore riferisce ai superiori gerarchici:
–
–
–
16.
se i risultati della valutazione iniziale del rischio, dei testi sul controllo o delle verifiche
di convalida indicano la possibilità di una frode (paragrafo 8.1);
se i risultati delle procedure di controllo supplementari portano a sospettare una frode
(paragrafo 10.1); e
se la direzione dell’organismo controllato non provvede ad adottare gli opportuni
provvedimenti per indagare sulla frode sospettata o notificarla (paragrafo 16.4).
La comunicazione alla direzione
--------------------------------------
16.1 Dopo aver applicato le procedure supplementari di controllo aventi lo scopo di confermare
o meno l’esistenza di una frode sospettata o di un’altra irregolarità, il controllore ne
comunica i risultati alla direzione dell’organismo controllato al più presto possibile.
16.2 Le istruzioni date ai controllori della Corte dei conti europea indicano che devono
notificare casi di frode sospettata direttamente ai loro superiori gerarchici anziché alla
- 141 -
direzione del’organismo controllato in causa. Queste informazioni sono quindi trasmesse
di solito all’unità di coordinamento antifrode della Commissione (UCLAF) ed
all’istituzione nazionale di controllo.
16.3 Nelle istituzioni nazionali di controllo occorre che il controllore consideri tutti gli aspetti
della frode sospettata per stabilire a chi riferire nella direzione dell’organismo controllato.
In particolare, il controllore valuta la probabilità che dirigenti di grado elevato siano
implicati nella frode. Nella maggior parte dei casi è opportuno che il controllore comunichi
le risultanze ad un livello gerarchico superiore a quello responsabile delle persone che
ritiene implicate nella frode. Tuttavia, laddove nutra dubbi sull’integrità delle persone in
ultima analisi responsabili della direzione globale dell’organismo controllato, il controllore
di norma consulta persone che possono aiutarlo a stabilire a chi riferire sulla frode
sospettata. Le fonti consultate possono essere sia interne, sia esterne.
16.4 Nel caso sia di una frode sospettata, sia di un’altra irregolarità, l’interesse del controllore
non si esaurisce con la notifica alla direzione. Il controllore sorveglia le reazioni della
direzione alla notifica della frode sospettata o dell’irregolarità ed in particolare conferma
che:
–
–
–
17.
la direzione dell’organismo ha intrapreso l’azione necessaria per indagare sulla frode
sospettata o sull’irregolarità (ad esempio chiedendo al controllo interno di operare in
tal senso nei modi opportuni);
la direzione ha notificato la frode alle autorità nazionali e comunitarie competenti e le
ha consultate in merito ( ad esempio la polizia tributaria);
la direzione ha notificato la frode provata, la frode sospettata od altra irregolarità in
conformità della normativa esposta nell’ALLEGATO 1 di questo criterio-guida di
applicazione.
La comunicazione esterna
------------------------------
17.1 Il controllore di un’istituzione nazionale di controllo osserva, in primo luogo, le norme di
notifica esterna stabilite dalle autorità nazionali, previste nelle procedure prescritte
dall’istituzione per la notifica esterna di una frode sospettata, di una frode provata o di altra
irregolarità. I controllori della Corte dei conti europea si attengono alle regole in materia
di notifica previste nelle istruzioni di notifica della Corte stessa.
17.2 Della notifica alla Commissione europea, in conformità della legislazione riprodotta
all’ALLEGATO 1 del presente criterio-guida, di una frode sospettata, di una frode
provata o di altra irregolarità, sono responsabili le autorità nazionali, regionali o locali
competenti, cui è demandata la gestione di particolari attività comunitarie. Come parte
delle procedure di sorveglianza, il controllore di norma si assicura che questo obbligo di
notifica sia stato adempiuto correttamente.
18.
Il parere sulle informazioni finanziarie
--------------------------------------------
18.1 Quando il controllore deve esprimere un parere di controllo sia sulla presentazione
corretta, sia sulla legittimità e regolarità delle informazioni finanziarie, è necessario che
- 142 -
consideri le implicazioni dell’incidenza delle frodi e delle irregolarità su tale parere.
18.2 Per definizione le operazioni fraudolente non possono essere legittime, né regolari poiché
mancano della debita autorizzazione. Quando un controllore deve formulare un parere
distinto sulla legittimità e regolarità delle informazioni finanziarie, una frode provata
rilevante darà luogo ad un parere con riserva, a prescindere dalla misura in cui la direzione
ha reso nota la frode sospettata o provata nelle informazioni finanziarie.
18.3 Solo un tribunale può stabilire se una data operazione sia fraudolenta. Tuttavia, il
controllore può trovarsi in situazioni in cui esiste un sospetto di frode, individuata dalla
direzione, dai controllori interni, da terzi o dal controllore stesso. Pur non avendo di norma
il potere di stabilire se una frode è stata effettivamente perpetrata, il controllore ha la
responsabilità di stabilire se a suo avviso le operazioni in causa siano legittime e regolari.
Nella maggior parte dei casi di frode sospettata che vengono scoperti, il controllore può
stabilire di concerto con la direzione se le operazioni pertinenti siano prive della debita
autorizzazione. In queste circostanze, pertanto, il controllore può stabilire se le operazioni
in causa siano irregolari, anche se non può giungere alla conclusione che sono fraudolente.
- 143 -
Allegato 1
LA TUTELA DEGLI INTERESSI FINANZIARI DELLE COMUNITÀ EUROPEE
CONTRO LE FRODI ED ALTRE IRREGOLARITÀ:
IL QUADRO LEGISLATIVO
Il trattato sull’Unione europea
1.
Gli obblighi degli Stati membri a norma dei trattati
1.1
Gli Stati membri sono tenuti a tutelare gli interessi finanziari della Comunità contro le frodi
e le irregolarità, obbligo che è enunciato all’articolo 209 A del trattato:
“Gli Stati membri adottano, per combattere le frodi che ledono gli interessi finanziari della
Comunità, le stesse misure che adottano per combattere le frodi che ledono i loro interessi
finanziari.”
“Fatte salve altre disposizioni del presente trattato, gli Stati membri coordinano l’azione
intesa a tutelare gli interessi finanziari della Comunità contro le frodi. A tal fine essi
organizzano, con l’aiuto della Commissione, una stretta e regolare cooperazione tra i
servizi competenti delle rispettive amministrazioni.”
1.2
L’articolo 78 settimo del trattato che istituisce la Comunità europea del carbone e
dell’acciaio (CECA) e l’articolo 183A del trattato che istituisce la Comunità europea
dell’energia atomica (Euratom) sono identici all’articolo 209 A sopra citato e in virtù di
essi gli Stati membri sono tenuti a tutelare gli interessi finanziari della CECA e
dell’Euratom contro le frodi.
1.3
Le responsabilità degli Stati membri in merito alla prevenzione ed individuazione delle
irregolarità possono anche essere disciplinate da regolamenti concernenti attività
comunitarie specifiche. Ad esempio, a norma dell’articolo 8 del regolamento (CEE)
n. 729/70 del Consiglio del 21 aprile 1970 (GU L 94 del 28.4.1970, pag. 13) sul Fondo
europeo agricolo di orientamento e di garanzia (FEAOG), emendato dal regolamento
(CEE) n. 2048/88 del 24 giugno 1988 (GU L 185 del 15.7.1988, pag. 1), gli Stati membri:
“adottano ... le misure necessarie per accertare se le operazioni del FEAOG siano reali e
regolari, prevenire e perseguire le irregolarità, recuperare le somme perse a seguito di
irregolarità o di negligenze.”
2.
Gli obblighi della Commissione a norma dei trattati
2.1
In virtù dell’articolo 205 la Commissione è tenuta a provvedere ad un’esecuzione corretta
del bilancio comunitario:
“La Commissione cura l’esecuzione del bilancio, conformemente alle disposizioni del
- 144 -
regolamento stabilito in esecuzione dell’articolo 209, sotto la propria responsabilità e nei
limiti dei crediti stanziati, in conformità del principio della buona gestione finanziaria.”
2.2
Il trattato sull’Unione europea ha ampliato le possibilità di contrastare le frodi costituendo
un fondamento giuridico per le iniziative future della Commissione per sanzionare gli autori
delle frodi. Al titolo VI (Giustizia e Affari interni) l’articolo K.1. dispone:
“Ai fini della realizzazione degli obiettivi dell’Unione, in particolare della libera
circolazione delle persone, fatte salve le competenze della Comunità europea, gli Stati
membri considerano questioni di interesse comune i settori seguenti:
... (5) la lotta contro la frode su scala internazionale”.
La notifica delle irregolarità
3.
