Norme di controllo
Transcript
Norme di controllo
PREFAZIONE Il presente documento intitolato “Criteri-guida europei di applicazione delle norme di controllo dell’INTOSAI” è stato elaborato, su incarico del Comitato di contatto dei Presidenti delle Istituzioni superiori di controllo dell’Unione europea (ISC), da un gruppo di lavoro al quale hanno partecipato, sotto la presidenza di un rappresentante della Corte dei conti europea, funzionari delle sei Istituzioni nazionali di controllo seguenti: Rigsrevisionen/Danimarca Tribunal de Cuentas/Spagna Corte dei Conti/Italia Algemene Rekenkamer/Paesi Bassi Riksrevisionsverket/Svezia National Audit Office/Regno Unito I quindici criteri-guida ora presentati costituiscono un valido esempio della collaborazione sempre più intensa tra le ISC e l’Unione europea in ambiti di interesse comune. Vorrei pertanto ringraziare cordialmente i Presidenti delle ISC interessate. Tengo a ringraziare in particolare i membri del gruppo di lavoro; con grande competenza e impegno essi hanno redatto un manuale che, spero, sarà di utilità ad un numero sempre maggiore di controllori nell’Unione europea e altrove. Prof. Dr. Bernhard Friedmann Presidente Corte dei conti europea Lussemburgo, 1998 Comitato di contatto dei Presidenti delle ISC dell’Unione europea Gruppo ad hoc sulle norme di controllo Criteri-guida europei di attuazione delle norme di controllo dell’INTOSAI Indice INTRODUZIONE TECNICA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI GRUPPO 1 N. 11 N. 12 N. 13 PREPARAZIONE DEL CONTROLLO . . . . . . . . . . . . . . . . . . . . . . . 8 PROGRAMMAZIONE DEL CONTROLLO . . . . . . . . . . . . . . . . . 8 RILEVANZA E RISCHI DI CONTROLLO . . . . . . . . . . . . . . . . . 17 ELEMENTI PROBATORI E METODO DI CONTROLLO . . . . . 26 GRUPPO 2 OTTENIMENTO DI ELEMENTI PROBATORI . . . . . . . . . . . . . . . N. 21 VALUTAZIONE DEL CONTROLLO INTERNO E TEST SUL CONTROLLO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . N. 22 CONTROLLO DEI SISTEMI INFORMATICI . . . . . . . . . . . . . . N. 23 IL CAMPIONAMENTO A FINI DI CONTROLLO . . . . . . . . . . . N. 24 LE PROCEDURE ANALITICHE . . . . . . . . . . . . . . . . . . . . . . . . N. 25 L’USO DEI LAVORI DI ALTRI CONTROLLORI ED ESPERTI N. 26 DOCUMENTAZIONE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 34 44 72 77 89 96 GRUPPO 3 COMPLETAMENTO DEL CONTROLLO . . . . . . . . . . . . . . . . . . 100 N. 31 STESURA DELLE RELAZIONI . . . . . . . . . . . . . . . . . . . . . . . . 100 N. 32 ALTRE INFORMAZIONI PRESENTATE NEI DOCUMENTI CHE CONTENGONO I RENDICONTI FINANZIARI CONTROLLATI . . . . . . . . . . . . . . . . . . . . . . . . . 104 GRUPPO 4 CONTROLLO SULLA GESTIONE . . . . . . . . . . . . . . . . . . . . . . . . 109 N. 41 IL CONTROLLO SULLA GESTIONE . . . . . . . . . . . . . . . . . . . 109 GRUPPO 5 N. 51 N. 52 N. 53 QUESTIONI VARIE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . GARANZIA DELLA QUALITÀ . . . . . . . . . . . . . . . . . . . . . . . . LE IRREGOLARITÀ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . PROMUOVERE LE BUONE PRATICHE CONTABILI . . . . . . 130 130 133 151 GLOSSARIO DEI TERMINI DELLE NORME DI CONTROLLO DELL’INTOSAI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 INTRODUZIONE TECNICA Il contesto del lavoro del gruppo ad hoc 1. Il gruppo di lavoro ad hoc sulle norme di controllo è stato costituito dal Comitato di contatto dei presidenti delle Istituzioni superiori di controllo dell’Unione europea nella riunione del 24 e 25 settembre 1991, a Madrid. Il gruppo era composto inizialmente dei rappresentanti delle ISC di Danimarca, Spagna, Italia e Paesi Bassi. L’ISC del Regno Unito ha aderito al gruppo nel 1994 e l’ISC della Svezia nel 1996. Il gruppo ad hoc era presieduto dalla Corte dei conti europea(1). 2. Il lavoro del gruppo ad hoc verteva sugli aspetti metodologici attinenti all’esecuzione dei controlli di attività per le quali le ISC dei paesi dell’Unione europea partecipanti hanno un interesse congiunto o comune. Le norme di controllo dell’INTOSAI propongono un iter metodologico comune che raccoglie la grande diversità delle tradizioni del controllo pubblico degli Stati membri dell’UE ed il gruppo ad hoc ha cercato di costruire tale iter comune elaborando una serie di quindici criteri-guida. Essi illustrano secondo quali modalità le norme di controllo dell’INTOSAI possono essere applicate nell’ambito del controllo di un’attività nell’Unione europea. Il gruppo ha cercato di sviluppare criteriguida in tutti i settori principali del processo di controllo. A titolo di esempio, la norma applicativa sul campo dell’INTOSAI sugli “elementi probatori” è sviluppata in quattro criteri-guida relativi a “Elementi probatori e metodo di controllo”, “Il campionamento a fini di controllo”, “L’uso dei lavori di altri controllori ed esperti” e “Altre informazioni presentate nei documenti che contengono i rendiconti finanziari controllati”. Durante lo sviluppo dei propri criteri-guida, il gruppo ha inoltre preso atto delle norme internazionali di controllo della Federazione internazionale degli esperti contabili. 3. Benché il compito iniziale del gruppo fosse quello di fornire una metodologia comune per i controlli congiunti o coordinati(2) svolti dalle ISC dell’UE, il gruppo si compiace di osservare che il suo progetto di criteri-guida è stato utilizzato da alcune singole ISC, soprattutto in occasione di una revisione fondamentale dei loro metodi di lavoro attinenti al controllo - in risposta, ad esempio, alla nuova legislazione nazionale. Nel paragrafo (1) Hanno partecipato alle riunioni del gruppo ad hoc: DK: ES: IT: NL: UK: S: CCE: (2) Sig. H. Otbo; Sig. M. Levysohn Sig. J. Corral, Sig.ra M.L. Martin Sanz, Sig. V. Manteca Valdelande Sig. G. Clemente, Sig. E. Colasanti, Sig. C. Costanza, Sig. B. Manna Sig.ra M.L. Bemelmans-Videc Sig. S. Ardron, Sig. J. D. Thorpe Sig. F. Cassel Sig. N. Schmidt-Gerritzen (Presidente), Sig. T. M. James, Sig. B. Albugues, Sig. J. Eilbeck, Sig. N. Usher In un controllo congiunto, le ISC partecipanti stabiliscono gli stessi obiettivi di controllo al fine di esaminare, nell’ambito delle rispettive competenze, la stessa questione. In un controllo coordinato, ogni ISC partecipante esamina una questione comune e, sebbene gli obiettivi di controllo di ciascuna di esse possano essere diversi, tra le ISC interessate si instaura una stretta cooperazione che consente lo scambio di informazioni, arricchendo così i singoli controlli di ciascuna di esse. -3- 10 dell’introduzione si accenna ulteriormente all’uso potenziale dei criteri-guida in tal senso. 4. La serie completa dei quindici “Criteri-guida europei di applicazione” e la loro relazione con le norme di controllo dell’INTOSAI sono illustrate nel grafico alla fine dell’introduzione. Essi si ripartiscono in cinque gruppi: Gruppo 1 Gruppo 2 Gruppo 3 Gruppo 4 Gruppo 5 - tre criteri-guida pertinenti alla preparazione del controllo; sei criteri-guida pertinenti all’ottenimento degli elementi probatori; due criteri-guida pertinenti al completamento del controllo; un criterio-guida relativo al controllo sulla gestione; tre criteri-guida relativi a questioni varie. Nello svolgimento del proprio lavoro, il gruppo ad hoc ha ricevuto i suggerimenti e il sostegno dei Presidenti e degli agenti di collegamento delle ISC dell’UE nonché dei controllori di molte di queste organizzazioni (in specie degli agenti delle ISC rappresentate nel gruppo ad hoc). Il gruppo coglie l’occasione di esprimere i suoi ringraziamenti per l’appoggio ricevuto. Si spera di aver ricompensato l’impegno di tutti i colleghi con l’elaborazione di criteri-guida che si rivelino utili per il loro lavoro. 5. Il gruppo desidera inoltre esprimere il suo apprezzamento per il gravoso lavoro di traduzione dei criteri-guida e degli altri documenti dalla lingua di lavoro (inglese) nelle altre dieci lingue ufficiali dell’UE. Gran parte di tale compito è stato svolto dal Servizio di traduzione della Corte dei conti europea, ma il gruppo desidera altresì porgere i suoi ringraziamenti ai numerosi esperti degli Stati membri delle ISC e della Corte dei conti europea che hanno prestato il loro aiuto in quest’opera. Una base metodologica comune 6. Sebbene tali criteri-guida siano più particolareggiati delle norme di controllo dell’INTOSAI, essi non equivalgono tuttavia a procedure di lavoro dettagliate per singoli controllori, poiché il gruppo di lavoro è dell’avviso che ciascuna ISC debba decidere le proprie procedure specifiche, considerando la realtà, le tradizioni e la legislazione nazionali. I criteri-guida rappresentano nondimeno una base comune a cui far riferimento e da adottare a titolo facoltativo in tutte le ISC dell’UE, nel quadro dei metodi di controllo messi in atto da ciascuna di esse, per qualsiasi esame delle attività nell’UE - che venga espletato sia unicamente a livello nazionale, sia congiuntamente o di concerto con le altre ISC, a livello internazionale. L’uso di tali criteri-guida dovrebbe assistere le ISC a tenere fede alle proprie responsabilità in modo economico, efficiente ed efficace. 7. Molte ISC degli Stati membri dell’UE hanno adottato metodologie di controllo basate in misura maggiore o in modo più esplicito su norme di controllo nazionali, anziché sulle norme dell’INTOSAI. A loro volta le norme di controllo nazionali sono spesso strettamente connesse alle norme di controllo internazionali elaborate dalla Federazione internazionale degli esperti contabili (IFAC). Nel corso dei suoi lavori il gruppo ad hoc ha tenuto conto di un raffronto, eseguito dalla Corte dei conti europea, tra le norme INTOSAI e le norme IFAC. Tale raffronto ha messo in luce che, sebbene i due gruppi di norme si distinguano per il grado di specificità e per la terminologia, le differenze non hanno un’incidenza consistente sulle relative metodologie di controllo. Il gruppo ad hoc -4- ritiene quindi che i criteri-guida europei di applicazione possano essere utilizzati da tutte le ISC dell’Unione europea. 8. Due criteri-guida contengono un glossario in cui si spiegano taluni termini specifici. Per i termini di carattere più generale utilizzati nei presenti criteri-guida, si consulti il glossario pubblicato nelle norme di controllo dell’INTOSAI, presentato alla fine del testo(3). Una “dimensione dell’Unione europea” 9. Il gruppo ad hoc ha cercato soprattutto, preparando i criteri-guida, di mettere in evidenza la “dimensione dell’Unione europea”. I casi in cui un particolare aspetto europeo possa incidere sulla modalità di svolgimento del lavoro di un singolo controllore vengono segnalati nel testo del criterio-guida; ad esempio, il criterio-guida n. 52 “Le irregolarità” contiene una sintesi della legislazione UE pertinente. 10. Il gruppo ritiene nondimeno che la principale dimensione dell’Unione europea dei criteriguida sia data dal fatto che i criteri presentano una base tecnica comune suscettibile di essere adottata da tutte le ISC dell’UE, a titolo facoltativo, nel quadro dei singoli metodi di controllo messi in atto da ciascuna ISC. In altre parole, il gruppo ad hoc è dell’avviso che la dimensione dell’Unione europea più significativa risieda nell’accettabilità generale dei criteri-guida da parte di tutte le sette ISC che hanno partecipato al gruppo di lavoro e che, tra loro, rappresentano a grandi linee gli aspetti principali delle tradizioni del controllo pubblico e delle strutture organizzative di tutte le ISC dell’UE. Un ruolo più vasto per i criteri-guida? 11. Il lavoro basilare di elaborazione dei quindici criteri-guida è stato distribuito in sei anni, con un ulteriore anno per apportare le ultime modifiche editoriali e preparare l’insieme completo per la pubblicazione. L’Europa (ed il mondo, in realtà) non si è fermato in questo periodo e si sono verificati molti cambiamenti che incideranno sul controllo pubblico e sulle condizioni in cui il controllo viene svolto nell’Unione europea. Probabilmente gli eventi più significativi sono state le iniziative finalizzate all’ampliamento dell’UE, in particolare, le misure preparatorie attuate nei paesi dell’Europa centrale e orientale e nei nuovi Stati indipendenti. Il gruppo ad hoc si è compiaciuto di apprendere che i propri criteri-guida, benché ancora in fase di progetto, fossero stati messi a disposizione delle ISC di tali paesi e di ricevere un feedback positivo da alcuni di questi organismi. Il gruppo ritiene che i criteri-guida possano assumere un ulteriore ruolo utile, non previsto nel 1991 quando i lavori hanno avuto inizio - per le ISC di tali paesi al fine di preparare l’adesione all’Unione e auspica che il proprio lavoro costituisca un utile contributo in questo campo. (3) Nei casi in cui vi sia una traduzione ufficiale delle norme di controllo dell’INTOSAI, il glossario dell’INTOSAI è riprodotto nella versione linguistica opportuna. Negli altri casi, è stata riprodotta la versione inglese. -5- La natura consultiva dei criteri-guida 12. I presenti criteri-guida sono stati concepiti come uno strumento consultivo facoltativo, a disposizione delle ISC. Va detto che nella versione originale in lingua inglese ci si è avvalsi spesso del termine “should”. In questi casi, il termine è stato utilizzato dal gruppo per sottolineare una prassi o procedura che raccomanda vivamente. Osservazioni 13. Il gruppo auspica che ci sia un’interazione con gli utenti in modo da poter aggiornare e migliorare i criteri-guida. Le eventuali osservazioni vanno inviate al gruppo responsabile dei metodi di lavoro, Direzione ADAR, Corte dei conti europea, 12, rue Alcide De Gasperi, L-1615 Lussemburgo. -6- POSTULATI DI BASE INTOSAI NORME APPLICATIVE SUL CAMPO CONTROLLO INTERNO PROGRAMMAZIONE PROGRAMMAZIONE DEL CONTROLLO RILEVANZA E RISCHI DEL CONTROLLO VALUTAZIONE DEL CONTROLLO INTERNO CONTROLLO DEI SISTEMI INFORMATICI FORMA E CONTENUTO RISPETTO DELLA LEGISLAZIONE E DELLE REGOLAMENTAZIONI SUPERVISIONE ED ESAME #11 ELEMENTI PROBATORI ELEMENTI PROBATORI E METODO DI CONTROLLO #12 #21 CAMPIONAMENTO A FINI DI CONTROLLO #22 ANALISI DELLE ENUNCIAZIONI Preparazione del controllo INDIPENDENZA, COMPETENZA, ACCURATEZZA ECC. NORME DI STESURA DELLE RELAZIONI #13 #23 #24 PROMUOVERE LE BUONE PRATICHE CONTABILI #51 #52 GARANZIA DELLA QUALITÀ #41 DOCUMENTAZIONE USO DEI LAVORI DI #25 ALTRI CONTROLLORI ED ESPERTI #32 #53 #26 PROCEDURE ANALITICHE ALTRE INFORMAZIONI #31 STESURA DELLE RELAZIONI #41 IRREGOLARITÀ CONTROLLO SULLA GESTIONE CRITERI-GUIDA EUROPEI NU, 16 FEBRUARY 1998 - S:\COURANT\MET\WM\ADHOCGP\GENERAL\DIAGU5.XLS -7- Ottenimento degli elementi probatori NORME GENERALI Completamento del controllo NORME INTOSAI GRUPPO 1 PREPARAZIONE DEL CONTROLLO CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 11 PROGRAMMAZIONE DEL CONTROLLO INDICE Paragrafi Norma di controllo dell'INTOSAI I vantaggi e gli obiettivi della programmazione del controllo I diversi livelli della programmazione La programmazione di un compito di controllo La programmazione di un compito di controllo - Il lavoro da svolgere nella fase di preprogrammazione Contenuto tipico di un piano di controllo 1 2 3 4 Allegato 1 Appendice 1 Appendice 2 -------------------- 1. Riferimento alle norme di controllo dell’INTOSAI 1.1. Il paragrafo 132 delle norme di controllo dell'INTOSAI stabilisce quanto segue: "Il controllore deve programmare il controllo in modo da garantire l'espletamento di un controllo di qualità elevata in modo economico, efficiente, efficace e tempestivo." -8- 2. I vantaggi e gli obiettivi della programmazione del controllo 2.1. La programmazione presenta tre caratteristiche utili per le Istituzioni superiori di controllo (ISC): (a) la razionalità: l'applicazione ed i risultati della programmazione agevolano una valutazione coerente dei compiti delle ISC e la definizione di obiettivi chiari; (b) l'inquadramento cronologico: i compiti da assolvere sono organizzati in un quadro cronologico, che consente di avere una visione più chiara delle priorità; (c) il coordinamento: il coordinamento delle politiche di controllo delle ISC e del lavoro di controllo effettivo. 2.2. La programmazione del controllo si prefigge i seguenti obiettivi: (a) definire secondo quali modalità saranno assolti gli obblighi dettati dalla normativa e rispettate altre priorità del controllo; (b) individuare la portata, gli obiettivi e i risultati attesi dai controlli; (c) definire il modo in cui saranno reperiti ed analizzati gli elementi probatori relativi al controllo, necessari per conseguire gli obiettivi; (d) individuare le risorse che risulteranno necessarie e che saranno effettivamente impiegate per i controlli ed elaborare previsioni in termini di costo e di tempo; (e) consentire ai responsabili della gestione di esercitare una supervisione ed un controllo sui singoli controlli, nonché sull'ISC nel suo complesso. 3. I diversi livelli della programmazione 3.1. Di solito le richieste e le aspettative riposte nelle ISC superano le risorse disponibili. Per questo motivo molte ISC hanno istituito strutture di programmazione gerarchiche, grazie alle quali i programmi dei singoli compiti di controllo nel tempo vengono aggregati per ottenere un quadro globale a lungo termine. Il presente criterio-guida verte principalmente sulla programmazione dei compiti di controllo. Tuttavia, è importante che il singolo controllore sia consapevole del fatto che l'inosservanza delle previsioni e il mancato conseguimento degli obiettivi in relazione ad un dato compito di controllo, incidono non solo sul compito in causa, ma anche sulle altre attività dell'ISC. Viceversa, quando è possibile assolvere i compiti di controllo rispettando la qualità auspicata, ad un minor costo rispetto a quello di previsione e prima del termine previsto (ad esempio, grazie a miglioramenti sotto il profilo dell'efficienza), ne consegue una maggiore capacità dell'ISC di soddisfare le altre richieste e le aspettative in essa riposte. 