Regolamenti che disciplinano le risorse proprie della Comunità
3.1
Il regolamento (CEE, Euratom) n.1552/89 del Consiglio del 29 maggio 1989 (GU L 155
del 7.6.1989, pag. 1), che attua la decisione 88/376/CEE Euratom del 24 giugno 1988 (GU
L 185 del 15.7.1988, pag. 24), relativa al sistema delle risorse proprie delle Comunità,
prevede all’articolo 6, paragrafo 3, le seguenti responsabilità di notifica per gli Stati
membri:
“A decorrere dal 1/ gennaio 1990 ciascuno Stato membro trasmette alla Commissione,
semestralmente, una descrizione sommaria delle frodi e irregolarità che riguardino un
importo di diritti superiore a 10 000 ECU, indicando, se necessario, le misure già adottate
o da adottare per evitare che si ripetano i casi di frode e di irregolarità già riscontrati”.
4.
Regolamenti che disciplinano i Fondi agricoli
4.1
A norma degli articoli 3 e 5 del regolamento (CEE) n.595/91 del Consiglio del
4 marzo 1991 (GU L 67 del 14.3.1991), relativo alle irregolarità e al recupero delle somme
indebitamente pagate nell’ambito del finanziamento della politica agricola comune, gli Stati
membri sono tenuti ad ottemperare ai seguenti obblighi di notifica:
Articolo 3
“1. Entro i due mesi successivi alla fine di ogni trimestre, gli Stati membri comunicano alla
Commissione un elenco delle irregolarità che hanno formato oggetto di un primo verbale
amministrativo o giudiziario.
A tal fine forniscono ogni possibile precisazione circa ... (segue un elenco delle
informazioni richieste)”.
Articolo 5
“1. Entro i due mesi successivi alla fine di ogni trimestre, gli Stati membri informano la
Commissione dei procedimenti avviati in seguito alle irregolarità comunicate in
- 145 -
applicazione dell’articolo 3 nonché dei cambiamenti significativi intervenuti in detti
procedimenti, in specie:
–
–
–
–
–
dell’importo dei recuperi avvenuti o previsti;
delle misure conservative adottate dagli Stati membri per garantire il recupero degli
importi indebitamente pagati;
dei procedimenti amministrativi o giudiziari avviati per recuperare gli importi pagati
indebitamente e per applicare le sanzioni;
dei motivi di un eventuale abbandono dei procedimenti per il recupero; per quanto
possibile, la Commissione deve essere informata prima dell’adozione di una decisione
in tal senso;
dell’eventuale abbandono dei procedimenti penali.”
4.2
Il controllore tenga presente che questi obblighi di notifica riguardano tutti i tipi di
irregolarità, comprese le frodi e le irregolarità originate da ignoranza della legge, sviste o
errori.
4.3
Il controllore deve anche tenere presente che gli Stati membri devono riferire alla
Commissione in merito alla verifica ed al controllo nazionali delle spese del FEAOG,
sezione garanzia. Quest’obbligo è enunciato all’articolo 5, lettera d) del regolamento
(CEE) n.1723/72 della Commissione, emendato dal regolamento (CEE) n. 295/88 della
Commissione del 1/ febbraio 1988 (GU L 30 del 2.2.1988). Tale regolamento prescrive,
fra l’altro, che gli Stati membri riferiscano in merito ai controlli espletati sugli organismi
responsabii dei pagamenti FEAOG, per confermare che gli organismi in causa hanno
provveduto correttamente alle operazioni, ai pagamenti ed alle procedure amministrative
e contabili.
4.4
A norma dei paragrafi 4(v) e 4(vi) dell’Allegato XI del regolamento (CEE) n. 295/88 della
Commissione, le relazioni degli Stati membri sugli organismi pagatori devono descrivere
i controlli eseguiti per accertare la conformità di tali organismi alle norme comunitarie.
Pertanto, da tali controlli deve risultare se gli Stati membri abbiano rispettato le norme
sulla notifica delle irregolarità di cui al paragrafo 8.1.
4.5
Infine, occorre che il controllore conosca bene il regolamento (CEE) n. 4045/89 del
Consiglio del 21 dicembre 1989 (GU L 388 del 30.12.1989, pag. 18), relativo alle
procedure di controllo da applicare alle imprese beneficiarie o debitrici nei confronti del
sistema di finanziamento della sezione garanzia del FEAOG. Gli articoli concernenti le
irregolarità sono i seguenti:
Articolo 2
“1. Gli Stati membri procedono a controlli dei documenti commerciali delle imprese,
tenendo conto del carattere delle operazioni da sottoporrre a controllo. Gli Stati membri
vigilano affinché la scelta delle imprese da controllare consenta la massima efficacia delle
misure di prevenzione e di rivelazione delle irregolarità nel quadro del sistema di
finanziamento del FEAOG, sezione garanzia. La selezione tiene conto in particolare
dell’importanza finanziaria delle imprese in questo settore e di altri fattori di rischio.”
- 146 -
Articolo 9
“1. Anteriormente al 1/ gennaio successivo al periodo di controllo, gli Stati membri
comunicano alla Commissione una relazione particolareggiata sull’applicazione del
presente regolamento.”
5.
Regolamenti che disciplinano i Fondi strutturali
5.1
A norma dell’articolo 23, paragrafo 1 del regolamento (CEE) n. 4253/88 del Consiglio del
19 dicembre 1988 (GU L 374 del 31.12.1988, pag. 1), riguardante il coordinamento degli
interventi dei vari Fondi strutturali, emendato dal regolamento (CEE) n. 2082/93 del
Consiglio del 20 luglio 1993 (GU L 193 del 31.7.1993), gli Stati membri sono tenuti a
notificare le irregolarità come segue:
“1. Al fine di garantire il successo delle azioni svolte da promotori pubblici o privati, gli
Stati membri, in sede di realizzazione delle azioni, adottano le misure necessarie per:
–
–
–
verificare periodicamente che le azioni finanziate dalla Comunità siano state attuate
correttamente;
prevenire e sanzionare le irregolarità;
ricuperare i fondi persi a causa di un abuso o di una negligenza. Tranne nel caso in cui
lo Stato membro e/o l’intermediario e/o il promotore apportano la prova che l’abuso
o la negligenza non è loro imputabile, lo Stato membro è sussidiariamente responsabile
per il rimborso delle somme indebitamente versate. Per le sovvenzioni globali
l’intermediario può ricorrere, con l’accordo dello Stato membro e della Commissione,
a una garanzia bancaria od a qualunque altra forma di assicurazione contro tale rischio.
Gli Stati membri informano la Commissione delle misure adottate a tal fine e, in
particolare, le comunicano una descrizione dei sistemi di controllo e di gestione istituiti
ai fini di una realizzazione efficace delle azioni. Essi informano regolarmente la
Commissione circa l’evoluzione dei procedimenti amministrativi e giudiziari.
Gli Stati membri tengono a disposizione della Commissione tutte le relazioni nazionali
appropriate, concernenti il controllo delle misure previste dai programmi e dalle azioni
in questione.”
5.2
Inoltre, il regolamento (CE) n. 1681/94 della Commissione dell’11 luglio 1994 (GU L 178
del 12.7.1994) disciplina le irregolarità ed il recupero delle somme indebitamente pagate
nell’ambito del finanziamento delle politiche strutturali nonché l’organizzazione di un
sistema d’informazione in questo settore.
Altre questioni di carattere legislativo
6.
Il comitato consultivo per il coordinamento della lotta contro le frodi
6.1
Il controllore tenga presente che con la decisione 94/140/CE della Commissione del
23 febbraio 1994 (GU L 61 del 4.3.1994), la Commissione ha istituito un comitato
consultivo per il coordinamento della lotta contro le frodi, con effetto dal 1/ marzo 1994.
- 147 -
6.2
Il comitato, presieduto dalla Commissione, comprende due rappresentanti per Stato
membro, che possono essere assistiti da due funzionari dei servizi interessati.
6.3
Il comitato può essere consultato dalla Commissione su ogni problema relativo alla
prevenzione e alla repressione delle frodi e delle irregolarità, nonché su qualsiasi problema
di cooperazione fra gli Stati membri e fra questi e la Commissione, quando questi problemi
superano le attribuzioni di uno dei comitati settoriali, al fine di organizzare con più efficacia
le azioni intese a contrastare le frodi.
7.
La tutela degli interessi finanziari delle Comunità europee
7.1
A seguito del vertice di Essen (dicembre 1994) è stato lanciato un programma legislativo
per conferire alla Commissione ed agli Stati membri i poteri necessari per tutelare gli
interessi finanziari delle Comunità europee. Fino ad oggi si tratta di cinque atti descritti
brevemente nei paragrafi che seguono.
7.2
Il regolamento (CE Euratom) n. 2988/95 del Consiglio sulla tutela degli interessi
finanziari delle Comunità europee è stato adottato il 18 dicembre 1995 (GU L 312 del
23.12.1995). La sua principale caratteristica è che esso crea un quadro giuridico di base
per la formulazione di sanzioni amministrative comunitarie uniformi aventi la stessa
efficacia in tutta l’Unione europea. Inoltre, questo regolamento dà una definizione del
termine “irregolarità”.
7.3
L’atto (95/C 316/03) del Consiglio del 26 luglio 1995 (GU C 316 del 27.11.1995) è una
convenzione sulla tutela degli interessi finanziari delle Comunità. Oltre a definire, per la
prima volta, la frode che lede gli interessi finanziari delle Comunità europee (cfr.l’allegato
B), questa convenzione svolgerà un ruolo nell’armonizzazione del diritto penale negli Stati
membri in merito alle frodi. Si prevede che questa convenzione sarà particolarment
importante nel perseguire le frodi internazionali
7.4
L’atto proposto del Consiglio, che stabilisce un Protocollo (1) sulla tutela degli interessi
finanziari delle Comunità, cerca di integrare la convenzione suddetta:
definendo la responsabilità penale delle persone giuridiche;
definendo e considerando come reato specifico il riciclaggio di denaro proveniente da
frodi perpetrate a danno degli interessi finanziari delle Comunità ed instaurando
procedure per migliorare la cooperazione degli organi giudiziari.
7.5
È stato proposto un altro atto del Consiglio che costituisce un altro Protocollo. Esso
riguarda la giurisdizione degli Stati membri in casi di corruzione ad opera di funzionari
della Comunità europea sul loro territorio. Secondo questo protocollo i funzionari della
CE sono giudicati secondo lo stesso diritto penale che viene applicato ai funzionari
nazionali.
(1)
Dal punto di vista giuridico i due protocolli indicati ai paragrafi 7.4. e 7.5 avranno lo stesso status e la stessa
forza vincolante della convenzione (paragrafo 7.3) in quanto saranno adottati con le stesse procedure, cioè
quelle previste al titolo VI del trattato sull’Unione europea e in specie la ratifica dei Parlamenti nazionali.
- 148 -
7.6
Infine, è stato proposto un altro regolamento del Consiglio che amplierà i diritti della
Commissione nello svolgimento di controlli in loco e di ispezioni per l’individuazione di
frodi e di irregolarità negli Stati membri.
- 149 -
ALLEGATO 2
DEFINIZIONE DI IRREGOLARITÀ
1.
Questo criterio-guida di applicazione riguarda il controllo delle irregolarità, econdo la
definizione datane nel regolamento (CE Euratom) n. 2988/95 del Consiglio del
18 dicembre 1995 (articolo 1, paragrafo 2), cioè:
“Costituisce irregolarità qualsiasi violazione di una disposizione del diritto comunitario
derivante da un’azione o un’omissione di un operatore economico che abbia o possa avere
come conseguenza un pregiudizio al bilancio generale delle Comunità o ai bilanci da queste
gestiti, attraverso la diminuzione o la soppressione di entrate provenienti da risorse proprie
percepite direttamente per conto delle Comunità, ovvero una spesa indebita.”
2.
In un atto del Consiglio del 26 luglio 1995 che stabilisce la convenzione relativa alla tutela
degli interessi finanziari delle Comunità eropee, gli Stati membri dell’Unione europea
hanno convenuto che costituisce frode che lede gli interessi finanziari delle Comunità
europee:
“(a) in materia di spese, qualsiasi azione od omissione intenzionale relativa:
all’utilizzo o alla presentazione di dichiarazioni o di documenti falsi, inesatti o
incompleti cui consegua il percepimento o la ritenzione illecita di fondi provenienti dal
bilancio generale delle Comunità europee o dai bilanci gestiti dalle Comunità europee
o per conto di esse;
alla mancata comunicazione di un’informazione in violazione di un obbligo specifico
cui consegua lo stesso effetto;
alla distrazione di tali fondi per fini diversi da quelli per cui essi sono stati inizialmente
concessi;
(b) in materia di entrate, qualsiasi azione od omissione intenzionale relativa:
all’utilizzo o alla presentazione di dichiarazioni o documenti falsi, inesatti o incompleti
cui consegua la diminuzione illegittima di risorse del bilancio generale delle Comunità
europee o dei bilanci gestiti dalle Comunità europee o per conto di esse;
alla mancata comunicazione di un’informazione in violazione di un obbligo specifico
cui consegua lo stesso effetto;
alla distrazione di un beneficio lecitamente ottenuto, cui consegua lo stesso effetto.”
- 150 -
N. 53
PROMUOVERE LE BUONE PRATICHE CONTABILI
INDICE
Paragrafi
Introduzione
Il ruolo delle ISC
Il quadro contabile di base
I principi ed i metodi contabili
I rendiconti finanziari
Il controllo interno
L’audit interno
I quadri contabili di base e le relative informazioni finanziarie
I principi contabili presentati nella quarta direttiva del Consiglio (CEE)
Le caratteristiche qualitative dei rendiconti finanziari
Glossario
Elenco dei documenti di riferimento ed altri testi
1
2
3
4
5
6
7
8
Allegato 1
Allegato 2
Allegato 3
Allegato 4
Allegato 5
-------------------1.
1.1
Il paragrafo 23 delle norme di controllo dell’INTOSAI recita:
“L’istituzione di sistemi adeguati d’informazione, di controllo, di valutazione e di stesura
delle relazioni nell’ambito delle pubbliche amministrazioni faciliterà la procedura di
rendimento dei conti. Gli organi dirigenti sono responsabili dell’esattezza e dell'esaustività
della forma e del contenuto delle relazioni finanziarie e di altre informazioni”.
1.2
Inoltre, il paragrafo 25 delle norme di controllo dell’INTOSAI recita:
“Le autorità competenti devono emanare norme contabili idonee in materia di informazioni
finanziarie e di divulgazione delle stesse atte a soddisfare le esigenze delle pubbliche
amministrazioni...”.
- 151 -
1.3
Infine, il paragrafo 28 delle norme di controllo dell’INTOSAI afferma:
“Dall’applicazione coerente delle norme contabili idonee dovrebbe risultare una
rappresentazione fedele della situazione finanziaria e dei risultati delle operazioni”.
2.
Introduzione
2.1
Il presente criterio-guida si prefigge di fornire all’ Istituzione superiore di controllo (ISC),
chiamata anche “controllore esterno”, che svolge controlli sulle attività della Comunità
europea, informazioni e consigli al fine di promuovere le migliori procedure contabili.
2.2
Poiché i mandati costituzionali delle ISC possono comportare responsabilità diverse in
merito alla promozione delle migliori regole contabili, le informazioni e le raccomandazioni
contenute in questo criterio-guida saranno applicate nei modi opportuni in funzione delle
circostanze particolari di ogni ISC.
2.3
Dal punto di vista delle ISC si può ritenere che la promozione delle migliori regole di
contabilità consista nell’esercitare un’influenza su quattro aspetti di carattere contabile,
finanziario od organizzativo:
a.
b.
c.
d.
il quadro contabile di base;
i principi ed i metodi contabili;
i rendiconti finanziari;
il controllo interno e l’audit interno.
2.4
Il presente criterio-guida ha lo scopo di approfondire i concetti attinenti a ciascuno degli
aspetti suddetti, per illustrare in che modo possono contribuire a promuovere le migliori
regole di contabilità nel settore pubblico e, infine, per determinare l’influenza delle ISC
sulla definizione e valutazione di ciascuno di questi quattro elementi. Le buone procedure
contabili non solo contribuiscono all’elaborazione ed alla presentazione di informazioni
contabili e finanziarie di alta qualità, ma contribuiscono anche alla preparazione di
informazioni di qualità elevata sulla gestione, le quali, a loro volta, costituiscono la base
per prendere le opportune decisioni in materia di gestione e, di conseguenza, per una sana
gestione finanziaria.
2.5
Ai fini di questo criterio-guida i rendiconti finanziari possono essere definiti come tutti i
documenti finanziari emessi dall’organismo controllato e che formano oggetto dell’audit.
Questi rendiconti finanziari, descritti più dettagliatamente al paragrafo 6.7, di norma
comprendono uno stato delle entrate e delle spese per un dato periodo, un bilancio, una
situazione dei movimenti di cassa, note ed altri documenti esplicativi che sono parte
integrante di tali rendiconti finanziari. Tuttavia, i rendiconti finanziari non comprendono
le relazioni e le analisi della direzione ed elementi analoghi che possono far parte di una
relazione finanziaria od annuale, a meno che la legislazione non richieda all’organismo di
pubblicarli ed all’ISC di controllarli.
3.