4. La programmazione di un compito di controllo 4.1. Per compito di controllo si intende un lavoro di controllo a sé stante e circoscrivibile, che di norma si conclude con la stesura, da parte della ISC, di un parere, di una dichiarazione, di una relazione o con un contributo distinto alla relazione annuale delle ISC. Usualmente un compito di controllo è caratterizzato da obiettivi chiaramente definiti e verterà su un'unica attività o su un gruppo chiaramente individuabile di attività, programmi o organismi (l'"organismo controllato"). Gli obiettivi possono consistere in un audit -9- finanziario, in un controllo di legittimità e di regolarità o di gestione, oppure in una combinazione di questi. 4.2. Nell'ALLEGATO 1 figurano ulteriori indicazioni orientative utili per la programmazione di un compito di controllo. 4.3. Per conseguire miglioramenti sotto il profilo dell'economia, dell'efficienza e dell'efficacia, è indispensabile che l'ISC valuti - per ciascun compito di controllo - il proprio rendimento rispetto agli obiettivi ed al programma di controllo, e che ne tragga eventuali insegnamenti. Di norma rientrerà nelle funzioni degli amministratori competenti svolgere tale disamina e comunicarne i risultati ai dirigenti interessati. Alcune ISC hanno dato maggior peso a questa funzione elaborando forme di controllo indipendenti, che attengono alla garanzia della qualità oppure al controllo interno (cfr. il criterio-guida n. 51 "Garanzia della qualità"). - 10 - Allegato 1, pagina 1 ALLEGATO 1: LA PROGRAMMAZIONE DI UN COMPITO DI CONTROLLO 1. A prescindere dagli obiettivi, un compito di controllo di norma comprende le seguenti fasi: (a) . . . . Fase preliminare: raccolta ed analisi iniziale delle informazioni; valutazione preliminare dei sistemi e dei controlli; definizione circostanziata degli obiettivi del controllo; stima iniziale del fabbisogno in termini di risorse e predisposizione di un calendario. (b) . . . . Fase della programmazione: elaborazione ed esame del piano di controllo; collegamento con l'organismo oggetto del controllo; predisposizione dei programmi di controllo; approvazione del piano. (c) . . . Fase del lavoro sul campo: raccolta e valutazione degli elementi probatori ai fini del controllo; stesura delle prime conclusioni; esame intermedio; individuazione ed approvazione di eventuali cambiamenti da apportare al piano di controllo. (d) . . . Fase della stesura della relazione: progetto ed esame di conclusioni, pareri, raccomandazioni e/o relazioni ("risultati"); esame, approvazione e pubblicazione dei risultati; raffronto interno delle risorse impiegate con quelle assegnate in conformità del piano di controllo; valutazione del rendimento del personale che ha espletato il controllo. . (e) Fase successiva alla stesura della relazione: . monitoraggio dell'impatto del controllo. Le fasi descritte non sono necessariamente distinte e possono sovrapporsi in una certa misura. 2. L'efficacia di un piano di controllo dipende dal lavoro svolto nella fase di preprogrammazione. L'appendice 1 del presente allegato fornisce ulteriori informazioni in materia. 3. Il piano relativo al compito di controllo rappresenta, di fatto, la relazione attinente alla fase preliminare. Inoltre, questo documento consente ai dirigenti interessati dell'ISC di esaminare il lavoro di preprogrammazione, di approvare i criteri metodologici, le previsioni ed il calendario del controllo, nonché di stanziare le risorse necessarie. Esso costituisce altresì la base su cui gli amministratori competenti dell'ISC si fondano per verificare lo svolgimento del controllo e procedere ad una valutazione a posteriori del suo espletamento. Infine, il piano del compito di controllo si inserisce nel complesso dei piani - 11 - Allegato 1, pagina 2 che globalmente costituisce la programmazione e contribuisce alla gestione globale e a lungo termine delle risorse dell'Istituzione. 4. Il piano relativo al compito di controllo è un documento chiave. Deve essere predisposto tempestivamente e contenere tutte le informazioni necessarie, pur rimanendo chiaro e conciso. Non è possibile prefigurare il contenuto esatto di un piano del tipo suddetto, ma alcune caratteristiche sono comuni alla maggior parte di essi e sono descritte sinteticamente nell'appendice 2 del presente allegato. 5. La programmazione del controllo è un processo dinamico. Per conseguire gli obiettivi del controllo, può risultare necessario apportare modifiche al piano originario man mano che il controllo procede. Le ISC dovrebbero porre in essere una procedura per l'esame e l'approvazione di tali modifiche. - 12 - Allegato 1, Appendice 1, pagina 1 ALLEGATO 1: LA PROGRAMMAZIONE DI UN COMPITO DI CONTROLLO Appendice 1: IL LAVORO PREPROGRAMMAZIONE DA SVOLGERE NELLA FASE DI Spesso, molte informazioni necessarie nella fase preliminare sono disponibili presso l'ISC (ad esempio, nei fascicoli correnti degli anni precedenti o nei fascicoli permanenti). In questi casi il lavoro della fase di preprogrammazione comporta l'aggiornamento di queste informazioni, tenendo conto di eventuali cambiamenti di rilievo. Il testo schematico che segue illustra il lavoro che di solito occorre svolgere nella fase di preprogrammazione: 1. Conoscenza dell'organismo controllato 1.1. Il controllore deve individuare gli aspetti rilevanti dell'ambito in cui opera l'organismo controllato. Deve, pertanto, prendere in considerazione i seguenti fattori: . . compiti dell'organismo; input risorse e finanziamenti; quadro normativo; personale (quantità e qualità); . output - portata e validità dei risultati conseguiti in funzione dei compiti dell'organismo; esigenze e vincoli in termini di tempo; quadro normativo; natura del "mercato" in cui l'organismo opera; confronti nazionali ed internazionali; relazioni statutarie e non statutarie; considerazioni sugli aspetti geografici e le comunicazioni. 1.2. Il controllore deve pervenire a conoscere le modalità secondo cui l'organismo controllato opera nel proprio ambito. Ed in particolare: . organizzazione - organigramma e funzioni; principali sistemi e controlli di gestione; principali sistemi e controlli finanziari. 1.3. Per riuscire a conoscere l'organismo controllato e l'ambito in cui opera, il controllore spesso ricorrerà anche alle tecniche di esame analitiche (cfr. il criterio-guida n. 24 “Le procedure analitiche”), per analizzare, confrontare e valutare i dati pertinenti a disposizione. - 13 - Allegato 1, Appendice 1, pagina 2 2. L'influenza dell'organismo controllato sul controllo 2.1. Il controllore deve stabilire in che modo le operazioni e l'ambito relativi all'organismo controllato possono incidere sul controllo. In particolare: . quali sono i rischi intrinseci (cfr. il criterio-guida n. 12 “Rilevanza e rischi di controllo”), cioè insiti nelle attività in causa e che derivano dall'organizzazione e dall'ambito specifici dell'organismo? . . Quali sono i rischi intrinseci generalmente connessi al tipo di organismo in causa? Quali controlli sono stati previsti dalla direzione dell'organismo per premunirsi contro tali rischi e con quale grado di probabilità saranno efficaci? In particolare, nel contesto europeo, quali fattori speciali sono presenti e quale incidenza potranno avere sul controllo? . Per rispondere ai quesiti suddetti, occorre una valutazione preliminare dei sistemi e dei controlli chiave (cfr. il criterio-guida n. 21 "Valutazione del controllo interno e test sul controllo"). 3. L'ambito interessato dal controllo e gli obiettivi del controllo 3.1. Il controllore deve considerare la forma, il contenuto e gli utenti dei risultati del controllo. Deve quindi specificare gli obiettivi del controllo (questi devono essere ben circostanziati, specie nel caso dei controlli di gestione, poiché ciò consente al controllore di definire i criteri in base ai quali stimerà e valuterà gli elementi probatori reperiti). 3.2. Una definizione chiara degli obiettivi del controllo sarà di ausilio al controllore nello stabilire la rilevanza degli aspetti da considerare (cfr. il criterio-guida n. 12 "Rilevanza e rischi di controllo"). 4. Elementi probatori ai fini del controllo 4.1. Il controllore deve determinare con precisione gli elementi probatori necessari per conseguire gli obiettivi del controllo. Saranno considerati i seguenti aspetti: . . . (1) l'adeguatezza degli elementi probatori: - sufficienza; - attendibilità; la pertinenza degli elementi probatori; la ragionevolezza degli elementi probatori(1). Secondo la definizione data dal glossario delle norme di controllo dell'INTOSAI, sono elementi probatori ragionevoli "informazioni ottenute rispettando il criterio dell'economicità, nel senso che il costo per il loro reperimento è proporzionato al risultato che il controllore o l'ISC si prefigge di conseguire". - 14 - Allegato 1, Appendice 1, pagina 3 4.2. Applicando questa procedura, il controllore può stabilire: . . . il metodo di controllo da adottare; le fonti da cui attingere gli elementi probatori e le tecniche da applicare per ottenerli; le verifiche necessarie e la loro portata. 4.3. Per ulteriori indicazioni orientative al riguardo, cfr. il criterio-guida n. 13 "Elementi probatori e metodo di controllo". 5. Risorse ai fini del controllo 5.1. Dopo aver definito la natura, il tipo, la quantità, le fonti e le tecniche per ottenere gli elementi probatori, il controllore è in grado di valutare le risorse necessarie per raccogliere ed analizzare gli elementi suddetti, base dei risultati del controllo. In questa fase si considerano i seguenti parametri: . . . . . 6. le qualifiche necessarie per espletare il controllo in causa e quindi il personale a cui affidarlo; le qualifiche specifiche interne (controllo informatico); il possibile ricorso ad esperti esterni, al controllore interno dell'organismo, ad altri controllori (cfr. il criterio-guida n. 25 “L’uso dei lavori di altri controllori ed esperti”); l'ubicazione geografica degli elementi probatori, il grado di accessibilità (problemi potenziali pertinenti), nonché i costi in gioco; il calendario del controllo. Documentazione 6.1. Il controllore deve documentare con cura i risultati del lavoro di preprogrammazione. Le conclusioni chiave da esso tratte costituiscono la base del piano di controllo; questa documentazione, inoltre, deve essere messa a disposizione dei responsabili della supervisione e dell'approvazione del piano. 7. Scambio di vedute con l'organismo controllato 7.1. A seconda della politica e della prassi seguite dall'ISC, quest'ultima può ritenere utile discutere i risultati dei lavori di preprogrammazione sopra trattati con l'organismo controllato. - 15 - Allegato 1, Appendice 2, pagina 1 ALLEGATO 1: LA PROGRAMMAZIONE DI UN COMPITO DI CONTROLLO Appendice 2: CONTENUTO TIPICO DI UN PIANO DI CONTROLLO 1. Quadro normativo in cui si iscrive il controllo. 2. Breve descrizione dell'attività, del programma o dell'organismo oggetto del controllo (corredata di una sintesi dei risultati dei controlli precedenti e del loro impatto). 3. Le motivazioni del controllo. 4. I fattori che incidono sul controllo, ivi compresi quelli che determinano la rilevanza degli aspetti da considerare. 5. Valutazione dei rischi. 6. Obiettivi del controllo. 7. Portata del controllo e metodo: quali elementi probatori devono essere acquisiti per conseguire gli obiettivi del controllo, dove, quando, come? . . . . . . 8. soglie di rilevanza; sistemi da valutare e sottoporre a test; strategie di campionamento; dimensioni previste dei campioni; ricorso ad altri controllori/esperti; previsione di eventuali problemi particolari. Risorse necessarie in funzione di ogni fase: . . . . . personale addetto al controllo (descrizione precisa), funzioni; personale specializzato (quale ed in quali settori); esperti esterni; spostamenti necessari; previsioni in termini di tempo e di costo. 9. Nei casi opportuni, stima dell'onorario da addebitare per l'espletamento del controllo. 10. Informazioni sugli agenti di collegamento presso l'organismo controllato. 11. Calendario del controllo e data alla quale il progetto di relazione sarà disponibile per essere esaminato a livello interno. 12. Forma, contenuto e utenti dei risultati finali. - 16 - CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 12 RILEVANZA E RISCHI DI CONTROLLO INDICE Paragrafi Norme di controllo dell'INTOSAI Rilevanza e rischi di controllo 1 2 Rilevanza Rischi di controllo Allegato 1 Allegato 2 -------------------- 1. Riferimento alle norme di controllo dell’INTOSAI 1.1 La spiegazione delle norme di controllo dell'INTOSAI (paragrafo 9) stabilisce quanto segue: "In generale, un elemento può essere giudicato rilevante quando la sua conoscenza potrebbe influenzare l'utilizzatore dei consuntivi finanziari o la stesura di una relazione sul controllo di gestione". Nell'ambito di un controllo finanziario, l'obiettivo del controllore consiste, in genere, nello stimare il livello globale di errore, di dichiarazioni non corrette o di irregolarità, e, qualora sia ritenuto rilevante, segnalarlo all'utilizzatore dei consuntivi finanziari. 2. Validità e rischi di controllo 2.1. Il paragrafo 152 delle norme di controllo dell’INTOSAI indica che: "Per avvalorare il giudizio e le conclusioni del controllore, si devono reperire elementi probatori adeguati, pertinenti e ad un costo ragionevole..." 2.2. Il controllore deve pertanto ottenere una ragionevole certezza che i consuntivi finanziari esaminati non contengano errori rilevanti. - 17 - 2.3. L'opposto di tale garanzia è costituito dal rischio di controllo, il rischio cioè che il controllore approdi alla conclusione errata riguardo ai consuntivi finanziari in esame, ovvero che non esprima una riserva su consuntivi finanziari che contengono, di fatto, errori significativi. 2.4. Il paragrafo 132 delle norme di controllo dell'INTOSAI stabilisce quanto segue: "Il controllore deve programmare il controllo in modo da garantire l'espletamento di un controllo di qualità elevata in modo economico, efficiente, efficace e al momento opportuno." 2.5. Pertanto, nel programmare il controllo, il controllore deve formulare un giudizio riguardo al livello globale di errori o di dichiarazioni errate suscettibile di influenzare gli utilizzatori dei consuntivi finanziari (la soglia di validità)(1). Il controllore deve inoltre garantire che il rischio di controllo assunto non comprometta la qualità del controllo. 2.6. Le decisioni riguardanti la soglia di validità e il rischio di controllo accettabile avranno entrambe ripercussioni sulla mole di lavoro da compiere e quindi sull'economia, sull'efficienza e sull'efficacia del controllo. 2.7. L'ALLEGATO 1 fornisce ulteriori orientamenti in materia di validità, mentre l'ALLEGATO 2 spiega il significato del rischio di controllo nella programmazione e nell'espletamento di un controllo. (1) La soglia di validità è spesso indicata come limite di validità o livello di validità. Il termine "soglia" è preferibile in questo contesto poiché designa meglio la funzione di valore in concomitanza del quale il controllore deve formulare un giudizio in merito alla linea di azione più appropriata. - 18 - Allegato 1, pagina 1 ALLEGATO 1 - RILEVANZA 1. Introduzione 1.1. Nell'espletare un controllo finanziario, l'obiettivo del controllore consiste solitamente nell'ottenere una ragionevole certezza che i consuntivi finanziari siano corretti e sufficientemente completi ai fini di coloro che li utilizzano, cioè, nel settore pubblico, delle autorità di bilancio nell'ambito della procedura di discarico. Così facendo, il controllore intende garantire che i consuntivi finanziari non contengano errori significativi. 1.2. Eventuali errori o irregolarità dei consuntivi finanziari possono, nel complesso, essere considerati rilevanti a fini di controllo (cioè significativi) quando gli utilizzatori di tali consuntivi, cui gli errori in questione sono stati segnalati, ne verranno probabilmente influenzati. Il controllore deve decidere qual è il livello massimo tollerabile di inesattezza che consente di accettare i consuntivi finanziari. Tale livello può essere indicato come "soglia di validità". A parità di altri elementi, più la soglia è elevata, più diminuisce il numero delle verifiche di controllo necessarie. 1.3. La soglia di validità per l'esame dei consuntivi finanziari può essere determinata direttamente, stabilendo un importo assoluto di denaro, o indirettamente, ricorrendo ad una percentuale per calcolare tale importo (ad esempio X% della spesa lorda). Oltre a questo concetto di validità in termini di valore , vi sono circostanze in cui talune categorie di conti o di operazioni possono essere considerate rilevanti in virtù della loro natura (nel qual caso la pubblicazione è particolarmente importante) o valide in virtù del contesto (ad esempio, laddove un errore, altrimenti troppo irrilevante per essere significativo, trasforma un deficit in un'eccedenza). Benché il controllore debba essere vigile riguardo a possibili casi di rilevanza determinata dalla natura o dal contesto, questi verranno in genere trattati come casi speciali nell'ambito della strategia di controllo. [Data la loro specificità è difficile stabilire norme generali]. 2. Utilizzazione della soglia di rilevanza 2.1. In fase di programmazione, la soglia di rilevanza aiuta a determinare la portata delle verifiche necessarie per reperire elementi probatori di controllo adeguati. Nella fase di stesura di una relazione, tale soglia viene utilizzata per valutare l'importanza di errori ed irregolarità non coperti dal controllo, e aiuta a determinare se il controllore esprima o meno delle riserve sui consuntivi finanziari. 3. Definizione della soglia di rilevanza 3.1. Nel definire una soglia di rilevanza globale adeguata, il controllore della pubblica amministrazione deve considerare il proprio mandato particolare nonché il fatto che gli utilizzatori dei conti pubblici sono in genere molto attenti alla questione della legittimità e della regolarità. Le soglie di rilevanza per i compiti di controllotendono ad essere prudenti (basse) a causa dell'interesse particolare della pubblica amministrazione per l'esame della legittimità e della regolarità. Una soglia di rilevanza adeguata potrebbe situarsi, ad esempio, tra lo 0,5% e il 2% del valore che riflette meglio il livello di attività - 19 - Allegato 1, pagina 2 finanziaria di un organismo o un dato tema di controllo. Questa cifra di base corrisponderà nella maggior parte di casi alle entrate totali o alla spesa totale (in determinate circostanze, tuttavia, può trattarsi di un altro importo, come il patrimonio totale o il totale dei prestiti assunti - nel qual caso può essere appropriato un margine percentuale diverso). 