Il ruolo delle ISC
3.1
In generale le ISC svolgono un ruolo non definito per legge in materia di normalizzazione
contabile e di definizione della forma e del contenuto delle informazioni finanziarie, benché
- 152 -
il loro obiettivo sia di esercitare un’influenza sulle autorità legislative od amministrative,
a seconda dei casi, nella direzione che considerano utile per promuovere le migliori regole
di contabilità. D’altra parte, la loro influenza è notevole nel caso di questioni tecniche
riguardanti l’audit, i pareri e, talvolta, la consulenza, in base all’attività che svolgono in
questi stessi settori. Inoltre, le ISC sono senza dubbio i partner esterni che dimostrano il
maggior interesse per la contabilità di un’organizzazione, diversamente dagli altri partner
esterni che, di solito, sono utenti delle informazioni contabili e finanziarie (autorità
competente per il discarico, beneficiari , etc.). Le ISC possono intervenire in qualsiasi fase
del processo di definizione e di valutazione delle regole contabili, ed il loro intervento può
assumere le forme seguenti:
a. contributo alla definizione di migliori regole di contabilità: esso consiste nel formulare
osservazioni sul quadro contabile di base e sull’entità contabile, sui principi e sui
metodi contabili, nonché sul contenuto e sulla forma dei rendiconti finanziari. In
generale le ISC devono guidare, in gradi diversi, l’organizzazione nell’esame di questi
elementi, sempre rispettando il quadro definito dal legislatore;
b. analisi dell’applicazione di migliori regole di contabilità: in questo campo le ISC
possono assolvere la loro funzione primaria, cioè quella di esperti indipendenti
incaricati di emettere pareri sui rendiconti finanziari e sulla qualità dell'esposizione
contabile. Questo aspetto coincide con i punti citati in a) di cui sopra e con l’analisi del
controllo interno, ad esempio;
c. analisi della qualità del quadro finanziario e contabile: questo aspetto dell’attività delle
ISC è una funzione di feed-back e si basa in parte sul lavoro descritto al precedente
punto b). Esso ha lo scopo di far sì che il quadro legislativo, finanziario e contabile al
cui interno operano le entità controllate, sia adatto alle loro attività e favorisca
l’applicazione delle migliori regole di contabilità. È attraverso questo tipo di analisi che
le ISC possono esercitare la loro influenza sul processo descritto al paragrafo 3.1.
3.2
Infine, le ISC devono mantenere distinti il loro ruolo come auditor, in cui esprimono un
parere indipendente sui rendiconti finanziari e/o sulla sana gestione finanziaria, ed il loro
ruolo di assistenza o consultivo, in cui propongono e sorvegliano la realizzazione di
progetti o di procedure nell’organizzazione controllata. Analogamente, le ISC devono far
sì che i vari pareri e opinioni che emettono sullo stesso argomento siano coerenti e
conformi all'incarico loro affidato.
4.
Il quadro contabile di base
4.1
Il quadro contabile di base si riferisce ai principi contabili che determineranno il momento
dell’esecuzione della transazione o del verificarsi dell’evento in cui gli effetti della
transazione o dell’evento saranno registrati nei libri contabili. Questo quadro, che è
determinato dagli obiettivi dei rendiconti finanziari (cfr. i paragrafi 6.1 e 6.2) e dal contesto
in cui l’organizzazione opera, può variare dalla “contabilità di cassa”, che è tecnicamente
la meno sviluppata, ad una “contabilità di cassa mista”, una “contabilità di competenza
mista” oppure ad una “contabilità di competenza”, che è praticata dalla maggior parte delle
imprese nel settore privato e da certe organizzazioni nei settori pubblico e semipubblico.
4.2
Nell’ALLEGATO 1 di questo criterio-guida di applicazione viene data una definizione più
completa di questi quattro metodi, insieme ad una descrizione sommaria delle informazioni
finanziarie ottenute dalla loro applicazione.
- 153 -
4.3
I quattro metodi proposti possono essere tutti adattati alle caratteristiche particolari del
settore pubblico e rispondere alle richieste degli utenti. Tuttavia, l’obiettivo consiste nel
promuovere l’adozione del quadro, che, tramite i principi contabili applicati e i rendiconti
finanziari presentati, consegue nel miglior modo gli obiettivi dell'informazione finanziaria,
cioè rispondere ai bisogni degli utenti e rappresentare le attività dell’organizzazione
interessata nel contesto del settore pubblico e nel rispetto delle norme emanate dal
legislatore.
4.4
Giova osservare, tuttavia, che nel settore pubblico di alcuni paesi si riscontrano iniziative
volte a promuovere l’impiego di quadri contabili che si avvicinano alla contabilità di
competenza. Ciò può essere dovuto, fra l’altro, alla necessità di informazioni finanziarie
complete sulla situazione finanziaria e sulla gestione dell'entità contabile, come espresso
dagli investitori nel contesto dei programmi di privatizzazione che vengono realizzati in
molti paesi.
5.
I principi ed i metodi contabili
5.1
I principi ed i metodi contabili hanno lo scopo di indicare secondo quali modalità gli effetti
delle transazioni e degli eventi devono essere registrati nei rendiconti finanziari. I due
principi descritti qui di seguito (azienda avviata e coerenza dei metodi) sono considerati
principi fondamentali e la loro applicazione è implicita. Non è necessario menzionarli nelle
note accluse ai rendiconti finanziari. Tuttavia, se tali principi non sono seguiti, è necessario
indicare questa circostanza e le relative ragioni.
a. azienda avviata: l’organizzazione è considerata normalmente come un’azienda avviata,
cioè, come "continuità operativa" per il futuro prevedibile. Si suppone che l’azienda
non abbia né l’intenzione, né la necessità di liquidare o di ridurre in misura significativa
la scala delle sue operazioni. Anche se il principio di "azienda avviata" non si applica,
in teoria, al settore publico, giova menzionarlo, non foss’altro che per stabilire il nesso
con i rendiconti finanziari e le informazioni che devono contenere (ad esempio, quando
si attuano piani di ristrutturazione su larga scala oppure quando un’attività viene
liquidata o privatizzata).
b. coerenza dei metodi: si suppone che i principi ed i metodi contabili rimangano coerenti
nei diversi periodi contabili, ad eccezione di cambiamenti giustificati, la cui incidenza
deve essere quantificata nelle note accluse ai rendiconti finanziari.
5.2
I tre principi che seguono devono guidare la scelta delle politiche contabili
dell’organizzazione:
a. cautela: è possibile che varie incertezze pesino sulle transazioni dell’organizzazione.
La cautela consiste quindi in una valutazione scupolosa dei fatti per evitare il rischio
di trasferire nel futuro incertezze attuali, che sono considerate dannose per il
patrimonio ed i risultati dell’organizzazione;
b. prevalenza della sostanza sulla forma: le transazioni ed altri eventi nella vita
dell’organizzazione devono essere registrati e presentati in conformità della loro
sostanza e della realtà finanziaria, e non semplicemente dal punto di vista giuridico;
c. rilevanza: i rendiconti finanziari devono rendere note tutte le operazioni che sono
sufficientemente importanti per incidere sulle valutazioni e sulle decisioni e palesare
tutte le informazioni che servono per rendere chiari e comprensibili questi rendiconti
- 154 -
finanziari. Giova osservare che, nel settore pubblico, il concetto di rilevanza non è
soltanto finanziario ma può essere applicato anche alla natura degli elementi
considerati nel contesto in cui si collocano.
5.3
Gli altri principi e metodi contabili riguardano il trattamento delle transazioni o di eventi
specifici, come la contabilizzazione delle entrate e delle spese, le conversioni di valuta
estera, etc. Alcune organizzazioni del settore pubblico svolgono attività commerciali, la cui
analisi e contabilità richiedono l’adozione di politiche contabili specifiche. In questo caso
può risultare utile consultare le varie norme sui metodi di accertamento e di registrazione
delle entrate.
5.4
Il controllore esterno deve assicurarsi che i principi contabili scelti facciano parte di un
insieme di norme coerente, accettato e adattato alle attività dell’organizzazione ed ai suoi
vincoli. Inoltre, deve assicurarsi che i principi contabili coprano tutti gli aspetti importanti
delle attività dell’organizzazione (1).
6.
I rendiconti finanziari
Gli obiettivi
--------------
6.1
Come regola generale, l’obiettivo dei rendiconti finanziari di un’organizzazione o di un
gruppo di organizzazioni consiste nel fornire agli utenti di tali rendiconti finanziari
informazioni sulla situazione finanziaria, sulla gestione e sullo sviluppo della situazione
finanziaria di questa organizzazione o gruppo di organizzazioni. Nell'ambito del settore
pubblico, oltre a quelli sopra indicati gli obiettivi includono la presentazione di informazioni
sulla conformità delle operazioni alla legge, per soddisfare all’obbligo di rendimento dei
conti.