3.2. La fissazione di una soglia di rilevanza, che si tratti di un importo specifico di denaro o di una percentuale, è una questione di valutazione per il controllore e quindi, ai fini di un approccio coerente, un'importante questione di politica per l'ISC. L'elemento principale da prendere in considerazione è la delicatezza, da un punto di vista politico, dell'area interessata dai consuntivi finanziari. È possibile che una soglia di rilevanza globale applicabile ad una serie completa di consuntivi finanziari o ad un'ampia sfera di controllo debba essere accompagnata da soglie di rilevanza specifiche per campi o questioni più delicati sotto il profilo politico. 4. Considerazioni tecniche 4.1. La soglia di rilevanza dovrebbe essere stabilita al livello più alto di errore che gli utilizzatori potrebbero ritenere accettabile. 4.2. La soglia di rilevanza dovrebbe pertanto tener conto dei requisiti delle autorità di bilancio e dell'interesse pubblico in generale. 4.3. In circostanze eccezionali, l'utilizzatore può giudicare più delicata una data parte di un consuntivo finanziario o di un'area di controllo. In questi casi, il controllore deve valutare se sia più indicato stabilire una soglia di rilevanza meno elevata e controllare separatamente la parte in questione, oppure intraprendere la verifica degli elementi chiave. 4.4. Può essere necessario rivedere la soglia di rilevanza prestabilita per un controllo a causa della mutata sensibilità politica, o perché il valore globale dei consuntivi finanziari differisce in modo significativo dal valore stimato nel definire la soglia di rilevanza in fase di programmazione. Il controllore deve essere ben consapevole della necessità di tale revisione. 4.5. Di norma, la determinazione di soglie di rilevanza è una questione che rientra nella politica dell'ISC, o per quanto riguarda il modo preciso in cui viene stabilita ed approvata la soglia come elemento di base nella programmazione del controllo, o per uanto concerne l'importo effettivo della soglia per un controllo particolare. 4.6. La soglia di rilevanza è utilizzata per valutare l'importanza dell'impatto di errori non considerati dal controllo, stimando in base ai risultati di quest'ultimo il probabile errore globale nei consuntivi finanziari e confrontandolo con la soglia di rilevanza. 4.7. Se la stima dell'errore globale supera la soglia di rilevanza, il controllore dovrebbe riesaminare attentamente tutti gli elementi probanti in suo possesso, compreso il margine di errore possibile nelle procedure statistiche di stima e nelle estrapolazioni, al fine di poter esprimere delle riserve sui consuntivi finanziari oggetto del controllo. - 20 - Allegato 1, pagina 3 4.8. Dal momento che i giudizi del controllore in merito alle soglie di rilevanza, sia prima che durante il controllo, sono fondamentali per il suo espletamento e per l'interpretazione finale dei risultati, essi dovrebbero essere accuratamente giustificati nei documenti di lavoro e sottoposti all'esame attento e all'approvazione dei responsabili dell'attività di controllo. - 21 - Allegato 2, pagina 1 ALLEGATO 2 - RISCHI DI CONTROLLO 1. Introduzione 1.1. Per rischio di controllo (audit risk - AR) si intende il rischio che il controllore non esprima una riserva su consuntivi finanziari che presentano irregolarità o errori rilevanti. Dato che è quasi sempre inattuabile ricostrure tutte le operazioni alla base di una serie di consuntivi finanziari, il controllore deve accettare un certo livello di rischio di controllo. Spetta all'ISC determinare, in quanto parte della propria politica, tale livello. Date le attese degli utilizzatori dei consuntivi finanziari prodotti da organismi pubblici, specie in materia di legittimità e regolarità, le ISC solitamente accettano solo livelli di rischio di controllo molto bassi - pari spesso ad appena l'1%. 1.2. Il rischio di controllo presenta tre componenti: il rischio intrinseco (inherent risk - IR): il rischio, in primo luogo, che si verifichino irregolarità o errori rilevanti; il rischio di controllo interno (control risk - CR): il rischio che i controlli interni nell'ambito dell'organismo controllato non riescano ad impedire o individuare una irregolarità o un errore significativo; il rischio di non individuazione (detect risk - DR): il rischio che una qualsiasi irregolarità o errore rilevante, non corretto nel corso di controlli interni all'organizzazione, non venga individuato dal controllore. 1.3. Il rischio intrinseco e il rischio di controllo interno differiscono dal rischio di non individuazione in quanto si producono nell'ambito dell'organismo controllato. Il rischio di non individuazione, d'altro canto, dipende dal controllore ed è connesso alla natura, alla portata e al ritmo delle procedure applicate dal controllore. È attraverso il controllo di questi fattori determinanti del rischio di non individuazione che il controllore può cercare di raggiungere un livello di rischio del controllo accettabilmente basso. 1.4. Il controllore deve valutare i rischi intrinseci e di controllo interno e, sulla base di queste stime, delineare procedure di convalida appropriate per ridurre il rischio di non individuazione ad un livello che, a suo giudizio, corrisponda ad un livello adeguatamente basso di rischio globale di controllo. 1.5. Esiste un rapporto tra la valutazione da parte del controllore del rischio intrinseco e di controllo interno, da un lato, e il livello accettabile del rischio di non individuazione dall'altro. Più alto è il livello di rischio intrinseco e/o di controllo interno stimato dal controllore, più aumenta il lavoro di controllo da compiere per abbassare il livello di rischio di non individuazione affinché sia raggiunto il livello auspicato di rischio di controllo. - 22 - Allegato 2, pagina 2 2. Il rischio intrinseco 2.1. Il rischio intrinseco dipende dalla natura dell'elemento e dell'organismo su cui verte il controllo, nonché dalla misura in cui l'elemento in questione si presta all'errore. Per valutare il rischio intrinseco il controllore deve compiere una valutazione dell'ambito in cui opera l'organizzazione e delle caratteristiche degli elementi sottoposti al controllo. 2.2. Di norma la valutazione del rischio, compreso il rischio intrinseco ha luogo, nella fase preliminare del controllo. Benché tale stima debba essere compiuta in modo sufficientemente approfondito per poter giungere a conclusioni ponderate, non ne deve necessariamente risultare un lungo processo. Laddove l'ISC espleta controlli annuali dell'organismo interessato, una valutazione approfondita potrebbe essere eseguita, ad esempio, ogni tre anni, mentre negli anni che intercorrono potrebbe aver luogo un breve aggiornamento. Il controllore dovrebbe sempre tener conto degli insegnamenti tratti dai controlli svolti in passato. 2.3. L'obiettivo di questa valutazione preliminare del rischio è di consentire al controllore di tracciare un primo quadro dell'organismo e degli elementi su cui verte il controllo, in modo da facilitare il processo di programmazione. Tale procedura si distingue dalla valutazione approfondita dei controlli interni che diviene necessaria quando vengono intrapresi test sul controllo nell'ambito del metodo globale di controllo. 3. Rischio di controllo interno 3.1. Il rischio di controllo interno viene stimato mediante una valutazione approfondita dei rispettivi sistemi di controllo interno e intraprendendo verifiche di conformità. Ulteriori indicazioni orientative in materia sono fornite nel criterio-guida n. 21 "Valutazione del controllo interno e test sul controllo ". 3.2. La valutazione iniziale del rischio (cfr. i paragrafi 2.2 e 2.3) consente inoltre di formulare un giudizio preliminare sulla qualità generale dell'ambito interessato dal controllo. Laddove è probabile che il rischio di controllo interno sia elevato, la sicurezza che il controllore può ottenere dai test sul controllo intesi a valutare l'efficacia dei controlli interni sarà bassa. Il controllore può allora decidere che è più economico ottenere da altre fonti la certezza ragionevole di cui necessita (e quindi aumentare il numero di verifiche di convalida intraprese). 4. Il rischio di non individuazione 4.1. Più aumentano le verifiche di convalida compiute dal controllore, maggiore è la probabilità che egli rilevi errori rilevanti o irregolarità nei consuntivi finanziari esaminati: pertanto il rischio di non individuazione sarà minore. È determinando il numero adeguato di verifiche di convalida che il controllore cerca di ridurre il rischio di non individuazione ad un livello tale da contenere il rischio globale del controllo nel minimo stabilito dalla ISC. 4.2. L'opposto del rischio di non individuazione è il livello di attendibilità che il controllore ottiene mediante tutte le verifiche di convalida intraprese: queste comprendono la verifica - 23 - Allegato 2, pagina 3 dell'elemento chiave di elementi ad alto rischio o di elementi validi per natura, la verifica di elementi di valore elevato, la verifica per campionamento di altri elementi e, in talune circostanze, procedure di controllo analitico. 5. Modello matematico 5.1. Nell'appendice a questo allegato figura un modello di rischio di controllo. - 24 - Allegato 2, Appendice Il rischio di controllo: illustrazione del modello matematico AR = IR x CR x DR DR = AR/(IR x CR) Il controllore compie una valutazione iniziale del rischio intrinseco e lo giudica basso. Egli pertanto attribuisce a tale rischio un valore del 20%, conformemente all'orientamento emanato dalla sua ISC. La valutazione approfondita dei sistemi e dei test sul controllo rivela che un sistema di controlli ragionevole è stato istituito ed opera efficacemente, senza eccezioni. Sempre in linea con la politica della ISC di appartenenza, il controllore ritiene i sistemi "medi" e valuta il rischio di controllo pari al 40%. La politica della ISC cui appartiene è di accettare un rischio di controllo massimo dell'1%. Il controllore è quindi in grado di calcolare, nel modo seguente, la certezza ragionevole (o livello di attendibilità) richiesta per le verifiche di convalida: AR = 1% = 0,01 IR = 20% = 0,20 CR = 40% 0 0,40 DR = 0,01/(0,2 x 0,4) = 0,125 Essendo l'attendibilità l'opposto del rischio di non individuazione, il grado di attendibilità richiesto dalla verifica di convalida è il seguente: 1,0 - 0,125 = 0,875 = 87,5% - 25 - CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 13 ELEMENTI PROBATORI E METODO DI CONTROLLO INDICE Paragrafi Norma di controllo dell'INTOSAI Elementi probatori: adeguatezza Elementi probatori: pertinenza Elementi probatori: costo ragionevole Sintesi e ripercussioni sull'espletamento del controllo Attendibilità degli elementi probatori - fonti, tecniche e natura Metodo di controllo 1 2 3 4 5 Allegato 1 Allegato 2 -------------------- 1. Riferimento alle norme di controllo dell’INTOSAI 1.1 Il paragrafo 152 delle norme di controllo dell'INTOSAI stabilisce quanto segue: "Per avvalorare il giudizio e le conclusioni del controllore sull'organizzazione, sul programma, sull'attività o sulla funzione oggetto del controllo, si devono reperire elementi probatori adeguati, pertinenti e ad un costo ragionevole". 2. Elementi probatori: adeguatezza 2.1. Per elementi probatori adeguati si intendono informazioni sufficienti, dal punto di vista quantitativo, per conseguire i risultati del controllo e che, sotto il profilo qualitativo, presentino un tale grado di obiettività da farle ritenere affidabili e attendibili. 2.2. Si ottengono elementi probatori sufficienti se la portata dei test (sia di conformità, sia di convalida, laddove necessario) è adeguata. Ulteriori criteri orientativi al riguardo sono trattati nei criteri-guida qui di seguito indicati: - 26 - - Rilevanza e rischi di controllo (n. 12); Valutazione del controllo interno e test sul controllo (n. 21); Il campionamento a fini di controllo (n. 23); Le procedure analitiche (n. 24). 2.3. Gli elementi probatori attendibili di un controllo sono elementi probatori imparziali. L'attendibilità degli elementi probatori dipende dalla loro natura, dalle fonti e dalle tecniche applicate per ottenerli. Spesso il controllore deve scegliere tra forme di elementi probatori, fonti e tecniche alternative: la loro attendibilità relativa è trattata più avanti nell'ALLEGATO 1; il controllore deve utilizzare le fonti e le tecniche più attendibili, compatibilmente con i limiti, in termini di tempo e di costo, imposti al controllo. 3. Elementi probatori: pertinenza 3.1. Costituiscono elementi probatori pertinenti le informazioni inerenti agli obiettivi del controllo. 3.2. Per garantire la pertinenza degli elementi probatori, è necessario definire in modo chiaro gli obiettivi del controllo nella fase della programmazione; per ulteriori indicazioni il controllore può fare riferimento al criterio-guida n. 11 "Programmazione del controllo". 3.3. Dopo aver definito chiaramente gli obiettivi del controllo, il controllore, alla luce del problema della pertinenza (unito a quello del costo ragionevole - cfr. i paragrafi seguenti), deve riflettere sul metodo di controllo da adottare. Nell'ALLEGATO 2 sono fornite ulteriori indicazioni orientative sul metodo di controllo. 4. Elementi probatori: costo ragionevole 4.1. Sono elementi probatori ragionevoli sotto il profilo dei costi le informazioni ottenute rispettando il criterio dell'economicità; quelle informazioni cioè il cui costo di reperimento sia proporzionato al risultato che il controllore o l'Istituzione superiore di controllo (ISC) si propongono di conseguire. 4.2. Per esser certo di ottenere elementi probatori sufficienti, pertinenti ed attendibili - onde raggiungere gli obiettivi del controllo al minor costo possibile - il controllore deve valutare, nella fase iniziale del controllo, i vari metodi di controllo alternativi (Allegato 2) e giudicare quale di essi consentirà di raggiungere i risultati auspicati nel modo più economico. 5. Sintesi e ripercussioni sull'espletamento del controllo 5.1. Tenendo presenti i criteri dell'adeguatezza (sufficienza ed attendibilità), della pertinenza e della ragionevolezza dei costi in riferimento agli elementi probatori da raccogliere, il controllore può stabilire più agevolmente, in sede di programmazione, i seguenti elementi chiave di qualsiasi controllo: - sufficienza: attendibilità: pertinenza: tipo e portata dei test di controllo; fonti degli elementi probatori e tecniche utilizzate per ottenerli; obiettivi del controllo; - 27 - - pertinenza - costo ragionevole ) ) metodo di controllo ) 5.2. Nella fase della programmazione, è compito del supervisore/amministratore verificare che le valutazioni del controllore in sede di elaborazione del piano siano ben fondate e che il piano costituisca la base per ottenere elementi probatori adeguati, pertinenti e ragionevoli sotto il profilo dei costi, rispondenti agli obiettivi del controllo. 5.3. Nelle fasi finali del controllo, è compito del supervisore/amministratore verificare che il piano di controllo sia stato realizzato, nel senso che sono stati ottenuti elementi probatori adeguati, pertinenti e ragionevoli sotto il profilo dei costi, che le conclusioni del controllo sono convalidate da detti elementi e che le relazioni finali rispecchiano tali conclusioni (cfr. il criterio-guida n. 31 “Stesura delle relazioni”). - 28 - Allegato 1, pagina 1 ALLEGATO 1: ATTENDIBILITÀ DEGLI ELEMENTI PROBATORI - FONTI, TECNICHE E NATURA A. FONTI DI ELEMENTI PROBATORI Gli elementi probatori possono essere prodotti direttamente dal controllore ovvero forniti da terzi o dall'organismo controllato. In generale, gli elementi probatori prodotti direttamente dal controllore sono più attendibili di quelli ottenuti da altri. Talvolta gli elementi probatori provenienti da terzi sono più attendibili di quelli forniti dall'organismo controllato, se i primi sono veramente obiettivi e completi. Il controllore può raggiungere un più elevato livello di sicurezza quando gli elementi probatori ottenuti da fonti diverse sono coerenti. B. TECNICHE PER OTTENERE GLI ELEMENTI PROBATORI Si possono ottenere elementi probatori applicando una o più delle seguenti tecniche: - Ispezione di documenti o beni patrimoniali. Osservazione di processi o procedure. Indagine e conferma. Calcoli. Analisi dei consuntivi finanziari e delle interdipendenze o raffronti tra informazioni pertinenti. Il controllore deve valutare quale tecnica per ottenere gli elementi probatori offra adeguate garanzie di attendibilità e ponderare l'affidabilità degli stessi rispetto al costo per ottenerli. C. NATURA DEGLI ELEMENTI PROBATORI Gli elementi probatori possono essere documentali, ispezionabili o verbali. L'attendibilità degli elementi documentali dipende dalla fonte (v. sopra). Gli elementi probatori ispezionabili sono estremamente attendibili per confermare l'esistenza di un patrimonio, ma non per confermarne la proprietà o il valore. Gli elementi probatori verbali devono essere ritenuti i meno attendibili. Ogniqualvolta sia fattibile, i controllori devono cercare di ottenere una conferma documentale degli elementi probatori verbali (ad esempio, registrazioni scritte approvate di colloqui). Se ciò risulta impossibile, gli elementi probatori verbali possono essere convalidati interrogando separatamente più persone. - 29 - Allegato 2, pagina 1 ALLEGATO 2: METODO DI CONTROLLO 1. Introduzione 1.1. Il metodo di controllo consiste nella combinazione di vari tipi di test di controllo, utilizzati per ottenere gli elementi probatori necessari per conseguire gli obiettivi di un dato controllo. 2. Obiettivi del controllo 2.1. In linea generale, gli obiettivi del controllo sono i seguenti: (a) (b) per l'audit finanziario: - valutare l'esattezza e la completezza dei consuntivi finanziari relativi all'attività, programma od organismo oggetto del controllo; e/o - accertare la legittimità e la regolarità delle transazioni riportate nei consuntivi finanziari. per i controlli di gestione: - valutare se la gestione dell'attività, programma od organismo sia stata improntata ad economicità e/o efficienza e/o efficacia. 2.2. Le norme dell'INTOSAI si applicano allo stesso modo sia per i controlli di gestione, sia per l'audit finanziario. Il controllore deve comunque cercare di ottenere elementi probatori adeguati, pertinenti e ragionevoli sotto il profilo dei costi. Analogamente, in genere è possibile adottare tanto il metodo basato sull'analisi dei sistemi, quanto quello fondato sulle verifiche di convalida dirette; tuttavia, data la diversità degli obiettivi, un controllo di gestione può richiedere lo studio di sistemi diversi da quelli esaminati nel contesto di un audit finanziario (cfr. infra il paragrafo 6). 3. Il metodo basato sull'analisi dei sistemi (MBAS) 3.1. Gli organismi sottoposti al controllo delle Istituzioni superiori di controllo (ISC) di norma pongono in essere sistemi di controllo idonei ad accertare l'esattezza e la completezza dei consuntivi finanziari, la legittimità e la regolarità delle transazioni in essi riportate, nonché l'economicità, l'efficienza e l'efficacia delle operazioni. In generale, se il controllore è persuaso dell'adeguatezza di questi controlli, egli può ridurre il numero delle verifiche di convalida sui consuntivi finanziari, sulle transazioni o sulla gestione dell'organismo considerato. 3.2. Il metodo secondo cui il controllore fa assegnamento sul sistema di controllo interno dell'organismo in causa è denominato metodo basato sull'analisi dei sistemi (MBAS) e consta delle seguenti fasi, l'una distinta dall'altra: (a) individuazione e disamina dei controlli chiave pertinenti, nonché valutazione della misura in cui (eventualmente) il controllore può fare assegnamento su detti controlli, purché risulti che essi funzionano in modo efficace; - 30 - Allegato 2, pagina 2 (b) verifiche di funzionamento dei controlli chiave suddetti, onde stabilire se hanno funzionato in modo efficace nel corso dell'intero periodo in esame; (c) valutazione dei risultati dei test sul controllo, per stabilire se l'analisi dei sistemi consente di raggiungere il grado di affidabilità previsto; (d) verifiche di convalida su una serie di transazioni, saldi di conti, etc., per stabilire (qualora ciò sia pertinente in relazione agli obiettivi del controllo) se - a prescindere dal sistema di controllo adottato dall'organismo - i consuntivi finanziari di quest'ultimo sono esatti e completi, se le operazioni in essi contenute sono legittime e regolari e/o se i criteri di economicità, efficienza ed efficacia sono stati rispettati. 3.3. Ulteriori indicazioni di carattere orientativo sulle fasi (a)-(c) di cui sopra sono contenute nel criterio-guida n. 21 "Valutazione del controllo interno e test sul controllo", mentre le verifiche di convalida di cui alla lettera (d) sono trattate nel criterio-guida n. 23 "Il campionamento a fini di controllo" . Ulteriori spiegazioni sul rapporto esistente tra i test sul controllo e le verifiche di convalida figurano all'allegato 2 del criterio-guida n. 12 "Rilevanza e rischi di controllo" . 4. Il metodo basato sulle verifiche di convalida dirette (VCD) 4.1. Quando non sussiste l'esigenza specifica di valutare il funzionamento dei sistemi di controllo degli organismi, è possibile che il controllore consegua gli obiettivi del controllo senza fare assegnamento u questi sistemi e dunque senza procedere a verifiche di conformità. Si tratta del metodo denominato "verifiche di convalida dirette" (VCD). Giova osservare che il metodo VCD non offre alcuna garanzia in merito al funzionamento dei controlli (infatti, adottando questo metodo tali sistemi non sono sottoposti a test e pertanto non vi sono prove che ne attestino l'efficacia) e, di conseguenza, sarà necessario svolgere un maggior numero di verifiche di convalida che nel caso del metodo MBAS. È il controllore che, in tali circostanze, deve giudicare quale sia il metodo migliore - nel senso del rapporto costi/risultati - per ottenere gli elementi probatori necessari a conseguire gli obiettivi del controllo. 4.2. Il paragrafo 141 delle norme di controllo dell'INTOSAI stabilisce quanto segue: "Il controllore, nel determinare la portata e l'ambito del controllo, deve esaminare e valutare l'attendibilità del controllo interno." Pertanto, anche se viene adottato il metodo VCD, il controllore non può non condurre un esame sui principali sistemi di controllo interno dell'organismo considerato, anche se questo studio riveste un carattere soltanto preliminare. Di fatto, il metodo VCD è una forma di MBAS, in cui tale analisi è ridotta al minimo. 5. Parametri che intervengono nella decisione sul metodo da adottare 5.1. Quando nessuna particolare esigenza impone al controllore di adottare il metodo MBAS, la scelta tra quest'ultimo e quello VCD di norma si baserà su una stima delle risorse disponibili per il controllo e quindi del costo che comporterà l'ottenimento di elementi - 31 - Allegato 2, pagina 3 probatori adeguati ed attendibili. Nell'operare questa scelta si tengono presenti i seguenti fattori: (a) laddove sussiste una dispersione geografica dei controlli o quando la verifica del loro funzionamento presenta particolari difficoltà, l'adozione dell'MBAS potrebbe rivelarsi impossibile a causa dell'insufficienza delle risorse disponibili. Analogamente, quando i risultati di una valutazione preliminare dell'attendibilità dei controlli interni induce a ritenere che essi sono carenti, il controllore può non essere in grado di fare assegnamento su di essi. In questo caso potrebbe essere adottato il metodo VCD, a prescindere dai costi relativi; (b) anche se è possibile adottare il metodo VCD per l'esame della legittimità e della regolarità, questo tipo di controllo si presta in modo particolare al metodo MBAS; (c) il metodo MBAS offre, in particolare, il vantaggio di consentire spesso al controllore di stabilire un nesso diretto tra singoli errori e deficienze del sistema di controllo e di porle in evidenza. Segnalando tali deficienze alla direzione dell'organismo, il controllore può aiutarla a migliorare i controlli per l'avvenire. 6. Controllo di gestione 6.1. Il controllo di gestione (cfr. il criterio-guida n. 41 “Il controllo sulla gestione”) verte sull'economicità e/o efficienza e/o efficacia dell'attività, programma od organismo oggetto del controllo: economicità: significa ridurre al minimo il costo delle risorse impiegate per una data attività, senza rinunciare ad un livello di qualità adeguato; efficienza: si tratta del rapporto tra i risultati ottenuti, in termini di beni, servizi o altro e le risorse utilizzate per conseguirli; efficacia: con questo termine si indica la misura in cui gli obiettivi sono stati conseguiti, nonché il rapporto esistente tra gli effetti attesi e gli effetti reali di una data attività. Quando si espleta un dato controllo di gestione, non si cerca necessariamente di trarne conclusioni su tutti e tre gli aspetti sopracitati: si deve dedurre chiaramente, dagli obiettivi del controllo, quale o quali di questi aspetti debbano essere studiati. Tuttavia, quando espleta controlli sull'economicità o sull'efficienza, il controllore ha bisogno di valutare globalmente l'efficacia dell'organismo controllato: può essere infatti preferibile per l'organismo in questione fare quanto è giusto fare in modo insoddisfacente anziché fare bene qualcosa di errato. 6.2. Per esaminare l'efficacia, di norma è necessario valutare i risultati o gli effetti di una data attività. Pertanto, anche se il metodo MBAS può essere utile (ad esempio, per stabilire in che modo l'organismo controllato misura e sorveglia gli effetti del proprio "operato"), il controllore deve anche raccogliere elementi probatori sufficienti - mediante verifiche di convalida - sui risultati e sugli effetti dell'attività, del programma o dell'organismo. - 32 - Allegato 2, pagina 4 7. Aspetti inerenti all'ambiente 7.1. Sempre più spesso si richiede alle ISC di garantire che le attività da esse controllate siano svolte rispettando fattori ed esigenze ambientali. In linea di principio, il metodo di controllo che consente di rispettare tali esigenze in questo caso è quello stesso che si applica ai controlli di legittimità e di regolarità: è possibile applicare l'MBAS, sia il VCD, ma il primo può risultare particolarmente rispondente allo scopo. - 33 - GRUPPO 2 OTTENIMENTO DI ELEMENTI PROBATORI CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 21 VALUTAZIONE DEL CONTROLLO INTERNO E TEST SUL CONTROLLO INDICE Paragrafi Norma di controllo dell'INTOSAI Controllo interno Valutazione del controllo interno Rapporti con la direzione dell'organismo controllato Tipi di controllo interno Valutazione del controllo interno Test sul controllo 1 2 3 4 Allegato 1 Allegato 2 Allegato 3 Livello di sicurezza che deve essere ottenuto dalle valutazioni dei sistemi di controllo interno e dai test sul controllo nel quadro del metodo basato sull'analisi dei sistemi Appendice dell'allegato 3 -------------------- 1. Riferimento alle norme di controllo dell’INTOSAI 1.1 Il paragrafo 141 delle norme di controllo dell'INTOSAI stabilisce quanto segue: "Il controllore, nel determinare l'ampiezza e l'ambito del controllo, deve esaminare e valutare l'affidabilità del controllo interno". - 34 - 2. Controllo interno 2.1. Il controllo interno è organizzato dalla direzione dell'organismo controllato ed è espletato sotto la sua responsabilità. Il controllo interno è definito come l'insieme di tutte le strategie e procedure concepite e attuate dalla direzione di un organismo al fine di garantire: - il raggiungimento economico, efficiente ed efficace degli obiettivi dell'organismo; - l’osservanza delle norme esterne (leggi, regolamenti, ...) e delle politiche di gestione; - la tutela dei beni e delle informazioni; - la prevenzione e l'individuazione delle frodi e degli errori; e - la qualità dei libri contabili e la produzione tempestiva di informazioni finanziarie e di gestione affidabili. 2.2. Il concetto del controllo interno va al di là di considerazioni rigorosamente contabili e finanziarie e comprende due elementi: a. l’ambiente di controllo, vale a dire un insieme costituito dall’atteggiamento, dalla sensibilizzazione e dalle azioni del personale dirigente di grado superiore e intermedio nei confronti del controllo interno e della sua importanza all’interno dell’organismo; b. le procedure di controllo interno, ovverosia le procedure, in aggiunta all’ambiente di controllo creato dalla direzione dell’organismo, che contribuiscono al raggiungimento degli obiettivi dell’organismo. 2.3 L’ambiente di controllo (che potrebbe anche essere descritto come la “cultura di controllo” all’interno dell’organizzazione) incide sull’efficacia dei sistemi specifici di procedure di controllo interno. Ad esempio, un ambiente di controllo in cui la direzione dimostra il proprio interesse nei confronti delle attività e delle funzioni connesse al controllo può rafforzare i sistemi specifici di procedure di controllo interno. Un ambiente di controllo rigoroso non è, tuttavia, di per sé sufficiente a garantire l’efficacia dei sistemi di procedure di controllo interno. Il controllore può valutare la qualità dell’ambiente di controllo di un organismo o di un’attività esaminando gli indicatori relativi alle migliori procedure organizzative e di gestione. 2.4 Tali procedure possono comprendere la preparazione e l’esame delle riconciliazioni da parte della direzione, la definizione di procedure e competenze in modo da separare alcune mansioni fondamentali, limitando l’accesso fisico ai beni e ai libri contabili, ecc.. Spetta al controllore determinare, in funzione di ogni singolo compito di controllo, le procedure di controllo interno nell’ambito del sistema complessivo posto in essere dalla direzione che sono rilevanti ai fini degli obiettivi del controllo. 2.5 Nel valutare l’ambiente di controllo, il controllore cerca di determinare la sensibilizzazione della direzione nei confronti dell’importanza del controllo interno e il suo impegno a favore del controllo adeguato delle varie attività. Nella valutazione delle procedure di controllo, - 35 - il controllore analizza peraltro se le procedure necessarie sono state attuate e se funzionano in modo efficace, continuo e coerente. 2.6. L’ALLEGATO 1 fornisce una descrizione dei tipi di controlli interni che un controllore può trovare presso l'organismo controllato. 3. Valutazione del controllo interno 3.1. Il controllore deve almeno procedere ad una valutazione preliminare dei controlli interni correlati al proprio controllo. Questa valutazione dovrebbe essere tale da consentirgli: (a) di ponderare inizialmente i rischi intrinseci e quelli del controllo connessi con l'attività sottoposta ad esame (cfr. l'allegato 2 del criterio-guida n. 12 "Rilevanza e rischi di controllo” ; (b) di verificare se i controlli risultano, in questa fase iniziale, sufficientemente efficaci da consentire l'adozione del metodo basato sull'analisi dei sistemi (MBAS). In seguito è bene procedere ad ulteriori approfonditi sondaggi dei controlli: se i risultati sono soddisfacenti si può fare assegnamento sul sistema sottoposto ad esame. Ciò consente al controllore di ridurre il numero delle verifiche di convalida di casi reali (per ulteriori indicazioni sul metodo di controllo vedasi il criterio-guida n. 13 "Elementi probatori e metodo di controllo". 3.2. Qualora abbia scelto il metodo MBAS, il controllore deve effettuare una valutazione approfondita dei controlli interni allo scopo di determinare: (a) i controlli interni del sistema, qualificabili come "controlli chiave" - vale a dire controlli che, se funzionanti in modo efficace, debbono: . prevenire o individuare errori materiali nei documenti, salvaguardare il patrimonio dell'organismo (controlli finanziari: affidabilità delle registrazioni contabili); . garantire il rispetto delle leggi e dei regolamenti (controlli finanziari: legittimità e regolarità delle transazioni); . garantire che non vi siano carenze gravi, sotto il profilo dell'economicità, dell'efficienza o dell'efficacia, nelle attività sottoposte al controllo (controlli di gestione); (b) la qualità globale del sistema di controlli sottoposto ad esame, e di conseguenza il grado di affidabilità assegnato dal controllore a seguito di successivi test sul controllo, da cui risulta che il citato sistema ha sempre funzionato in modo efficace. 3.3. È importante osservare che, a questo punto, il controllore è in grado di formulare un giudizio sulla potenziale efficacia del sistema di controllo che, in base alle decisioni di politica aziendale ed alle istruzioni emanate dalla direzione dell'organismo controllato, è stato posto in atto. Prima di fare reale assegnamento su tale sistema è necessario valutarne l'efficacia nella pratica, procedendo a test sul controllo . 3.4. L' ALLEGATO 2 contiene ulteriori indicazioni sull'esecuzione di una valutazione del controllo interno e l'ALLEGATO 3 dà indicazioni relative ai test sul controllo . - 36 - 4. Rapporti con la direzione dell'organismo controllato 4.1. Generalmente è prassi informare la direzione dell'organismo controllato in merito ad eventuali carenze individuate nei sistemi di controllo interno. Il momento e la forma di tale comunicazione dipenderà dalla natura e dalla gravità delle carenze riscontrate, dai canali di comunicazione disponibili e dal quadro giuridico del controllo. È prassi inoltre che il controllore registri nei documenti di lavoro eventuali comunicazioni di questo tipo, in modo che vi si possa fare riferimento in data successiva, qualora sia necessario (cfr. il criterio-guida n. 26 "Documentazione"). - 37 - Allegato 1, pagina 1 ALLEGATO 1 : TIPI DI CONTROLLI INTERNI Segue la descrizione di alcuni tipi di controlli che il controllore può trovare in numerose organizzazioni; su alcuni di essi, o su una loro combinazione, egli potrebbe fare, in una certa misura, assegnamento. 1. Organizzazione interna. Gli organismi controllati devono disporre di un organigramma, che definisca e assegni le competenze e che identifichi i canali d'informazione relativi ai vari aspetti della loro attività, ivi compresi i controlli. La delega di poteri e di responsabilità dovrebbe essere specificata con chiarezza. 2. Divisione dei compiti. Uno dei mezzi principali di controllo consiste nella separazione di quelle responsabilità o di quei compiti che, qualora fossero uniti, consentirebbero ad un singolo individuo di eseguire e documentare una transazione completa. La divisione dei compiti riduce il rischio di manipolazioni o errori intenzionali ed aumenta l'operatività del controllo. Tra le funzioni che è bene separare ricordiamo: l'autorizzazione, l'esecuzione, la custodia, la registrazione e, nel caso di un sistema contabile informatizzato, lo sviluppo dei sistemi e le operazioni quotidiane. Il controllo interno ed il controllo finanziario (ove previsto) devono essere indipendenti dalla quotidiana gestione delle attività. 3. Fisici. Questo tipo di controlli interessa principalmente la salvaguardia dei beni e comporta procedure e misure di sicurezza intese a garantire che l'accesso a tali beni (sia diretto che indiretto mediante documentazione) sia consentito al solo personale autorizzato. Questi controlli assumono rilevanza quando i beni sono preziosi, trasportabili, commerciabili o desiderabili. 4. Autorizzazione ed approvazione. Tutte le decisioni esecutive e le transazioni necessitano dell'autorizzazione o dell'approvazione della persona competente. I limiti di dette autorizzazioni debbono essere specificati. 