6.2
Più precisamente, nell'ambito del settore pubblico si possono definire i seguenti obiettivi:
a. fornire agli utenti le informazioni di cui necessitano: la definizione dei bisogni degli
utenti è il punto di partenza per la compilazione dei rendiconti finanziari;
b. indicare agli utenti se il bilancio di previsione e le operazioni eseguite durante
l’esercizio finanziario siano conformi alla legge. Si noti che i rendiconti finanziari stessi
non forniscono questa informazione, ma essa è prevista nella relazione stesa dal
controllore esterno, in base a questi stessi rendiconti finanziari, e che può essere
acclusa agli stessi;
c. aiutare gli utenti a comprendere meglio la natura, le dimensioni e l’ambito delle attività
del settore pubblico e della sua situazione finanziaria, oppure, all’occorrenza, della
(1)
L’articolo 31(1) della quarta direttiva del Consiglio (CEE) 78/660 del 25 luglio 1978 (GU L 222 del 14
agosto 1978, p.11) prevede un elenco di principi generali da applicare per la valutazione delle voci dei conti
annuali di alcuni tipi di società. Questa direttiva è applicabile in tutti gli Stati membri della Comunità europea.
Benché i principi indicati si applichino principalmente alle società del settore privato, alcune ISC possono
svolgere lavori in entità del settore pubblico, i cui principi contabili si basano sulle disposizioni della quarta
direttiva. L’allegato B di questo criterio-guida di applicazione presenta il testo pertinente della direttiva ed
analizza in quale misura i principi contabili generali in essa inclusi siano conformi a quelli presentati ai
paragrafi 5.1 e 5.2.
- 155 -
situazione finanziaria delle attività che lo compongono;
d. aiutare gli utenti a comprendere e prevedere in che modo il settore pubblico finanzia
le proprie attività;
e. aiutare gli utenti a comprendere e prevedere gli effetti delle attività del settore
pubblico;
f. aiutare gli utenti a stabilire se il settore pubblico abbia conseguito i propri obiettivi ed
a determinare il costo delle sue attività. Questo aspetto svolge un ruolo importante
nella valutazione delle attività del settore pubblico;
g. fornire agli utenti informazioni sugli aspetti quantitativi dell’esecuzione del bilancio di
previsione: gli aspetti qualitativi sono stati trattati nei paragrafi precedenti.
(NB: i paragrafi a., c., d., e. ed f. sono tratti dalla Comunicazione n. 2 “Gli obiettivi delle
relazioni sulle finanze pubbliche”, pubblicata dal Comitato delle norme contabili
dell’INTOSAI, Comitato che comprende le ISC di alcuni Stati membri dell’Unione
europea).
Gli utenti
----------6.3
Gli utenti dei rendiconti finanziari possono suddividersi nelle seguenti categorie:
a. politici, che operano come legislatori o come autorità competente per il discarico. I
politici sono i principali utenti dei rendiconti finanziari cui si riferisce il paragrafo 6.2.a.
Ciò può essere dovuto al fatto che, in generale, è di loro competenza legiferare sulla
natura delle informazioni finanziarie che le organizzazioni del settore pubblico devono
fornire. Il compito dell’organizzazione interessata consiste nel fornire, se necessario
con l’assistenza di consulenti esterni, le informazioni richieste. Il ruolo delle ISC
consiste nell’esprimere un parere sui rendiconti finanziari, cioè assicurare che abbiano
conseguito i loro obiettivi nel rispetto delle norme dettate per la loro preparazione e
presentazione;
b. i cittadini;
c. il personale delle organizzazioni addetto alla preparazione dei rendiconti finanziari;
d. le parti economiche esterne come i finanziatori, i fornitori e i clienti;
e. gli economisti, gli analisti politici e gruppi portatori di interessi specifici;
f. i "media".
(NB: i paragrafi a e d sono tratti dalla Comunicazione n. 1 “Gli utenti delle relazioni sulle
finanze pubbliche”, pubblicata dal Comitato delle norme contabili dell’INTOSAI”).
6.4
Nell'ambito della Comunità europea la Commissione redige i rendiconti finanziari
sull’esecuzione del bilancio comunitario da parte degli Stati membri e dei servizi della
Commissione. La Corte dei conti europea controlla tali rendiconti finanziari, che sono
successivamente utilizzati dall’autorità competente per il discarico. La singolarità di questa
situazione è attribuibile al fatto che una parte significativa delle spese è gestita dagli Stati
membri. Pertanto, le ISC degli Stati membri hanno da svolgere un ruolo importante poiché,
essendo attive a livello nazionale, con riferimento ai metodi contabili, possono contribuire
al miglioramento dei rendiconti finanziari della Comunità.
6.5
I paragrafi precedenti mostrano che i bisogni di queste varie categorie differiscono
- 156 -
notevolmente, sotto il profilo della quantità delle informazioni, oppure del grado di
dettaglio o della complessità tecnica. I rendiconti finanziari devono fornire ad ogni
categoria le informazioni di cui necessita: queste categorie variano dal cittadino comune,
che è interessato a conoscere le attività di un’organizzazione pubblica, ai politici ed
economisti interessati alla valutazione del conseguimento di obiettivi definiti con grande
precisione fino all’esercizio del potere di discarico da parte dell’autorità competente. Il
controllore esterno, nel suo ruolo di consulenza, aiuta nell'assicurare che i rendiconti
finanziari rispondano alle aspettative dei loro utenti.
Forma e contenuto
---------------------6.6
Prima di considerare il contenuto e la forma dei rendiconti finanziari, occorre esaminare
la questione dell’ “entità contabile”, cioè la totalità delle attività che i rendiconti finanziari
devono contabilizzare. L’entità contabile può avere una base ampia ed includere tutte le
attività od organizzazioni controllate o gestite dal governo, oppure, al contrario, riguardare
solo una particolare attività od un’organizzazione specifica. Il controllore deve assicurare
che l’entità contabile sia definita in modo appropriato e pertinente, poiché questo
determina non solo il tipo di informazioni che saranno presentate nei rendiconti finanziari,
ma anche il metodo di consolidamento o di combinazione dei vari conti considerati per la
preparazione di tali rendiconti finanziari.
6.7
I rendiconti finanziari costituiscono un insieme formato dalle seguenti parti:
a. il conto di gestione delle entrate e delle spese o il conto degli "incassi e pagamenti".
Esso comprende, laddove applicabile, un’analisi delle fonti di entrata, delle spese per
programma o attività, ed un analisi dell’utilizzo dei diversi tipi di stanziamento e delle
variazioni delle riserve;
b. il bilancio, che comprende l’attivo, il passivo e le riserve;
c. la situazione dei flussi di cassa, che indica le fonti e l’utilizzo dei fondi;
d. le note accluse ai rendiconti finanziari, che comprendono una descrizione dei principi
e dei metodi contabili applicati e, parimenti, tutte le informazioni che consentono
all’utente di comprendere i rendiconti finanziari e di formarsi un’opinione. Alcune parti
speciali, come eventi o transazioni eccezionali o quelle riguardanti esercizi precedenti,
eventi successivi alla chiusura del bilancio e utili o perdite impreviste devono essere
spiegati nelle note se sono ritenuti talmente significativi che la loro non-pubblicazione
impedirebbe agli utenti di comprendere i rendiconti finanziari, di darne una valutazione
corretta e di prendere decisioni giuste in base alle informazioni che contengono;
e. altri documenti esplicativi, se opportuni, che possono comprendere indicatori di
rendimento.
6.8
I rendiconti finanziari devono indicare chiaramente la moneta e l'unità (migliaia o milioni)
in cui sono elaborati, la data di chiusura dei conti ed il periodo contabile cui si riferiscono.
È ugualmente utile che i rendiconti finanziari presentino informazioni per i due periodi
successivi con due date di chiusura successive, per facilitare il confronto delle informazioni
e misurare l’evoluzione della situazione finanziaria e del rendimento dell’entità contabile.
- 157 -
------------------------------------------------------------6.9
Le caratteristiche qualitative sono gli attributi che rendono utili per i lettori le informazioni
presentate nei rendiconti finanziari. Le caratteristiche principali sono la comprensibilità, la
pertinenza, l’affidabilità e la comparabilità. Questi concetti sono definiti dettagliatamente
all’ALLEGATO 3 del presente criterio-guida.
7.
Il controllo interno
7.1
Un quadro contabile di base, principi contabili e rendiconti finanziari ben definiti e
rispondenti alle attività ed ai vincoli dell’organizzazione, non sono sufficienti per assicurare
l’affidabilità dei rendiconti finanziari elaborati da un’organizzazione e/o la qualità della
gestione finanziaria. Inoltre, è importante che l’organizzazione crei e faccia funzionare un
controllo interno di qualità elevata.
7.2
Il controllo interno è organizzato dalla direzione dell'organismo controllato ed è espletato
sotto la sua responsabiltà. Il controllo interno è definito come tutte le strategie e le
procedure concepite e attuate dalla direzione di un organismo al fine di garantire:
-
il raggiungimento economico, efficiente ed efficace degli obiettivi dell'organismo;
-
il rispetto delle norme esterne (leggi, regolamenti, ...) e delle politiche della direzione;
-
la protezione dei beni e delle informazioni;
-
la prevenzione e l'individuazione delle frodi e degli errori; e
-
la qualità dei libri contabili e la produzione tempestiva di informazioni finanziarie e di
gestione affidabili.