5. Aritmetico e contabile. Si tratta dei controlli che interessano l'attività di contabilizzazione e che servono a verificare che le transazioni da contabilizzare ed elaborare siano state autorizzate, tutte considerate, registrate correttamente ed elaborate con cura. Siffatti controlli comprendono la verifica dell'esattezza aritmetica dei documenti, l'aggiornamento e la verifica dei totali, raffronti, conti riepilogativi e bilanci di verificazione e la giustificazione dell'uso fatto di ogni documento. 6. Personale. Dovrebbero esistere procedure atte a garantire che il personale abbia capacità commisurate alle responsabilità. Il buon funzionamento di qualsiasi sistema dipende inevitabilmente dalla competenza e dall'integrità di coloro che lo gestiscono. La competenza, la selezione e la formazione, nonché le qualità innate del personale in causa, costituiscono aspetti importanti da tenere presente nell'istituire qualsiasi sistema di controllo. 7. Supervisione. Qualsiasi sistema di controllo interno dovrebbe includere la sorveglianza, da parte di funzionari competenti, delle transazioni giornaliere e delle relative registrazioni. - 38 - Allegato 1, pagina 2 8. Direzione. Si tratta dei controlli svolti dalla direzione al di fuori della routine quotidiana del sistema. Essi comprendono i controlli di supervisione globale, l'esame della contabilità gestionale ed il suo raffronto con le previsioni, la funzione di controllo interno e qualsiasi altra procedura speciale di verifica. 9. Controllore finanziario. In alcuni Stati membri il controllore finanziario attua un controllo indipendente, di norma basato su un'ampia sfera di poteri/doveri, ivi compresa la preventiva verifica dei progetti aventi implicazioni finanziarie, che egli, di norma, approverà soltanto quando ne abbia accertato la legittimità e la regolarità, nonché la disponibilità di fondi sufficienti. - 39 - Allegato 2, pagina 1 ALLEGATO 2 : VALUTAZIONE DEL CONTROLLO INTERNO 1. Si propone di seguire le seguenti fasi nel caso della valutazione preliminare o approfondita di un sistema: (a) individuare i rischi, pertinenti agli obiettivi della verifica, che un sistema di controllo efficace dovrebbe prevenire; (b) mediante l'esame dei manuali di procedura, delle istruzioni al personale e mediante colloqui, etc. individuare i controlli posti in atto per prevenire i rischi potenziali. (Per quanto riguarda il metodo MBAS, è inoltre necessario individuare quali di questi controlli sono "controlli chiave"); (c) documentare i risultati di detto esame (diagrammi di flusso, descrizioni scritte...); (d) sarebbe utile che il controllore verificasse l'acquisita conoscenza del funzionamento del sistema eseguendo alcune operazioni di prova ("test di operatività"); (e) una volta individuati i controlli, valutarne la potenziale efficacia rispetto ai rischi intrinseci alle attività in causa. 2. Alcune Istituzioni superiori di controllo (ISC) sono solite elaborare questionari di controllo interno (QCI) o questionari di controllo chiave (QCC), per aiutare il controllore nell'esecuzione di tali valutazioni. 3. Nell'ambito del metodo MBAS, il controllore deve completare la valutazione approfondita, stabilendo il grado di affidabilità del sistema risultato efficiente nella pratica operatività. Generalmente il sistema sarà qualificato: eccellente - buono - discreto - scarso - se tutti i rischi vengono adeguatamente presi in considerazione da controlli che potenzialmente funzionano in modo efficace; se tutti i rischi vengono adeguatamente presi in considerazione da controlli che potenzialmente funzionano in modo efficace, salvo qualche irrilevante eccezione; se tutti i rischi vengono presi in considerazione in una certa misura da controlli che talvolta possono essere inefficaci; se non tutti i rischi vengono presi in considerazione dai controlli e/o è probabile che i controlli siano spesso inefficaci. - 40 - Allegato 3, pagina 1 ALLEGATO 3 : ' TEST SUL CONTROLLO 1. Esecuzione dei test sul controllo 1.1. Nel quadro del metodo MBAS, è opportuno non limitarsi alla sola valutazione approfondita dei controlli interni. Il controllore deve anche stabilire se i controlli hanno di fatto funzionato in modo efficace e coerente durante tutto il periodo sottoposto a controllo: è perciò necessario procedere a test sul controllo . 1.2. Di norma i controlli chiave individuati dovrebbero essere sottoposti a verifiche mediante l'esame di un campione di transazioni o operazioni che hanno formato oggetto di detti controlli. Dovendo il controllore stimare l'efficacia pratica dei controlli, il metodo di campionamento e la natura delle verifiche eseguite dovrebbero assicurare: (a) il funzionamento costante del controllo durante un determinato periodo (N.B. periodi di assenza di personale con funzioni chiave, etc.); (b) il funzionamento costante del controllo per tutti i tipi di transazioni elaborate dal sistema (N.B. transazioni di elevato volume, di scarso valore; transazioni insolite; transazioni rielaborate a seguito di un precedente rifiuto da parte del sistema, etc.). 1.3. Spetta al controllore stabilire il numero di transazioni da esaminare per ottenere prove sufficienti sul buon funzionamento di un controllo. In genere la dimensione minima del campione è di 30 transazioni, mentre in alcuni casi saranno necessarie più di 100 transazioni. È opportuno tener presente i seguenti punti nell'operare la scelta: (a) la rilevanza del controllo nell'ambito del relativo sistema globale; (b) la misura in cui il controllore desidera fare assegnamento sul funzionamento soddisfacente del controllo e il periodo considerato; (c) la portata e la natura delle transazioni elaborate dal sistema; (d) il fatto che la maggior parte dei test sul controllo forniscano la prova non tanto che il controllo abbia funzionato quanto che non sia carente (prove "negative"). 1.4. Se la maggior parte dei test sul controllo forniscono prove "negative", il controllore deve anche considerare eventuali possibilità di ottenere prove positive dell'efficace funzionamento dei controlli. Ciò può esser fatto esaminando i casi in cui i controlli hanno individuato errori o eccezioni. 1.5. La scelta del momento opportuno per eseguire test sul controllo pone problemi particolari: il controllore deve cercare prove dell'effettivo funzionamento dei controlli nel corso dell'intero periodo durante il quale intende fare assegnamento su di essi. Ciò è da tener presente nell'ideare ed eseguire le verifiche di conformità. 2. Valutazione dei risultati dei test sul controllo 2.1. Una volta ultimati i test sul controllo , il controllore deve formulare un giudizio finale sulla misura in cui può fare assegnamento sul sistema di controlli e, di conseguenza, sul numero - 41 - Allegato 3, pagina 2 di verifiche di convalida che sarà necessario eseguire per ottenere il livello massimo di sicurezza richiesto ( cfr. il criterio-guida n. 12 "Rilevanza e rischi di controllo" ). 2.2. Il livello di sicurezza che si può ottenere nell'ambito del metodo basato sull'analisi dei sistemi dipenderà in primo luogo dalla valutazione iniziale del sistema da parte del controllore. I risultati dei test sul controllo forniscono al controllore stesso ulteriori prove sul funzionamento del citato sistema, consentendogli di confermare o rivedere il primo giudizio. L'appendice del presente allegato fornisce orientamenti generali sul livello di sicurezza che può essere ottenuto. 2.3. Le relazioni tra livello di sicurezza e livello di affidabilità statistica, per quanto riguarda le verifiche di convalida, rientrano di norma nella politica di controllo della ISC. 3. Test sul controllo e verifiche di convalida congiunti 3.1. In linea di principio non vi sono obiezioni a che il controllore esegua contemporaneamente test sul controllo e verifiche di convalida su un determinato campione. Pur riconoscendo che ciò potrebbe essere un impiego efficiente delle risorse di controllo, occorre tuttavia fare attenzione a ben distinguere i due tipi di verifiche, che hanno obiettivi del tutto diversi. In questo caso è inoltre necessario procedere in modo particolarmente accurato alla documentazione dei risultati (cfr. il criterio-guida n. 26 “Documentazione”). - 42 - Allegato 3, pagina 3 ALLEGATO 3, Appendice: LIVELLO DI SICUREZZA CHE DEVE ESSERE OTTENUTO DALLE VALUTAZIONI DEI SISTEMI DI CONTROLLO INTERNO E DAI TEST SUL CONTROLLO NEL QUADRO DEL METODO BASATO SULL'ANALISI DEI SISTEMI Conclusioni tratte dalla valutazione approfondita del sistema di controllo interno prima dei test sul controllo Valutazione finale e livello di affidabilità I test sul controllo non evidenziano eccezioni I test sul controllo evidenziano solo eccezioni irrilevanti I test sul controllo evidenziano eccezioni rilevanti I test sul controllo evidenziano carenze generalizzate Elevato Medio Basso/Nullo Nullo Medio Medio/Basso Basso/Nullo Nullo Il sistema di controllo sembra generalmente accettabile ma vi è il rischio che il controllo possa essere talvolta inefficace. = Discreto Basso Basso/Nullo Basso/Nullo Nullo Il sistema di controllo sembra inadeguato. Non tutti i rischi sono coperti e/o è probabile che i controlli siano carenti. Nullo Nullo Nullo Nullo Il sistema di controllo sembra eccellente. Copre tutti i rischi più rilevanti ed i controlli sono potenzialmente efficienti. Il sistema di controllo sembra accettabile. Copre la maggior parte dei rischi più rilevanti e/o i controlli sono, in genere, potenzialmente efficaci. = Eccellente = Buono = Scarso - 43 - CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 22 CONTROLLO DEI SISTEMI INFORMATICI INDICE Paragrafi Riferimenti alle norme di controllo dell’INTOSAI Campo di applicazione del presente criterio-guida Concetti e definizioni fondamental Pianificazione dei controlli dei sistemi informatici e assegnazione del personale addetto a tale compito Audit dei controlli generali (in materia di istallazioni informatiche) Controllo delle applicazioni informatiche Tecniche di controllo assistite dall’elaboratore (Computer-assisted audit techniques - CAAT) Controllo dei sistemi in fase di sviluppo Controlli generali (relativi alle istallazioni informatiche) - aspetti generali della gestione - Obiettivi di controllo ed esempi di tecniche di controllo Controlli delle applicazioni informatiche - obiettivi di controllo ed esempi di tecniche di controllo Esigenze in materia di controllo delle applicazioni informatiche 1 2 3 4 5 6 7 8 Allegato 1 Allegato 2 Allegato 3 -------------------- 1. Riferimento alle norme di controllo dell’INTOSAI 1.1 Nella spiegazione delle norme di controllo dell’INTOSAI (paragrafo 51, lettera (b)) si legge che: "Il controllore e l’ISC devono possedere la competenza necessaria." 1.2 La spiegazione delle norme di controllo dell’INTOSAI (paragrafo 86) enuncia quanto segue: - 44 - " ... L’ISC dovrebbe dotarsi della più ampia gamma di metodologie di controllo aggiornate, comprese le tecniche basate su sistemi informatici, metodi di esame analitici, campionamento statistico e controllo dei sistemi d’informazione automatizzati." 1.3 La spiegazione delle norme di controllo dell’INTOSAI (paragrafo 144) dispone quanto segue: "Qualora la contabilità o altri sistemi d’informazione siano computerizzati, il controllore deve determinare se i controlli interni funzionino adeguatamente per assicurare l’integrità, l’affidabilità e l’esaustività dei dati." 1.4 Nella spiegazione delle norme di controllo dell’INTOSAI (paragrafo 153) si afferma che: " ... Quando i dati contenuti in un sistema computerizzato costituiscono una parte importante del controllo e la loro affidabilità è fondamentale per il conseguimento dell’obiettivo del controllo, i controllori devono assicurarsi dell’affidabilità e della pertinenza dei dati." 2. Campo di applicazione del criterio-guida 2.1 Attualmente, la maggior parte delle funzioni amministrative e finanziarie vengono esercitate con l’ausilio di sistemi computerizzati. Il termine sistemi informatici (SI) designa ora comunemente tutti i sistemi di questo tipo, a prescindere dalla portata o dal tipo di tecnologia in questione. 2.2 Il presente criterio-guida riguarda la metodologia di controllo di tali sistemi informativi. Esso ha lo scopo di fornire un orientamento al livello che si richiede al controllore non specializzato che ha dimestichezza con gli aspetti e i metodi del controllo informatico, è in grado di svolgere compiti di controllo semplici per quanto attiene ai SI e può comunque avvalersi di specialisti del controllo informatico per conseguire obiettivi di controllo generali(1). Il criterio-guida non intende fornire informazioni specialistiche dettagliate sugli aspetti altamente tecnici della materia esaminata. L’ambito del lavoro di controllo informatico nei casi particolari è analizzata nei paragrafi ? - 0 e deve essere stabilito in funzione degli obiettivi generali del controllo intrapreso. 2.3 I sistemi informatici possono risultare particolarmente importanti nei controlli delle attività dell’Unione europea in cui sono stati esplicitamente previsti dal regolamento. Questi sistemi possono essere prescritti per agevolare un elemento importante della politica comunitaria (ad esempio il sistema VIES per la gestione e lo scambio di informazioni in materia di IVA previsto dal regolamento (CEE) n. 218/92). In alcuni casi, i regolamenti impongono determinati aspetti del controllo dei SI (ad esempio per il riconoscimento degli organismi pagatori (regolamento (CEE) n. 1663/95); in altri (come il sistema amministrativo e di controllo integrato per i pagamenti nel settore dell’agricoltura (regolamento (CEE) 3508/92)) il sistema informatico istituito costituisce di per sé un controllo fondamentale dei pagamenti comunitari. (1) Livello di competenza 1, secondo le definizioni del documento “IT audit curriculum for INTOSAI” - 45 - 3. Concetti e definizioni fondamentali 3.1 L’applicazione di tecnologie informatiche non influisce direttamente sugli obiettivi di un controllo, ma comporta problemi specifici e può richiedere modifiche del metodo di controllo. 3.2 La tecnologia informatica genera due problemi particolari per i responsabili della gestione e per i controllori: 3.3 - i computer e le reti, come qualsiasi tecnologia, sono soggetti a guasti e possono subire dei danni. Pertanto, nel momento in cui un’organizzazione o una funzione divengono dipendenti dalla tecnologia dell’informatica, i piani di emergenza acquistano maggiore importanza che non in precedenza e devono tener sufficientemente conto degli aspetti tecnici. - i dati e i programmi custoditi nei sistemi informatici sono immateriali ed è possibile accedervi o modificarli senza lasciare traccia. I responsabili della gestione, come del resto i controllori, devono adottare misure speciali per esser certi dell’affidabilità, dell’integrità e della riservatezza di tutti i dati elaborati dai computer. Le tecniche di controllo generalmente riconosciute sono state sviluppate tenendo conto di questi fattori. Il controllo dei sistemi informatici comprende la valutazione di tali controlli. È opportuno distinguere diverse componenti nel controllo dei SI perché richiedono competenze, tecniche e tempi diversi, ma anche perché apportano contributi diversi al lavoro di controllo nel suo complesso. Ciascuna componente è analizzata in maniera più approfondita in altri paragrafi del presente criterio-guida. Audit dei controlli generali (riguardanti le istallazioni informatiche) ------------------------------------------------------------------------------ 3.4 I controlli generali consistono nella supervisione dell’insieme dell’installazione o della rete informatica. La qualità di questi controlli si ripercuote ampiamente su tutte le applicazioni di un dato ambiente: ad esempio, se vi sono lacune nel controllo di accesso al sistema o all’intera rete, è molto probabile che tutte le applicazioni siano soggette al rischio di un accesso non autorizzato, a prescindere da eventuali controlli di accesso specifici insiti nelle applicazioni stesse. 3.5 Nel procedere all’audit completo dei controlli generali, la maggior parte dei controllori ha bisogno di essere assistita da esperti di SI. Non sempre, tuttavia, è necessario effettuare un audit completo. I controllori non specializzati possono ottenere la certezza sufficiente che i dati sono completi ed esatti e che i controlli interni comprendenti l’informatica funzionano adeguatamente per un determinato audit - senza procedere ad un esame completo dei controlli generali. 3.6 In alcuni casi, i controllori con competenze generali possono basarsi su dichiarazioni di terzi (DT) fornite da controllori specializzati in SI. L’oggetto di queste DT comprende solitamente i controlli generali relativi a centri e/o applicazioni informatici. Quanto alle implicazioni che comporta l’uso di questi elementi probatori, cfr. il criterio-guida n. 25 “L’uso dei lavori di altri controllori ed esperti”. Qualora le DT non fossero disponibili, i - 46 - controllori non specializzati dovrebbero comunque valutare taluni controlli generali non aventi carattere tecnico (cfr. il paragrafo 5.1). Controllo delle applicazioni informatiche -----------------------------------------------3.7 Il controllo delle applicazioni informatiche consiste nel valutare i controlli interni riguardanti, specificatamente, l’immissione di dati, l’elaborazione, i file e la produzione di informazioni di una determinata funzione. Tutti i controllori incaricati di espletare controlli, attraverso l’analisi dei sistemi, delle funzioni amministrative che si avvalgono della tecnologia informatica devono esaminare questo aspetto del controllo informatico. 3.8 Gli audit delle applicazioni informatiche non presentano necessariamente un livello tecnico elevato. I controllori non specializzati si rivolgeranno agli esperti di SI nel caso in cui i controlli delle applicazioni risultino eccezionalmente complessi o tecnici e qualora non esistano controlli compensativi soddisfacenti in area utenti. Ad ogni modo, molte applicazioni sono concepite in modo da fornire ai gestori che le utilizzano la certezza della precisione dei dati e dell’elaborazione, per cui non è necessario che essi siano esperti di SI. In questi casi, le verifiche e le procedure (comprese le procedure manuali) svolte regolarmente dal personale utente possono garantire, con un grado di certezza soddisfacente, che i dati e i risultati prodotti sono affidabili. In molte situazioni di controllo questo livello di sicurezza risponderà adeguatamente anche alle esigenze dei controllori. Tecniche di controllo assistite dall’elaboratore (Computer-assisted audit techniques CAAT) --------------------------------------------------------------------------------------------------- 3.9 Il termine CAAT designa una vasta gamma di procedure e di pacchetti programmati che i controllori possono utilizzare per compiere verifiche sui controlli (o molto più frequentemente) per selezionare, confrontare o estrarre dati da sottoporre a ulteriori verifiche. Nel ricorrere a queste tecniche, il controllore deve assolutamente assicurarsi che i dati di cui si avvale siano veramente completi ed esatti (cfr. il paragrafo 7.2.). 3.10 È possibile che l’uso delle CAAT richieda l’aiuto di esperti. Benché alcuni prodotti di questo tipo esistenti sul mercato possano essere utilizzati in modo relativamente facile da parte di controllori non specializzati, quando il compito è complesso o qualora i dati non siano presentati in un pacchetto nella debita forma, sono necessarie capacità di programmazione più avanzate. In questi casi, le CAAT possono rappresentare un impiego oneroso delle risorse di controllo; la loro effettiva necessità e le procedure da seguire dovrebbero essere rigorosamente stabilite in funzione degli obiettivi del controllo. Controllo dei sistemi in fase di sviluppo ---------------------------------------------3.11 Il controllo dei sistemi in fase di sviluppo verte su due aspetti basilari: - la gestione del lavoro di sviluppo. Essa può formare oggetto di un controllo di gestione (cfr. il criterio-guida n. 41 “Il controllo sulla gestione”); - 47 - - l’adeguatezza della concezione del sistema rispetto alle esigenze della funzione in materia di controllo interno (esigenze che dovrebbero, di norma, essere definite dai responsabili della gestione utilizzatori). 3.12 Inoltre, indipendentemente dal fatto che svolgano o meno controlli formali dei sistemi in fase di sviluppo, le ISC devono accertare che le nuove applicazioni soggette al loro controllo siano concepite in modo tale da poter essere controllate in maniera efficace. 4. Pianificazione dei controlli dei sistemi informativi e assegnazione del personale addetto a tale compito Assegnazione e formazione del personale ------------------------------------------------ 4.1 Dato che attualmente sono poche le funzioni che non presentano una componente informatica, tutti i controllori devono essere consapevoli di come l’uso dei computer influenzi la valutazione del controllo interno. I programmi di formazione dovrebbero soddisfare questa esigenza generale. 4.2 I controllori necessitano di una formazione supplementare per divenire esperti nel controllo dei SI. Gli esperti di SI non hanno di norma una formazione nella valutazione del controllo paragonabile a quella di un controllore. Pertanto, bisogna fare in modo che il personale destinato a specializzarsi nel controllo dei SI acquisisca e mantenga un bagaglio adeguato di conoscenze sia in campo informatico che nel campo del controllo. Esistono qualifiche specifiche che consentono di valutare queste conoscenze. Gli esperti del controllo dei SI costituiscono spesso una risorsa rara, di cui avvalersi, possibilmente, solo per le questioni più critiche. Ne consegue che gli esperti di SI devono essere interpellati solo quando gli obiettivi del controllo e la complessità dei sistemi informativi rendono necessaria la loro competenza. La sezione seguente, che ha per oggetto la pianificazione, fornisce a questo proposito un orientamento. 4.3 I controllori con competenze generali possono essere istruiti all’uso dei prodotti CAAT senza essere costretti a divenire esperti di SI a tutti gli effetti. Pianificazione e ricorso agli esperti ----------------------------------------- 4.4 Le norme di sicurezza e di controllo dei SI non hanno un carattere assoluto. Un livello di controllo eccessivamente elevato (“over-engineering”) è costoso e di solito non efficace. La gamma di controlli posti in atto dovrebbe rispecchiare la finalità e l’uso di ciascun sistema; essa comprende, di norma, un insieme di procedure tecniche e manuali. Si possono trovare controlli efficaci sull’elaborazione informatica a livello delle procedure manuali in area utenti o nelle attività di gestione utenti. I sistemi informatici non dovrebbero, pertanto, essere esaminati come entità a sé stanti, ma nel contesto di un controllo generale dell’intera funzione amministrativa o finanziaria nel quale si collocano. Solo in questo modo, il controllore può determinare in concreto la norma di controllo appropriata e valutare l’interazione fra controlli tecnici e quelli a livello degli utilizzatori. - 48 - 4.5 Nella fase di pianificazione, si dovrebbe procedere alla raccolta di informazioni per decidere l’ambito del controllo informatico. Può essere utile consultare, in questa fase, un controllore esperto di SI cui chiedere consiglio per fissare le priorità. Si dovrebbe decidere, in particolare, se sia necessario un esame dei controlli generali e in quale misura sia necessario ricorrere alle CCAT. Poiché entrambe le procedure possono comportare una richiesta onerosa di servizi specializzati, può essere necessario applicare priorità rigide nel ricorrere a controllori esperti di SI. 4.6 Alla luce degli obiettivi generali del controllo, dovrebbero essere presi in considerazione i seguenti fattori: - - - - la misura in cui la funzione in causa si avvale dell’elaborazione informatica o di dati contenuti nel computer; la misura in cui i controlli svolti in area utenti, comprese le procedure di “gestione utenti”, dimostrano l’esattezza dell’elaborazione informatica e dei dati, al livello richiesto dalla funzione; la complessità dell’elaborazione informatica, soprattuto la misura in cui la funzione utilizza i dati generati dai programmi informatici (rispetto ai dati semplicemente registrati, selezionati o analizzati dall’applicazione); la dimensione dell’istallazione: ad esempio, può essere intrinsecamente impossibile realizzare controlli generali di buon livello a causa dell’insufficienza del personale che non consente di garantire la separazione delle funzioni. Ciò può accadere, ad esempio, se le funzioni di programmatore, operatore e gestore dell’accesso non possono essere nettamente separate; la riservatezza dei dati e gli obblighi in materia di protezione degli stessi(2); qualsiasi difficoltà particolare relativa alla pista di controllo/gestione. I sistemi di vecchia o inadeguata concezione possono presentare dei problemi, ad esempio nel risalire alle componenti dei dati inclusi in un aggregato, o nell’accertare che i totali comprendano tutte le relative operazioni. Questi aspetti accrescono la necessità, per il controllore, di utilizzare le CAAT semplicemente per stabilire l’esattezza dei dati 4.7 Se l’esattezza dei dati e dell’elaborazione è dimostrata, nella misura richiesta dal controllo in corso, attraverso controlli compensativi svolti in area utenti (comprese le procedure di gestione utenti), può non essere necessario procedere, nell’ambito dell’audit, all’esame tecnico dei controlli generali. In questi casi, il controllore non specializzato dovrebbe comunque reperire dichiarazioni di terzi o coprire egli stesso gli aspetti relativi alla gestione dei SI di cui al paragrafo ?. 5. Audit dei controlli generali (relativi alle istallazioni informatiche) 5.1 I settori coperti dagli audit dei controlli generali sono indicati di seguito. I primi quattro riguardano questioni generali relative alla gestione che dovrebbero essere prese in considerazione dai controllori non specializzati anche quando gli aspetti tecnici non formano oggetto di esame. (2) Per l’UE nel suo insieme, cfr. la direttiva 95/46/EC del Parlamento europeo e del Consiglio del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (JO L 281 del 23.11.1995, pag. 31). - 49 - Questioni generali attinenti alla gestione ----------------------------------------------- organizzazione: pianificazione strategica, struttura e canali di informazione del servizio informatico, sufficiente separazione delle funzioni nell’ambito del servizio; politica di sicurezza in campo informatico: una siffatta politica esiste, è adeguata, resa nota e applicata; continuità: salvataggio in caso di emergenza (back-up) e misure di pronta attivazione (stand-by); gestione del patrimonio informatico Questioni specifiche di carattere tecnico ----------------------------------------------- controlli di accesso logico e fisico: esecuzione dettagliata; operazioni: tutti i compiti svolti mediante elaboratore sono adeguatamente autorizzati ed elaborati in modo completo, accurato e rapido; software di sistema (comprese le restrizioni specifiche relative all’accesso) manutenzione dei programmi e procedure di sviluppo gestione dei dati e/o delle basi di dati comunicazione dei dati reti (locali) 5.2 L’ALLEGATO 1 fornisce un orientamento per i controllori non specializzati in merito ai primi quattro punti sopraelencati. 6. Controlli delle applicazioni informatiche 6.1 Come già menzionato, il controllo delle applicazioni informatiche non è di norma, un controllo a sé stante, ma fa parte di un controllo fondato sull’analisi dei sistemi avente per oggetto una funzione commerciale o amministrativa. In ogni singolo caso, gli obiettivi e gli aspetti chiave del controllo devono essere quindi modificati e resi spesso più specifici conformemente all’ambito e all’oggetto dell’intero controllo. 6.2 Gli aspetti da prendere sempre in considerazione possono essere riassunti in via generale nel modo seguente: - l’organizzazione e la documentazione Le responsabilità in materia di gestione dei vari aspetti della manutenzione e dell’uso delle applicazioni devono essere correttamente attribuite. I costi relativi all’utilizzazione delle applicazioni devono essere identificati e sorvegliati. Tutta la documentazione necessaria deve essere disponibile, tenendo conto del tipo di applicazione in causa e delle esigenze dell’organizzazione. - 50 - - L’immissione Devono essere acquisiti solo e tutti gli elementi autorizzati. I dati immessi nelle applicazioni devono essere precisi e completi. (L’immissione comprende sia le operazioni che i dati permanenti/di riferimento). - L’elaborazione Il trattamento delle operazioni deve essere completo ed aritmeticamente esatto; i risultati (compresi i dati prodotti) devono essere classificati correttamente e registrati adeguatamente nei file informatici. Le altre attività di elaborazione dei dati devono essere svolte in tempo utile e fornire risultati corretti. - La trasmissione dei dati La trasmissione dei dati deve essere corretta ed esauriente. - I dati permanenti L’esattezza dei dati memorizzati dovrebbe essere garantita in permanenza. - L’uscita Le informazioni prodotte, siano esse stampate su carta o visualizzate su schermo, contenute su supporto magnetico o trasmesse elettronicamente, devono essere esatte e complete. Tali informazioni devono pervenire solo ed esclusivamente a coloro cui sono destinate. 6.3 L’ALLEGATO 2 illustra questi punti indicando esempi di tecniche o procedure di controllo che è possibile incontrare. È importante che ciascuna fase includa procedure adeguate da seguire in caso di errore; l’allegato 2 menziona questo aspetto. 6.4 Nel decidere su quali controlli basarsi, il controllore deve tenere a mente che i test sul controllo dovranno accertare, fra l’altro, che il controllo abbia funzionato in maniera corretta durante il periodo in esame (cfr. il criterio-guida sulla Valutazione del controllo interno e la verifica di conformità). In generale, il fatto che il controllore, qualora ne abbia la possibilità, cerchi di preferenza di basarsi su controlli in area utenti facilmente verificabili - a condizione che essi rispondano adeguatamente all’obiettivo di controllo perseguito favorisce un buon impiego delle risorse di controllo. Il ricorso alle CAAT può comportare maggiore certezza. Se il controllore deve basarsi su controlli più tecnici, spesso sarà necessario procedere ad un audit dei controlli generali. Ad esempio, per avere la certezza che le verifiche di convalida effettuate da un programma abbiano funzionato sempre, il controllore dovrebbe ottenere la prova inconfutabile che i controlli delle modifiche di un programma abbiano funzionato durante l’intero periodo di riferimento, il che comporterebbe un audit completo dei controlli generali. - 51 - 7. Tecniche di controllo assistite dall’elaboratore (CAAT) 7.1 L’espressione CAAT si riferisce comunemente all’utilizzazione di software per l’estrazione di dati allo scopo di identificare operazioni con caratteristiche particolari per procedere ad un controllo più approfondito o per selezionare dei campioni. Tra le verifiche e le procedure CAAT figurano: - l’identificazione dei valori errati; l’identificazione di valori eccezionali; la verifica della registrazione o del riepilogo delle operazioni; la riesecuzione dell’elaborazione informatica (ad esempi nella conversione di valuta estera); il raffronto di dati contenuti in file diversi; l’analisi cronologica dei conti; la stratificazione. 7.2 Le CAAT sono un mezzo per raggiungere un fine, non un fine in se stesse. La loro utilizzazione deve essere pianificata e prevista solo qualora producano un valore aggiunto o nel caso in cui le procedure manuali siano inapplicabili o meno efficienti. Le funzioni da svolgere devono essere precedentemente documentate e l’uso effettivo di tali tecniche deve essere registrato. Per quanto riguarda gli elementi probatori del controllo si applicano le norme vigenti in materia. La documentazione relativa alle CAAT deve specificare tutti i parametri di predisposizione (settings), tutte le ricerche fatte ecc. per giungere ai risultati. In tutti i casi, è importante poter dimostrare che il programma CAAT ha funzionato sull’insieme esatto e completo delle registrazioni pertinenti. 8. Controlli dei sistemi in fase di sviluppo 8.1 È importante che i nuovi sistemi informativi vengano concepiti in modo da poter essere controllati e da presentare un livello di controllo interno sufficiente. Poiché le modifiche a livello della configurazione divengono sempre più costose nelle ultime fasi della messa a punto, i controllori devono considerare attentamente il calendario e la natura del loro approccio ai nuovi sistemi informativi. Se non viene espletato alcun controllo, vi è il rischio che vengano introdotti sistemi sprovvisti di dispositivi di controllo validi o inutilmente complessi da controllare. Inoltre, ogni contributo in materia di controllo deve essere apportato nel rispetto dell’indipendenza di quest’ultimo. È possibile: - - - (a) procedere ad un controllo del sistema in fase di sviluppo; (b) partecipare direttamente in qualità di utenti dell’applicazione in via di sviluppo; in questi casi, l’indipendenza del controllo deve essere preservata facendo in modo, ad esempio, che siano disponibili altri controllori per esaminare il sistema indipendentemente; (c) assicurarsi che il responsabile in ultima analisi (proprietario) del progetto, o un altro utilizzatore principale, consideri le esigenze di verificabilità come un’esigenza di gestione del sistema (nei sistemi contabili è abbastanza logico che il contabile proceda in questo modo, consultando controllori interni ed esterni); (d) assicurarsi che l’organizzazione controllata applichi norme generali in materia di concezione delle applicazioni che consentono di garantire la verificabilità e che il controllo di qualità in essa operato fornisca garanzie in proposito (il controllo - 52 - interno, inoltre, dovrebbe adottare delle disposizioni per vigilare sulla verificabilità in generale). 8.2 La scelta delle possibilità (a) e (b) implica l’utilizzazione di risorse considerevoli, con il rischio che i risultati di controllo siano scarsi o che non possano dar luogo ad una comunicazione. È preferibile, pertanto, optare per le procedure (c) e (d). 8.3 Per promuovere l’opzione c), i controllori devono sempre cogliere l’opportunità per ricordare ai responsabili della gestione la necessità di fare in modo che nelle nuove applicazioni siano specificate le piste di controllo/gestione adeguate; essi dovrebbero inoltre chiedere di essere consultati durante la fase di programmazione di nuovi importanti sistemi finanziari. L’ALLEGATO 3 presenta una nota relativa ai requisiti generalmente applicabili in materia di controllo delle applicazioni informatiche che può rivelarsi utile negli scambi di opinioni con i responsabili della gestione utilizzatori dei sistemi in fase di sviluppo. 