7.3
Il concetto del controllo interno va al di là di considerazioni unicamente contabili e
finanziarie e comprende due elementi, l'ambiente di controllo e le procedure di controllo
interno, che sono illustrati più dettagliatamente nei paragrafi 2.1-2.5 del criterio-guida
n. 21 "Valutazione del controllo interno e test sul controllo".
7.4
I punti seguenti mostrano come le ISC possono aiutare le autorità competenti a contribuire
in misura significativa ad assicurare la qualità del controllo interno:
a. analisi delle condizioni ambientali del controllo dell’organizzazione: le ISC possono
valutare la qualità delle condizioni ambientali del controllo di un’organizzazione
esaminando il raggiungimento dei criteri che corrispondono alla migliore procedura in
termini di organizzazione e di gestione;
b. analisi dettagliata delle procedure del controllo interno: questa analisi riguarda le
procedure che portano alla preparazione ed alla presentazione dei rendiconti finanziari
mettendo in risalto le qualità descritte al paragrafo 6.9;
c. qualità della comunicazione: le ISC devono fare in modo di poter comunicare
efficacemente con le organizzazioni controllate, per attirare la loro attenzione sui
problemi e sui punti deboli riscontrati durante la valutazione dei controlli interni e
- 158 -
l’analisi dei rendiconti finanziari;
d. individuazione della migliore procedura di controllo interno: le ISC possono
individuare esempi di buone procedure e diffonderli all’interno ed all’esterno delle
organizzazioni controllate mediante relazioni, seminari, pubblicazioni, etc.
8.
L’audit interno
8.1
Infine, anche l’audit interno esercita un’influenza diretta sulla qualità del controllo interno
e delle pratiche contabili dell’organizzazione. L’audit interno è un’attività di controllo
creata da un’organizzazione e collegata al livello gerarchico più elevato. Le sue funzioni
comprendono, fra l’altro, l’esame, la valutazione e la sorveglianza (follow-up)
dell’adeguatezza e dell’efficacia dei sistemi contabili e di controllo interno. In alcuni Stati
dell’Unione europea una parte delle funzioni di audit interno può essere esercitata da
servizi come il controllore finanziario o l’Ispettorato generale delle finanze. L’influenza
dell’audit interno è esercitata principalmente nei seguenti settori:
a. verifica dei sistemi contabili e del controllo interno;
b. esame delle informazioni finanziarie e di gestione;
c. verifica delle procedure di controllo interno relative all’economicità, all’efficienza ed
all’efficacia delle operazioni e della qualità dei controlli non finanziari;
d. verifica della conformità delle operazioni alle leggi ed ai regolamenti di natura
generale, contabile e finanziaria.
8.2
Nel contesto sopra descritto, la cooperazione fra le ISC ed i servizi di audit interno può
risultare utile poiché i compiti svolti da entrambe le parti spesso sono complementari.
Tuttavia, le ISC devono tener conto del fatto che gli obiettivi delle due parti si
sovrappongono parzialmente e devono assicurarsi esse stesse della qualità del lavoro di
audit interno. A proposito di quest’ultimo punto, si possono reperire informazioni nel
criterio-guida n. 24 “L’uso dei lavori di altri controllori ed esperti”. La cooperazione fra
le ISC e l’audit interno può assumere anche altre forme: la partecipazione con le autorità
responsabili (i ministeri interessati, l’Ispettorato generale delle finanze, etc.) alla
promozione dei principi di lavoro (qualità, norme di audit) oppure l’assistenza e i consigli
su argomenti come la formazione professionale, i metodi di lavoro, etc.
- 159 -
ALLEGATO 1
I quadri contabili di base e le relative informazioni finanziarie
I quattro quadri contabili di base e le relative relazioni finanziarie comunemente usati possono
essere definiti come segue(1):
a. contabilità di cassa: metodo contabile secondo cui le entrate non sono contabilizzate
fino al momento in cui sono incassate e le spese sono iscritte nei conti solo quando ha
avuto luogo l’esborso. I rendiconti finanziari preparati su questa base mostrano gli
incassi e i pagamenti di cassa durante un certo periodo di tempo (l’esercizio
finanziario) ed il saldo di cassa all’inizio ed alla fine del periodo;
b. contabilità di cassa modificata: metodo secondo il quale il metodo della contabilità di
cassa è sviluppato per includere, nell’esercizio finanziario, incassi e pagamenti di cassa
che hanno origine nel periodo finanziario interessato, ma che hanno luogo durante un
periodo di tempo successivo alla fine dell’esercizio finanziario in causa. Per un
esercizio finanziario di dodici mesi, dal 1/ gennaio al 31 dicembre dell’anno n, il
metodo della contabilità di cassa modificata comprenderà tutti gli incassi e i pagamenti
che si riferiscono a transazioni od eventi attinenti a questo anno n, ma che hanno
luogo, ad esempio, in un periodo specifico di 15 giorni dopo la fine dell’anno n, cioè
fino al 15 gennaio n+1. I rendiconti finanziari chiusi al 31 dicembre dell’anno n
secondo questo metodo mostrano, oltre al saldo di cassa all’inizio ed alla fine dei
periodi, gli incassi e i pagamenti durante questo periodo di 15 giorni come attivo e
passivo rispettivamente. Il periodo complementare durante il quale sono registrati gli
incassi, può differire da quello utilizzato per i pagamenti e talvolta sono registrati solo
i pagamenti;
c. contabilità di competenza modificata: metodo secondo cui le transazioni o gli eventi
sono registrati nel momento in cui hanno luogo, a prescindere dal momento in cui gli
incassi o i pagamenti hanno luogo. Questo metodo, che è spesso denominato
contabilità di spesa (expenditure accounting), ha lo scopo di misurare e di indicare il
costo dei beni e servizi acquistati durante l’esercizio finanziario considerato. Le
entrate rappresentano gli importi che sono divenuti esigibili durante il periodo. Gli
elementi dell'attivo riportati comprendono gli incassi, i risarcimenti, (richieste di
pagamento) come crediti a breve termine, i prestiti, nonché gli investimenti. Gli
elementi del passivo comprendono pagamenti commerciali, ratei insieme ai debiti sui
mercati finanziari e oneri previdenziali;
d. contabilità di competenza: metodo che è spesso chiamato contabilità di spesa (expense
accounting) o contabilità di competenza piena, molto simile alla contabilità di
competenza modificata sopra descritta ed il cui scopo consiste nel misurare e nel
(1)
Questo allegato si basa sulla Comunicazione n. 4 del Comitato delle norme contabili dell’INTOSAI: “Il
conseguimento degli obiettivi delle relazioni sulle finanze pubbliche”.
- 160 -
riportare il costo dei beni e servizi consumati durante l’esercizio finanziario. Gli
elementi dell'attivo riportati comprendono anche immobilizzi materiali, come terreni,
edifici ed attrezzature, il cui consumo è misurato dalla svalutazione posta a carico del
conto di gestione, nonché i costi differiti. Inoltre i contratti di locazione-acquisto a
lungo termine e le entrate differite sono presentati al passivo. Le entrate continuano
a rappresentare importi divenuti esigibili durante l’esercizio.
- 161 -
ALLEGATO 2
I principi contabili presentati nella quarta direttiva del Consiglio (CEE)
L’articolo 31, paragrafo 1 della quarta direttiva del Consiglio (1) elenca i principi generali da
applicare per la valutazione delle voci dei conti annuali di alcuni tipi di società. Il testo
dell’articolo è come segue:
“1. Gli Stati membri garantiscono che la valutazione delle voci dei conti annuali si faccia
conformemente ai seguenti principi:
a)
b)
c)
d)
e)
f)
si presume che la società continui le proprie attività;
i modi di valutazione non possono essere modificati da un esercizio all’altro;
occorre in ogni caso osservare il principio della prudenza e in particolare:
aa) possono essere indicati esclusivamente gli utili realizzati alla data di chiusura del
bilancio;
bb) occorre tener conto di tutti i rischi prevedibili ed eventuali perdite che traggono origine
nel corso dell’esercizio o di un esercizio anteriore anche se tali rischi o perdite siano
noti solo tra la data di chiusura del bilancio e la data della sua compilazione;
cc) si deve tener conto dei deprezzamenti, sia che l’esercizio si chiuda con una perdita, sia
che si chiuda con un utile;
si deve tener conto degli oneri o dei proventi relativi all’esercizio al quale i conti si
riferiscono, senza considerare la data del pagamento o dell’incasso delle suddette spese o
dei suddetti proventi;
gli elementi delle voci dell’attivo e del passivo devono essere valutati separatamente;
lo stato patrimoniale di apertura di un esercizio deve corrispondere allo stato patrimoniale
di chiusura dell’esercizio precedente.
2.