8.4 L’applicazione delle norme generali può essere verificata esaminando la metodologia applicata dalla divisione informatica dell’organismo controllato per lo sviluppo dei sistemi, nonché attraverso il dialogo con l’unità responsabile delle norme concernenti i sistemi informatici e i controllori interni per accertarne l’esecuzione corretta. - 53 - GLOSSARIO Applicazione Un insieme di programmi, dati e procedure amministrative che formano un sistema informatico concepito per svolgere una funzione specifica amministrativa o commerciale (ad esempio, la contabilizzazione, il pagamento di sovvenzioni, le registrazioni di inventario). La maggior parte delle applicazioni possono essere considerate come processi costituiti da varie fasi, tra cui l’inserimento dei dati, l’elaborazione, la memorizzazione dei dati e la produzione di risultati. Back-up (salvataggio informatico) Riguarda il recupero di dati e di programmi, nonché l’attivazione di procedure operative alternative in caso di danno o perdita. Copia di back-up Duplicazione di dati o di software aggiornata e disponibile da utilizzare in caso di deterioramento o perdita dell’originale. CAAT (Tecniche di controllo assistite dall’elaboratore) Programmi informatici per compiere verifiche, recuperare, smistare o selezionare dati, o per ottenere elementi che attestino il corretto funzionamento dell’elaborazione. Piano d’emergenza (detto anche Piano di continuità dell’attività o Piano di “disaster recovery”) Piani e procedure volti ad assicurare il ripristino del funzionamento dei sistemi informatici (hardware, software, dati e telecomunicazioni) nella misura e nei tempi richiesti successivamente ad un sinistro che ha reso inutilizzabili le attrezzature e/o il sito. Sistema in fase di sviluppo Applicazione informatica la cui predisposizione è ancora in corso e quindi non ancora operativa (produttiva). Le fasi di preparazione possono comprendere: la proposta, uno studio di fattibilità, l’identificazione dei bisogni dell’utente (user specification), la progettazione, la messa a punto di un prototipo, la programmazione, il collaudo del programma e del sistema, la verifica da parte dell’utilizzatore, la conversione, un esperimento pilota. Sistemi informatici (SI) Sistemi che registrano, diffondono o elaborano informazioni, servendosi in genere della tecnologia informatica. - 54 - Tecnologia informatica (TI) Attrezzatura, comprendente i computer, utilizzata per la manipolazione e l’elaborazione di dati. Controllo di accesso logico Utilizzazione di un software per impedire l’accesso non autorizzato alle risorse informatiche (compresi file, dati e programmi) e alle relative procedure amministrative. Responsabile/Proprietario Persona (o unità) responsabile di taluni beni (SI o TI), nonché della loro sicurezza e del loro corretto funzionamento. Programma Gamma completa delle istruzioni neccessarie per risolvere un problema particolare o porre in atto una procedura (o una serie di procedure) particolare(i) su un computer. Software Istruzioni computer in generale. Software di sistema Serie di programmi utilizzati per controllare e gestire il funzionamento di un computer e l’assegnazione e l’impiego delle risorse informatiche. (Il software del sistema comprende programmi che possono modificare dei dati o altri programmi senza seguire i processi consueti stabiliti nell’applicazione in causa; l’accesso al software di sistema dovrebbe pertanto essere molto limitato e concesso esclusivamente a personale non incaricato della programmazione e, preferibilmente, non addetto a funzioni operative o di gestione degli accessi). Dichiarazioni di terzi (DT) Dichiarazioni fornite da controllori specializzati in SI che esercitano le proprie funzioni per un’organizzazione diversa dall’ISC. Le DT coprono, di norma, i controlli generali relativi ai centri e/o alle applicazioni informatiche. Cfr. il paragrafo 3.6. Utente Persona o unità che utilizza i sistemi informatici. Si tratta, in particolare, nel settore privato o in quello pubblico, di servizi che si avvalgono dei sistemi informatici per adempiere alle funzioni di cui sono responsabili in seno all’organizzazione. - 55 - Allegato 1, pagina 1 ALLEGATO 1 CONTROLLI GENERALI (RIGUARDANTI LE ISTALLAZIONI INFORMATICHE) QUESTIONI GENERALI RELATIVE ALLA GESTIONE OBIETTIVI DI CONTROLLO ED ESEMPI DI TECNICHE DI CONTROLLO OBIETTIVI DI CONTROLLO Procedure o controlli possibili Nota: In ciascun caso, si tratta di una gamma di possibilità presentate a titolo illustrativo; non è necessario che siano tutte realizzate per conseguire l’obiettivo di controllo; l’obiettivo può essere raggiunto in altri modi. Il controllore deve formulare un giudizio sull’efficacia complessiva dell’insieme dei controlli effettivamente compiuti, tenendo a mente le dimensioni, la complessità e l’importanza del sistema in causa. GA. ORGANIZZAZIONE E GESTIONE GA1. Pianificazione, assegnazione delle risorse umane, stesura delle relazioni e separazione delle funzioni Fare in modo che il servizio informatico abbia la giusta collocazione nell’ambito dell’organizzazione, che sia dotato di personale sufficiente e che le funzioni incompatibili siano separate. 1. Il responsabile del servizio informatico occupa una posizione gerarchica appropriata, data l’importanza della tecnologia informatica per l’organizzazione, e la posizione del servizio informatico in seno all’intera organizzazione è consona alle responsabilità e agli obiettivi ad esso assegnati. 2. I piani strategici in campo informatico sono elaborati e rivisti ogni anno: Essi sono esaminati e approvati dai vertici dell’organizzazione (direzione o consiglio d’amministrazione). 3. Il personale addetto al servizio informatico non ne è, al contempo, utente e viceversa: il personale del servizio informatico non può avviare o approvare un’operazione, mentre il personale che utilizza le risorse informatiche non può scrivere programmi che modifichino i dati. 4. Nell’ambito dell’organizzazione viene pubblicato ed aggiornato un organigramma del servizio informatico. 5. Per quanto concerne il personale del servizio informatico, è stata definita una politica che garantisce l’assunzione, la formazione e la permanenza del personale - 56 - Allegato 1, pagina 2 in possesso delle competenze necessarie e che prevede eventuali sostituzioni in caso di cessazione delle funzioni. 6. In ogni settore funzionale del servizio informatico si rilevano livelli appropriati di supervisione e di approvazione. 7. Nel servizio informatico sono disponibili delle descrizioni ufficiali delle varie mansioni, regolarmente aggiornate. 8. Il personale addetto alla gestione e quello incaricato della programmazione appartengono a due gruppi distinti: i primi non sono autorizzati a scrivere programmi e i programmatori non possono far funzionare i computer. 9. Se le dimensioni del servizio informatico lo consentono, è opportuno che il personale avente accesso al software di sistema non svolga funzioni di programmatore e di operatore. 10. Le procedure di sicurezza di carattere logico (diritti di accesso e password) sono gestite da personale che non si occupa della programmazione. 11. Il servizio informatico è regolarmente in contatto con i servizi utilizzatori. 12. Una politica di gestione dei cambiamenti disciplina lo sviluppo e il potenziamento delle applicazioni informatiche ed assicura che i nuovi programmi vengano pienamente “collaudati” ed accettati dall’utente. GB. POLITICA IN MATERIA DI SICUREZZA GB1. Sensibilizzazione e politica in materia di sicurezza Definire e comunicare le politiche e le procedure relative alla sicurezza delle informazioni, fare in modo che i responsabili della gestione, gli utilizzatori e il personale del servizio informatico siano consapevoli dei problemi di sicurezza e che rispettino pertanto le procedure applicabili in materia. 1. È stata definita una politica per quanto concerne l’accesso, sia logico che fisico, alle risorse informatiche; essa è stata comunicata alla direzione e al personale, che vi si attengono. 2. Una politica di sicurezza fisica riguardante: le restrizioni in materia di accesso agli edifici, ai locali informatici, alle zone in cui è custodito materiale informatico, i rischi di incendio e di altri sinistri, il piano di emergenza, è stata definita, comunicata ai responsabili della gestione al personale, che la rispettano. - 57 - Allegato 1, pagina 3 3. Tutti gli agenti che utilizzano i PC sono tenuti a firmare un documento contenente le disposizioni relative alla sicurezza e altre da seguire rigorosamente, comprese le norme in materia di sicurezza fisica, l’esclusiva utilizzazione di software autorizzato (provvisto di licenza) e di misure anti-virus (limitazioni all’importazione di dati e di programmi potenzialmente pericolosi). 4. L’accesso alle risorse informatiche è controllato attraverso i codici di identificazione dell’utente e le password riservate. 5. I codici di identificazione dell’utente e le password sono stabiliti dal personale incaricato a tal fine e solo previa autorizzazione scritta dal superiore gerarchico della persona che richiede l’accesso. 6. La politica relativa all’accesso da parte del personale a risorse esterne, tra cui Internet, è stata definita ed enunciata. 7. Un responsabile della sicurezza con la formazione tecnica adeguata viene designato e consultato ai fini dell’approvazione dei dispositivi di controllo dell’accesso posti in atto. 8. Le procedure di sicurezza vengono periodicamente sottoposte a verifica. 9. Il responsabile della sicurezza presenta regolarmente relazioni ufficiali sullo stato delle procedure di sicurezza; i responsabili della gestione provvedono a dar seguito a tali relazioni. 10. La direzione incarica di tanto in tanto degli esperti (consulenti esterni o addetti al controllo interno) di procedere ad una revisione ufficiale della sicurezza dei sistemi informativi. 11. Se la rete è accessibile dall’esterno (ad esempio Internet), è stato posto in atto un sistema di protezione (“firewall”). 12. L’efficacia di questo sistema è stata esaminata da un consulente specializzato. GC. CONTINUITÀ E RIPRESA DELL’ATTIVITÀ DOPO UN SINISTRO GC1. Back-up, memorizzazione esterna alla sede dell’istallazione (off-site), recupero e piano di intervento in caso di sinistro (disaster recovery) Garantire la sicurezza dei dati contro il rischio di perdita o di danno ed assicurare la continuità delle operazioni. 1. Sono state definite una politica e una procedura dettagliate per quanto concerne una copia di emergenza dei dati e dei programmi (back-up). - 58 - Allegato 1, pagina 4 2. Sono previste routine che consentono di produrre copie di salvaguardia dei file nell’ambito delle normali attività quotidiane (particolarmente importanti per i sistemi decentrati con teleinserimento dei dati etc.). 3. Copie di salvaguardia dei file chiave principali vengono eseguite in base ad un calendario appropriato e custodite esternamente alla sede dell’istallazione. 4. Copie di back-up dei programmi applicativi chiave e della documentazione fondamentale vengono effettuate e custodite off-site. 5. Copie di back-up dei programmi del sistema operativo vengono prodotte e custodite off-site. 6. I programmi applicativi e i programmi del sistema operativo off-site sono aggiornati o sostituiti ogniqualvolta vengano apportate modifiche significative ai programmi. L’accesso ai file permanenti, ai programmi applicativi e ai programmi del sistema operativo situati esternamente al luogo dell’istallazione è limitato al personale autorizzato. 7. Le procedure di recupero e di riavviamento, compreso il ripristino rapido dei file danneggiati o perduti sono poste in atto e verificate periodicamente. 8. Esiste un piano di emergenza anti-sinistro (disaster recovery), per la continuità dell’attività, che consente di proseguire le operazioni in corso, al livello richiesto dagli utenti, nel caso in cui il servizio informatico non sia in grado di assicurare il normale funzionamento delle sue attività. 9. Il piano anti-sinistro viene regolarmente sottoposto a test (ad esempio su base annuale). In seguito a tali verifiche vengono redatte delle relazioni formali e la direzione provvede ad adottare le misure necessarie. 10. Le copie del piano suddetto sono custodite off-site. GD. GESTIONE DEL PATRIMONIO INFORMATICO E RICORSO A FORNITORI DI SERVIZI ESTERNI GD1. Responsabilità relative al patrimonio informatico dell’organizzazione Fare in modo che sia designato un responsabile della gestione delle risorse informatiche. 1. Nell’ambito dell’organizzazione viene determinata la “proprietà” di ciascun bene informatico (hardware, software, applicazioni e dati). 2. Viene reso conto delle attività del personale e del funzionamento delle attrezzature. - 59 - Allegato 1, pagina 5 3. Gli utenti sono responsabili/proprietari dei rispettivi dati ed applicazioni. 4. Vengono eseguiti e regolarmente verificati inventari dell’hardware. 5. Un inventario attendibile del software (compreso il software istallato nei PC) viene eseguito e regolarmente verificato. 6. Viene designato un responsabile incaricato di verificare il rispetto delle condizioni previste dalle licenze per l’utilizzazione del software e vengono attuate, a tal fine, le misure necessarie. 7. È definita una politica chiara in materia di gestione e di responsabilità informatiche dei singoli utenti, riguardante, fra l’altro: - la sicurezza (cfr. GB1.3); le esigenze in termini di back-up; la misura in cui i programmi possono essere sviluppati dagli utenti finali; la documentazione e le altre procedure di base per questi programmi locali nonché per i fogli elettronici che assolvono talune funzioni in seno all’organizzazione. 8. Lo stato e la “proprietà” della posta elettronica sono stati definiti e comunicati al personale. GD2. Ricorso ai fornitori di servizi esterni (ad esempio, esternalizzazione (outsourcing) di servizi specifici, uso di uffici informatici esterni) Assicurare una gestione efficace del ricorso a fornitori di servizi esterni. 1. È previsto l’accesso da parte dei controllori. 2. Il contratto o la convenzione relativa alla qualità dei servizi forniti specificano alcune esigenze riguardanti, fra l’altro: il rendimento; la sicurezza; la proprietà dei dati e l’accesso a questi ultimi; la disponibilità dei servizi; le disposizioni da applicare in casi di emergenza (ad esempio se il fornitore di servizi cessa la sua attività). 3. La direzione sorveglia attivamente il rendimento rispetto alle esigenze espresse. - 60 - Allegato 2, pagina 1 ALLEGATO 2 CONTROLLI DELLE APPLICAZIONI INFORMATICHE OBIETTIVI DI CONTROLLO ED ESEMPI DI TECNICHE DI CONTROLLO OBIETTIVI DI CONTROLLO Procedure o controlli possibili Nota: In ciascun caso, si tratta di una gamma di possibilità presentate a titolo illustrativo; non è necessario che siano tutte realizzate per conseguire l’obiettivo di controllo; l’obiettivo può essere raggiunto in altri modi. Il controllore deve formulare un giudizio sull’efficacia complessiva dell’insieme dei controlli effettivamente compiuti, tenendo a mente le dimensioni, la complessità e l’importanza del sistema in causa. AA. ORGANIZZAZIONE E DOCUMENTAZIONE AA1. Responsabilità in materia di applicazioni Fare in modo che le responsabilità siano adeguatamente ripartite sul piano della gestione per quanto concerne ogni aspetto della manutenzione e del funzionamento delle applicazioni. 1. L’utilizzatore (o l’utente principale) è considerato il responsabile (“proprietario”) dell’applicazione. 2. La manutenzione dell’applicazione e le decisioni circa il suo futuro sviluppo sono gestite formalmente, di preferenza dal proprietario. 3. Il rendimento dell’applicazione e il suo contributo alla funzione operativa di cui fa parte sono gestite attivamente, di preferenza dal proprietario. 4. La proprietà dei dati utilizzati dall’applicazione è specificata. 5. I compiti del servizio informatico e di eventuali terzi (ad esempio (software-house) società di servizi e di consulenza) per quanto concerne il funzionamento e l’assistenza relative all’applicazione sono previsti nelle convenzioni relative alla qualità del servizio (mediante contratto nel caso di terzi). 6. Tutti i servizi incaricati di inserire i dati e di gestire i risultati prodotti sono noti e le loro responsabilità (in materia di tempi, qualità, sicurezza etc) sono oggetto di un accordo formale. - 61 - Allegato 2, pagina 2 7. La ripartizione delle responsabilità riguardo alla precisione e all’integrità permanente dei dati memorizzati è chiara (di norma, la responsabilità dovrebbe incombere, in ultima analisi, all’utente). 8. Per quanto riguarda le decisioni da adottare e da porre in atto in merito alle disposizioni di sicurezza e di controllo concernenti l’applicazione, le responsabilità sono assegnate tenendo conto della politica di sicurezza generale dell’organizzazione e delle misure di sicurezza applicate dal servizio informatico. 9. Sono designati i responsabili incaricati di fornire e tenere aggiornata la documentazione, compresi i manuali dell’utente. AA2. Ripartizione dei costi Fare in modo che i costi del funzionamento delle applicazioni siano identificati e costantemente esaminati. 1. I costi di funzionamento dei computer sono registrati e ripartiti per applicazione. 2. Le spese generali e le spese per il personale del servizio informatico sono identificate e ripartite per applicazione. 3. Le spese di funzionamento sono notificate al responsabile dell’applicazione e ai responsabili della gestione delle risorse; esse vengono esaminate conformemente alla politica dell’organizzazione in materia. 4. Le spese di manutenzione e di potenziamento delle applicazioni informatiche sono identificate e notificate. 5. Per quanto riguarda i lavori di sviluppo e di manutenzione vengono elaborati dei preventivi approvati dal proprietario o dal responsabile della gestione delle risorse; essi vengono usati per controllare i lavori. AA3. Documentazione Fare in modo che sia predisposta tutta la documentazione necessaria, considerando i tipi di applicazioni in causa e le necessità dell’organizzazione. (La documentazione può essere custodita su supporto non cartaceo a condizione che siano assicurate la disponibilità e l’affidabilità dei mezzi di stoccaggio.) 1. UNA DESCRIZIONE DETTAGLIATA DEL SISTEMA presenta i dati e il funzionamento dell’applicazione in termini che ne fanno un mezzo di comunicazione efficace fra gli utenti e i fornitori di servizi informatici. 2. La descrizione dettagliata del sistema viene regolarmente aggiornata. 3. Essa è conforme alle norme dell’organizzazione in materia di documentazione e alla metodologia di sviluppo dei sistemi. - 62 - Allegato 2, pagina 3 4. In essa (o in un documento a parte) sono indicate le esigenze dell’utente in materia di controllo ed eventuali altri requisiti speciali riguardanti l’applicazione. 5. Una DOCUMENTAZIONE DEI PROGRAMMI strutturata e compendente codicisorgente comprensibili è disponibile e regolarmente aggiornata. 6. I diritti dell’organizzazione di ottenere una documentazione e codici-sorgente sviluppati da contraenti esterni sono garantiti anche in caso di bancarotta del fornitore (ad esempio depositandoli presso terzi). 7. Le ISTRUZIONI PER GLI OPERATORI sono aggiornate e vertono su qualsiasi azione speciale richiesta (ad esempio: risposta ad un messaggio di errore, chiusura non rientrante nella norma etc.). 