In casi eccezionali sono ammesse deroghe a detti principi generali. Se ci si avvale di tali
deroghe, queste devono essere indicate nell’allegato e debitamente motivate, specificando
l’influenza che esse hanno sulla situazione patrimoniale, su quella finanziaria e sul risultato
economico. ”
I principi suddetti sono simili a quelli espressi ai paragrafi 5.1 - 5.4 del testo principale di
questo criterio-guida di applicazione. Per quanto riguarda il paragrafo 1.d di cui sopra, la
contabilità di competenza cui si fa riferimento è presentata all’ALLEGATO 1, paragrafo d. di
questo criterio-guida. Tuttavia, i paragrafi 5.1 - 5.4 del testo principale includono due principi
che non fanno parte dell’elenco suddetto: la prevalenza della sostanza sulla forma e la rilevanza,
che si sono sviluppati in Europa da quando è stata emessa questa direttiva, nel 1978.
(1)
Direttiva (CEE) 78/660 del 25 luglio 1978 (Gazzetta ufficiale L 222 del 14 agosto 1978, pag.. 11)
- 162 -
ALLEGATO 3
I rendiconti finanziari devono possedere certe qualità che rendono utili per i lettori le
informazioni ivi presentate. Secondo la Comunicazione n. 3 "Caratteristiche qualitative delle
relazioni sulle finanze pubbliche”, pubblicata dal Comitato delle norme contabili dell’INTOSAI
(1)
, le caratteristiche qualitative in causa sono le seguenti:
a. la comprensibilità: prima di poter essere utilizzate, le informazioni devono essere ben
comprese. Le relazioni sulle finanze pubbliche devono presentare le informazioni in
modo chiaro e semplice. Sono da evitare dettagli eccessivi e modi di presentazione
troppo complessi; ogniqualvolta sia possibile, si devono utilizzare diagrammi e grafici.
I testi esplicativi devono essere non solo precisi ma anche espressi chiaramente e, per
quanto possibile, adottando un linguaggio semplice e non tecnico. Ciò vale
particolarmente per la divulgazione di informazioni e di interpretazioni complesse.
Inoltre, occorre evitare forme di presentazione che potrebbero indurre in errore a
causa di una semplificazione eccessiva o dell’omissione di dettagli.
b. La pertinenza: le informazioni sono pertinenti se sono utili agli utenti nello svolgimento
delle loro attività. Coloro che predispongono le relazioni sulle finanze pubbliche
devono tener conto delle attività degli utenti e dei loro bisogni in materia di
informazioni quando decidono ciò che è pertinente per la relazione. La pertinenza è
connessa a molte altre caratteristiche qualitative qui trattate. Ad esempio, se
l’informazione non è tempestiva, può non essere pertinente. Le relazioni devono
trattare in modo esaustivo la natura e l’ambito delle attività finanziarie presentate.
c. L’affidabilità: un’informazione affidabile rappresenta fedelmente ciò che deve
rappresentare. È precisa entro tolleranze accettabili, imparziale, completa e verificabile.
L’affidabilità non comporta una precisione od una certezza assoluta. Ad esempio, le
relazioni sulle finanze pubbliche possono includere stime di importi dovuti a terzi che
non sono note con certezza ma per le quali esiste una forte probabilità di obbligo. Le
relazioni in causa devono esporre, nella misura del possibile, tutte le ipotesi ed
incertezze significative.
d. L’importanza: un’informazione è importante se si può ragionevolmente prevedere che
essa eserciterà un’influenza sulle attività degli utenti. Un argomento può essere
importante a causa delle sue dimensioni o della sua natura. Sull’importanza occorre
esprimere un giudizio. I fattori che i "preparatori" ed i controllori delle relazioni sulle
finanze pubbliche dovrebbero tenere in considerazione quando valutano l’importanza
comprendono: lo scopo della relazione. le attività degli utenti e la natura e tipo di
informazioni di cui necessitano per l’adozione delle decisioni e il rendimento dei conti,
(1)
Come indicato nel titolo di questa Comunicazione, il Comitato delle norme contabili dell’INTOSAI ritiene che
queste caratteristiche si applichino alle relazioni sulle finanze pubbliche nel loro complesso, e non solo ai
rendiconti finanziari delle entità del settore pubblico, che in generale fanno parte delle relazioni sulle finanze
pubbliche o delle relazioni finanziarie delle entità del settore pubblico.
- 163 -
nonché la natura dell’entità stessa.
e. La tempestività: le relazioni sulle finanze pubbliche dovrebbero essere pubblicate
rapidamente dopo gli eventi oggetto della relazione, per aiutare gli utenti nello
svolgimento delle loro attività. La tempestività da sola non rende l’informazione utile.
Tuttavia, il tempo trascorso dopo il verificarsi degli eventi riferiti nella relazione
diminuisce in generale l’utilità. Una stima tempestiva ma realistica può essere più utile
di un’informazione precisa se quest’ultima richiede diversi mesi per essere prodotta.
f.
La coerenza: per essere comprensibile l’informazione presentata in una relazione od
in una serie di relazioni sulle finanze pubbliche deve, per quanto possibile, basarsi sullo
stesso metodo di contabilità. La coerenza consente agli utenti delle relazioni o di una
serie di relazioni sulle finanze pubbliche di passare da presentazioni aggregate a
presentazioni disaggregate delle informazioni, e da una relazione all’altra con facilità
e sicurezza. Se il metodo di contabilità e di presentazione è cambiato da un periodo
contabile all’altro, perché, ad esempio, sono state adottate una politica od una norma
contabile più appropriate, questa circostanza e gli effetti conseguenti sulla relazione
finanziaria dovrebbero essere rilevati e spiegati chiaramente.
g. La comparabilità: l’informazione è comparabile quando gli utenti sono in grado di
individuare similarità e differenze o fra due o più entità del settore publico in un
momento dato o all’interno della stessa entità nel corso del tempo. Come nel caso della
coerenza, il metodo contabile e di presentazione, nonché gli effetti di un qualsiasi
cambiamento da un periodo all’altro, devono essere rilevati e spiegati chiaramente.
La Comunicazione n. 3 “Le caratteristiche qualitative delle relazioni sulle finanze
pubbliche” indica, inoltre, che, applicando queste caratteristiche, i controllori ed i
"preparatori" delle relazioni sulle finanze pubbliche dovranno esprimere un giudizio
professionale, valutare i costi e i benefici, giungere a compromessi sull’importanza da
attribuire a ciascuna caratteristica, far prevalere la sostanza sulla forma e dar prova di
prudenza.
- 164 -
ALLEGATO 4
Glossario (1)
contabilità di competenza:
metodo di contabilità secondo cui le entrate sono contabilizzate quando vengono
percepite e le spese quando sono sostenute, a prescindere dal fatto che le
transazioni siano state definitivamente chiuse con un incasso o con un esborso.
attivo:
elementi dotati di valore economico che appartengono legalmente al governo (o
all’entità del settore pubblico).
bilancio:
un rendiconto finanziario che indica ciò che il governo (o l’entità del settore
pubblico) possiede (il suo attivo) e ciò che il governo (o l’entità del settore
pubblico) deve (il suo passivo) in un momento dato.
contabilità di cassa:
metodo di contabilità secondo cui le entrate sono contabilizzate solo quando sono
incassate e le spese sono contabilizzate solo quando si ha esborso.
passivo:
importi che dovranno essere versati legalmente in futuro a seguito di eventi e di
transazioni del passato (ad esempio i conti fornitori e altri oneri, le somme da
versare al regime pensionistico dei dipendenti, prestiti assunti dal governo, etc.).
entità contabile:
indica l’area del governo (o dell’entità del settore pubblico ad un livello inferiore)
cui si riferiscono le relazioni finanziarie, al cui interno si trovano pienamente
consolidate tutte le diverse unità organizzative del governo (o dell’entità del
settore pubblico).
eccedenza o deficit:
la differenza fra le entrate e le spese (si ha un’eccedenza quando le entrate
superano le spese; si ha un deficit quando le spese superano le entrate).
(1)
Questo elenco è tratto dal glossario allegato allo studio “Gli utenti delle relazioni sulle finanze pubbliche e
delle informazioni finanziarie fornite dai governi”, pubblicato dal Comitato delle norme contabili dell’INTOSAI.
- 165 -
ALLEGATO 5
Elenco dei documenti di riferimento ed altri testi
INTOSAI
-
Norme di controllo (Comitato delle norme di controllo)
-
Quadro delle norme contabili (Comitato delle norme contabili)
- Comunicazione n. 1 “Gli utenti delle relazioni sulle finanze pubbliche)
- Comunicazione n. 2 “Gli obiettivi delle relazioni sulle finanze pubbliche”
- Comunicazione n. 3 “Le caratteristiche qualitative delle relazioni sulle finanze
pubbliche”
- Comunicazione n. 4 “Il conseguimento degli obiettivi delle relazioni sulle finanze
pubbliche”
- Studio “Gli utenti delle relazioni sulle finanze pubbliche e delle informazioni finanziarie
fornite dai governi”
DIRETTIVA DEL CONSIGLIO DELLE COMUNITÀ EUROPEE
-
Quarta direttiva del Consiglio del 25 luglio 1978 (78/660/CEE) basata sull’articolo 54,
paragrafo 3, lettera g) del trattato e relativa ai conti annuali di taluni tipi di società ( GU
L 222 del 14 agosto 1978, p.11)
IFAC
-
Linee direttrici (Comitato del settore pubblico dell’International Federation of
Accountants)
- Linea direttrice n. 1 “Financial reporting by government business enterprises”
-
Studi (Comitato del settore pubblico dell’International Federation of Accountants)
- Studio 1 “Financial reporting by national governments”
- Studio 2 “Elements of the financial statements of national governments”
- Studio 5 “Definition and recognition of assets”
- Studio 6 “Accounting for and reporting liabilities”
- Studio 7 “Performance reporting by government business enterprises”
- Studio 8 “The government financial reporting entity”
- Studio 9 “Definition and recognition of revenues”
- Studio 10 “Definition and recognition of expenses/expenditure”
IASC
-
”Quadro per la preparazione e la presentazione dei rendiconti finanziari” (International
Accounting Standards Committee)
-
Norma contabile internazionale n. 1 “La pubblicità dei metodi contabili” (International
- 166 -
-
Norma contabile internazionale n. 18 “La constatazione dei proventi” (International
- 167 -
GLOSSARIO DEI TERMINI DELLE NORME DI CONTROLLO DELL’INTOSAI
(this glossary is reproduced from the INTOSAI Auditing Standards)
Accounting Control System
A series of actions which is considered to be part of the
total internal control system concerned with realising the
accounting goals of the entity. This includes compliance
with accounting and financial policies and procedures,
safeguarding the entity’s resources and preparing reliable
financial reports.
Administrative Control System
A series of actions, being an integral part of the internal
control system, concerned with administrative
procedures needed to make managerial decisions, realise
the highest possible economic and administrative
efficiency and ensure the implementation of
administrative policies, whether related to financial affairs
or otherwise.
Audited Entity
The organisation, programme, activity or function subject
to audit by the SAI.
Audit Evidence
Information that forms the foundation which supports the
auditor’s or SAI’s opinions, conclusions or reports.
Competent : information that is quantitatively sufficient
and appropriate to achieve the auditing results ; and is
qualitatively impartial such as to inspire confidence and
reliability.
Relevant : information that is pertinent to the audit
objectives.
Reasonable : information that is economical in that the
cost of gathering it is commensurate with the result
which the auditor or the SAI is trying to achieve.
Audit Mandate
The auditing responsibilities, powers, discretions and
duties conferred on a SAI under the constitution or other
lawful authority of a country.
Audit Objective
A precise statement of what the audit intends to
accomplish and/or the question the audit will answer.
This may include financial, regularity or performance
issues.
- 168 -
Audit Procedures
Tests, instructions and details included in the audit
programme to be carried out systematically and
reasonably.
Audit Scope
The framework or limits and subjects of the audit.
Auditing Standards
Auditing standards provide minimum guidance for the
auditor that helps determine the extent of audit steps and
procedures that should be applied to fulfil the audit
objective. They are the criteria or yardsticks against
which the quality of the audit results are evaluated.
Constitutional
A matter which is permitted or authorised by, the
fundamental law of a country.
Due Care
The appropriate element of care and skill which a trained
auditor would be expected to apply having regard to the
complexity of the audit task, including careful attention
to planning, gathering and evaluating evidence, and
forming opinions, conclusions and making
recommendations.
Economy
Minimising the cost of resources used for an activity,
having regard to the appropriate quality.
Effectiveness
The extent to which objectives are achieved and the
relationship between the intended impact and the actual
impact of an activity.
Efficiency
The relationship between the output, in terms of goods,
services or other results, and the resources used to
produce them.
Executive Branch of
Government (Executive)
The branch of government which administers the law.
Field Standards
The framework for the auditor to systematically fulfil the
audit objective, including planning and supervision of the
audit, gathering of competent, relevant and reasonable
evidence, and an appropriate study and evaluation of
internal controls.
Financial Systems
The procedures for preparing, recording and reporting
reliable information concerning financial transactions.
Findings, Conclusions and
Recommendations
Findings are the specific evidence gathered by the auditor
to satisfy the audit objectives ; conclusions are statements
deduced by the auditor from those findings ;
recommendations are courses of action suggested by the
auditor relating to the audit objectives.
- 169 -
Fundamental
A matter becomes fundamental (sufficiently material)
rather than material when its impact on the financial
statements is so great as to render them misleading as a
whole.
General Standards
The qualifications and competence, the necessary
independence and objectivity, and the exercise of due
care, which shall be required of the auditor to carry out
the tasks related to the fields and reporting standards in a
competent, efficient and effective manner.
Independence
The freedom of the SAI in auditing matters to act in
accordance with its audit mandate without external
direction or interference of any kind.
Internal Audit
The functional means by which the managers of an entity
receive an assurance from internal sources that the
processes for which they are accountable are operating in
a manner which will minimise the probability of the
occurrence of fraud, error or inefficient and uneconomic
practices. It has many of the characteristics of external
audit but may properly carry out the directions of the
level of management to which it reports.
Internal Control
The whole system of financial and other controls,
including the organisational structure, methods,
procedures and internal audit, established by management
within its corporate goals, to assist in conducting the
business of the audited entity in a regular economic,
efficient and effective manner ; ensuring adherence to
management policies ; safeguarding assets and
resources ; securing the accuracy and completeness of
accounting records ; and producing timely and reliable
financial and management information.
International Organisation of
Supreme Audit Institutions
(INTOSAI)
An international and independent body which aims at
promoting the exchange of ideas and experience between
Supreme Audit Institutions in the sphere of public
financial control.
Legislature
The law making authority of a country, for example a
Parliament.
- 170 -
Materiality and Significance
(Material)
In general terms, a matter may be judged material if
knowledge of it would be likely to influence the user of
the financial statements or the performance audit report.
Materiality is often considered in terms of value but the
inherent nature or characteristics of an item or group of
items may also render a matter material - for example,
where the law or some other regulation requires it to be
disclosed separately regardless of the amount involved.
In addition to materiality by value and by nature, a matter
may be material because of the context in which it
occurs. For example, considering an item in relation to
the overall view given by the accounts, the total of which
it forms a part ; associated terms ; the corresponding
amount in previous years. Audit evidence plays an
important part in the auditor’s decision concerning the
selection of issues and areas for audit and the nature,
timing and extent of audit tests and procedures.
Opinion
The auditor’s written conclusions on a set of financial
statements as the result of a financial or regularity audit.
Performance Audit
An audit of the economy, efficiency and effectiveness
with which the audited entity uses its resources in
carrying out its responsibilities.
Planning
Defining the objectives, setting policies and determining
the nature, scope, extent and timing of the procedures
and tests needed to achieve the objectives.
Postulates
Basic assumptions, consistent premises, logical principles
and requirements which represent the general framework
for developing auditing standards.
Public Accountability
The obligations of persons or entities, including public
enterprises and corporations, entrusted with public
resources to be answerable for the fiscal, managerial and
programme responsibilities that have been conferred on
them, and to report to those that have conferred these
responsibilities on them.
- 171 -
Regularity Audit
Attestation of financial accountability of accountable
entities, involving examination and evaluation of financial
records and expression of opinions on financial
statements ; attestation of financial accountability of the
government administration as a whole ; audit of financial
systems and transactions, including an evaluation of
compliance with applicable statutes and regulations ;
audit of internal control and internal audit functions ;
audit of the probity and propriety of administrative
decisions taken within the audited entity ; and reporting
of any other matters arising from or relating to the audit
that the SAI considers should be disclosed.
Report
The auditor’s written opinion and other remarks on a set
of financial statements as the result of a financial or
regularity audit or the auditor’s findings on completion of
a performance audit.
Reporting Standards
The framework for the auditor to report the results of the
audit, including guidance on the form and content of the
auditor’s report.
Supervision
An essential requirement in auditing which entails proper
leadership, direction and control at all stages to ensure a
competent, effective link between the activities,
procedures and tests that are carried out and the aims to
be achieved.
Supreme Audit Institution
(SAI)
The public body of a State which, however designated,
constituted or organised, exercises by virtue of law, the
highest public auditing function of that State.
- 172 -

Norme di controllo

Transcript

Documenti analoghi

PDF - Spaghetti Writers

Esercizio sul progetto di un controllore

Scarica l`allegato

Festa dell`aria

PROMEMORIA del controllore dell`allevamento dei segugi svizzeri

Controllore del traffico aereo

Progetto nel continuo di rete correttrice e traduzione nel discreto con

CPU serie CQM1H Specifiche tecniche Modello

it, 33 KB, 3/11/04 - Dipartimento di Informatica