8. I MANUALI DELL’UTENTE definiscono con precisione responsabilità e procedure e sono sistematicamente aggiornati. AB. IMMISSIONE DATI AB1. Autorizzazione Fare in modo che siano introdotti tutti - ed esclusivamente - gli elementi autorizzati. 1. I controlli di accesso assicurano che solo le persone autorizzate accedano alle procedure di immissione dei dati. 2. Le immissioni di dati sono eseguite in base a documenti autorizzati, sottoposti a verifica per quanto concerne l’autorizzazione (solitamente una firma) da parte della persona che procede all’inserimento dei dati, oppure ad una verifica amministrativa preliminare. 3. I documenti utilizzati per l’immissione dei dati sono numerati progressivamente; vengono inoltre verificate, mediante computer o manualmente, la validità e l’integrità della sequenza. 4. Le registrazioni che non rientrano nella trascrizione di documenti autorizzati ricevono l’autorizzazione in funzione della loro importanza prima di essere elaborate. (Tale operazione può aver luogo, all’occorrenza, su base statistica). I metodi adottati comprendono: - lo stoccaggio delle registrazioni in un file apposito fino al loro svincolamento da parte di un supervisore mediante un procedimento interattivo; - la segnalazione delle registrazioni recenti da sottoporre ad un supervisore per la verifica; - l’ottenimento dell’autorizzazione a stampare, successiva alla registrazione, prima di procedere ad ulteriori elaborazioni; 5. La trasmissione dei documenti autorizzati e verificati è controllata per blocchi (tecnica batch). - 63 - Allegato 2, pagina 4 6. Le registrazioni vengono stampate per conferma e inviate agli ordinatori per l’apposizione della firma. 7. Le modifiche dei dati permanenti vengono autorizzate adeguatamente. 8. Le verifiche programmate impediscono la convalida e il trattamento delle registrazioni che non possono, logicamente, essere state autorizzate, ad esempio nel caso di pagamenti per importi superiori alla dotazione disponibile. AB2. Esaustività ed esattezza dei dati Assicurarsi che i dati introdotti nelle applicazioni siano esatti e completi. (L’immissione comprende sia dati relativi ad operazioni che dati permanenti/di riferimento.) 1. Vengono eseguiti controlli per blocchi che comprendono l’uso di totali di controllo (hash) per tutti i campi particolarmente delicati ed è accertata la concordanza dei totali richiesti. 2. I controlli di validità sono espletati da un programma per assicurare che i dati registrati: - abbiano il formato previsto per ciascun campo; - siano contenuti entro certi limiti (ad esempio, non devono essere negativi laddove ciò è logicamente impossibile né superare importi ragionevoli prestabiliti; essi devono inoltre rientrare nella sequenza conosciuta di elementi dello stesso tipo (numeri di assegni etc.). 3. Per i dati riservati si ricorre alla doppia registrazione. 4. Per l’introduzione dei dati on-line, i tabulati delle registrazioni eseguite indicano i totali aggregati, i quali vengono verificati o confrontati con i totali stabiliti separatamente per la sessione. 5. Dei digit di controllo vengono utilizzati con numeri di riferimento e sottoposti ad una procedura di convalida. 6. La convalida comprende verifiche di coerenza dei dati inseriti (ad esempio, debiti = crediti; i numeri di riferimento corrispondono al relativo materiale descrittivo.) 7. Si procede a controlli di carattere logico avvalendosi di registrazioni esistenti ed accessibili (ad esempio, i saldi di conto). 8. I dati permanenti (e altri dati chiave) sono stampati e approvati definitivamente dall’utilizzatore responsabile prima di essere utilizzati nell’elaborazione. 9. Qualora il sistema rifiuti dei dati nel corso della procedura di convalida o di elaborazione, vengono creati dei file di attesa (suspense file) informatici o manuali per la gestione degli errori; sono inoltre previste delle procedure per assicurare la - 64 - Allegato 2, pagina 5 correzione e il reinserimento rapidi dei dati in sospeso (senza per questo eludere la procedura di autorizzazione normale e le altre verifiche relative alle registrazioni) o la loro soppressione. AC. ELABORAZIONE AC1. Elaborazione delle operazioni Fare in modo che il trattamento delle operazioni sia esauriente ed aritmeticamente esatto e che i risultati (compresi i dati generati) siano correttamente classificati e adeguatamente registrati nei file informatici. 1. I totali di controllo per il blocco o la sessione sono confrontati con la modifica complessiva in record di controllo appropriati, nell’ambito dei file informatici. (È importante che i tipi di blocchi e le registrazioni di controllo siano strutturati in modo da consentire l’individuazione, mediante questo controllo, di un errore di classificazione rilevante). 2. Qualora il programma generi dei dati (ad esempio svolga operazioni aritmetiche come la conversione di valuta, o ricerchi e registri dei dati aventi un nesso logico ma non aritmetico con i dati inseriti, ad esempio, i pagamenti), l’utente compie delle verifiche rispetto ad una previsione dell’importo globale elaborata separatamente o ad un campione di operazioni. 3. Le informazioni prodotte comprendono stampe o videate di controllo su cui gli utilizzatori responsabili devono confermare e accettare i totali di controllo chiave. 4. I controlli di convalida inclusi nei programmi comprendono le seguenti oeprazioni: (1) fare in modo che i totali (per blocco) stabiliti prima dell’elaborazione siano presi interamente in considerazione in ciascuna fase; (2) effettuare controlli di coerenza laddove le registrazioni eseguite riassumono informazioni già esistenti (ad esempio, quando figurano sia il numero di conto che il nome); (3) effettuare controlli dei limiti degli importi generati (calcolati, ricercati) per programma. 5. I computi e i totali di controllo sono tenuti su ciascun file di dati cui ha accesso l’applicazione. 6. I computi e i totali di controllo sono tenuti per ciascun tipo di operazione. 7. Viene utilizzata una serie di processi (success units) per assicurarsi che le operazioni complesse siano interamente iscritte negli appositi file oppure completamente annullate. 8. Dei file di controllo separati su un elaboratore diverso vengono utilizzati per verificare che siano state caricate le versioni appropriate dei file. - 65 - Allegato 2, pagina 6 9. I totali di controllo manuale sono stabiliti e raffrontati regolarmente con i totali prodotti dal sistema. 10. Qualora il sistema rifiuti dei dati nel corso della procedura di convalida o di elaborazione, vengono creati dei file di attesa informatici o manuali per la gestione degli errori; sono previste delle procedure per assicurare la correzione e il reinserimento rapidi dei dati in sospeso (senza eludere la procedura di autorizzazione normale e le altre verifiche relative alle registrazioni) o la loro soppressione. AC2. Altre operazioni di elaborazione Fare in modo che altre operazioni di elaborazione (comprese la riorganizzazione dei dati, come le procedure di fine anno o di fine mese, le verifiche regolari dell’integrità dei dati, la produzione di rapporti e di analisi non direttamente connessi ai dati registrati, la fornitura di dati ad altre applicazioni e i dispositivi di interrogazione) siano eseguite a tempo debito e diano risultati corretti). 1. Il calendario relativo alle operazioni regolari di questo tipo è controllato dall’utilizzatore; l’esecuzione ha luogo secondo le istruzioni di quest’ultimo. 2. Le procedure utenti stabiliscono le responsabilità relative alle verifiche da compiere sui risultati di tali operazioni (ad esempio, verificare che gli importi indicati come trattati corrispondano alle previsioni, che i nuovi importi globali che figurano nelle registrazioni di controllo rispecchino gli adeguamenti previsti, che i rapporti informativi di gestione indichino mediante totali di controllo che vi è incluso l’insieme dei dati previsti). 3. Laddove i dati appartenenti all’applicazione sono accessibili da parte di un dispositivo di interrogazione, il grado di verifica appropriato è incorporato nel trattamento che genera risposte (ad esempio, dimostrare, ove sia importante, che tutti i record pertinenti sono stati letti, calcolando e indicando il totale delle registrazioni che non sono state selezionate). 4. Gli utilizzatori di dispositivi di interrogazione e i responsabili di altre applicazioni che si servono dei dati sono consapevoli del livello di affidabilità dei dati e della procedura programmata con cui li ottengono. AD. TRASMISSIONE DEI DATI AD1. I dati dovrebbero essere trasmessi in maniera accurata ed esauriente Fare in modo che tutti i dati trasmessi, attraverso la rete o mediante dischetti o nastri, giungano a destinazione corretti e completi e che non si verifichino perdite o divulgazioni di dati durante la loro trasmissione (vedasi inoltre la sezione AF1). 1. Utilizzazione di digit di controllo, di totali “hash” e di altri totali di controllo. 2. Utilizzazione di firme digitali. - 66 - Allegato 2, pagina 7 3. Codificazione dei dati.. 4. Uso di password. 5. Numerazione progressiva dei messaggi, sequenziamento delle operazioni. 6. Le notifiche che confermano il ricevimento vengono trasmesse e immediatamente raffrontate alle registrazioni dei dati trasmessi. AE. DATI PERMANENTI AE1. Esattezza duratura dei dati permanenti Garantire che tutti i dati contenuti nel sistema e aventi carattere permanente o di riferimento permangano esatti e completi. 1. La responsabilità della verifica dell’esattezza permanente dei dati incombe o al gestore della base dati o agli utilizzatori competenti. 2. I totali di controllo sono utilizzati per sorvegliare lo stato dei file che contengono dati permanenti. 3. La stampa di dati permanenti o di riferimento viene controllata periodicamente dall’utilizzatore competente in base a documenti-sorgente. Tale verifica può aver luogo su base ciclica o statistica, a seconda del rischio che comportano eventuali dati inesatti. AF. USCITA AF1. Esattezza delle informazioni prodotte Assicurare l’esattezza e l’esaustività delle informazioni prodotte su carta, video, o supporti magnetici, nonché attraverso collegamenti elettronici. 1. Il programma effettua verifiche di convalida e del campo di variazione sulle registrazioni prodotte. Se le informazioni prodotte non sono conformi appaiono dei messaggi di avvertimento. Esiste una procedura diretta all’utente per trattare questi messagi di avvertimento. 2. Esistono procedure volte a garantire un livello appropriato di controllo di plausibilità per quanto riguarda i risultati stampati (dall’assenza di controllo per documenti interni che non costituiscono una base su cui adottare decisioni alla lettura integrale a fronte di documenti di sostegno, come, ad esempio, per gli assegni di importo elevato). 3. Per la trasmissione di istruzioni di pagamento alle banche: - l’utilizzatore competente si serve sia dei totali di controllo che delle verifiche mediante sondaggio (ad esempio verifiche saltuarie a campione sul disco da trasmettere o lettura a caso e campionamento dei messaggi trasmessi) per - 67 - Allegato 2, pagina 8 - ottenere la ragionevole certezza che le informazioni effettivamente inviate siano identiche a quelle autorizzate; la trasmissione di nastri o di dischi deve essere curata da servizi di corriere affidabili; i dischi o i nastri preparati in attesa di essere inoltrati devono essere custoditi con la massima sicurezza; i limiti prestabiliti relativi all’importo totale e alle singole operazioni sono concordati con la banca; gli avvisi di ricezione vengono tempestivamente raffrontati (in tempo per revocare eventualmente i pagamenti); il raffronto post-pagamento viene eseguito tempestivamente. 4. I prospetti d’uscita comprendono totali confrontati dall’utilizzatore con i totali stabiliti prima dell’inserimento dei dati. Delle stampe particolareggiate dell’input sono disponibili, all’occorrenza, per esaminare eventuali divergenze. AF2. La distribuzione corretta delle informazioni prodotte Fare in modo che le informazioni generate pervengano a tutti i destinatari contemplati, ed esclusivamente ad essi. 1. I dati prodotti dal centro informatico sono tenuti sotto sorveglianza e distribuiti rispettando le norme di sicurezza necessarie e la loro riservatezza. 2. Gli elenchi dei destinatari delle informazioni generate sono rivisti regolarmente e i recapiti inutili o inesatti vengono cancellati. 3. Le copie superflue dei risultati ottenuti (per le quali non vi sono cioè destinatari) non vengono prodotte. 4. Le norme di sicurezza generali applicate ai personal computer, ai terminali e alle stampanti situati presso gli utilizzatori finali garantiscono sufficientemente la riservatezza dei dati generati, tenendo conto del livello di sicurezza dell’edificio e della qualità dei controlli in materia di password etc.. 5. La persona responsabile della sicurezza relativa all’applicazione conosce bene i vari gruppi di utilizzatori che hanno accesso ai dati generati in qualsiasi forma e decide di conseguenza in materia di controllo (cfr. il punto AA1.8). In particolare, i controlli di accesso logico per l’applicazione tengono conto delle possibilità di accesso attraverso tutte le reti con cui è collegata l’istallazione. 6. Tutta la produzione prevista è preso in considerazione (ad esempio, l’uso di una numerazione progressiva per individuare la soppressione non autorizzata di rapporti che segnalano eccezioni). 7. I rapporti vengono prodotti regolarmente anche se non vi sono problemi da segnalare (i destinatari dovrebbero pertanto abituarsi a ricevere un rapporto e ad essere più - 68 - Allegato 2, pagina 9 attenti a rilevare un rapporto soppresso da una persona che non desidera che il suo contenuto venga divulgato.) 8. I formulari di documenti negoziabili, riservati o delicati (ad esempio gli assegni) devono essere correttamente registrati e protetti affinché possano essere adeguatamente salvaguardati da furti o danni. Il registro dei formulari deve essere regolarmente confrontato con l’inventario disponibile e le eventuali discrepanze rilevate devono essere accuratamente esaminate. - 69 - Allegato 3, pagina 1 ALLEGATO 3 ESIGENZE IN MATERIA DI CONTROLLO DELLE APPLICAZIONI I seguenti requisti sono espressi in termini generali. Nel complesso, è necessario fornire ai gestori utilizzatori degli elementi probatori con una frequenza adeguata (ad esempio quotidianamente), affinché essi possano avere la certezza che i dati e l’elaborazione operata dall’applicazione sono corretti. Soluzioni specifiche (come gli aggregati e i totali di controllo, la numerazione progressiva, i rapporti da utilizzare per un raffronto o per la verifica di plausibilità, la consultazione del supervisore/responsabile e l’approvazione registrata dei dati di controllo sullo schermo) devono essere definiti nelle prime fasi del progetto. Quanto segue presuppone che nei sistemi/reti in cui è installata l’applicazione in causa siano insiti controlli generali del sistema soddisfacenti per l’utente. Tali controlli dovrebbero coprire, ad esempio, l’accesso fisico, l’accesso logico in generale, la separazione delle funzioni del personale informatico, il back-up, il piano di ripristino in caso di sinistro, le modifiche (a livello di software), nonché indicatori di rendimento che misurino l’efficienza del sistema. 1. Accesso L’applicazione dovrebbe impedire l’accesso ai programmi da parte di personale non autorizzato e prevedere che l’accesso alle risorse utenti (elaborazioni o dati) sia gestito da uno o più utilizzatori principali ed eventualmente limitato, all’occorrenza, per rispettare le diverse modalità di lavoro e separazioni delle funzioni vigenti in seno ai servizi utilizzatori (ad esempio, in base al codice contabile, al valore, alle funzioni etc.). L’accesso dovrebbe essere sempre controllato e registrato su base individuale e il sistema dovrebbe impedire e segnalare qualsiasi tentativo di accesso non autorizzato. 2. Immissione di dati Il sistema dovrebbe fornire elementi probatori che consentano ai responsabili utilizzatori di accertare l’esaustività dei dati immessi (compresi i dati permanentit), la loro validità conformemente alle esigenze dell’utilizzatore e la loro corretta registrazione nei file adeguati. 3. Integrità dei dati Il sistema dovrebbe essere organizzato in modo da fornire regolarmente ai responsabili utilizzatori elementi da cui risulti che i dati permanenti e quelli registrati sono sempre completi ed esatti. 4. Elaborazione delle operazioni Il sistema dovrebbe fornire regolarmente elementi atti a dimostrare l’esattezza del trattamento delle operazioni nel loro complesso e della loro registrazione nei file adeguati. - 70 - Allegato 3, pagina 2 5. Modifica dei dati e dei programmi attraverso procedure di emergenza Qualora dei dispositivi o delle procedure di emergenza che consentono di modificare dei dati saltando la normale procedura di convalida siano integrati nell’applicazione, è necessario poterne registrare e limitare rigorosamente l’utilizzazione. 6. Traccia del controllo È necessario poter tracciare nel sistema l’iter seguito da tutte le operazioni. Dovrebbe essere tenuta una traccia di ciascun dato componente i totali stabiliti in varie fasi, onde poter identificare le singole operazioni. 7. Record Tutte le azioni eseguite per ciascuna registrazione di operazioni dovrebbero essere contrassegnate dal codice di identificazione dell’utilizzatore, nonché recare la data e l’ora del computer (oltre al codice di operazione). Dovrebbero essere conservate le registrazioni complete di ciascuna modifica (senza sovrapposizione di registrazioni). 8. Uscita I dati generati dovrebbero recare la data e l’ora nonché (qualora fosse necessario a fini di controllo) un numero progressivo. Dei controlli appropriati (il cui funzionamento deve essere dimostrato al contabile) devono essere espletati sul trasferimento elettronico dei dati di pagamento, al fine di garantire che tutte le operazioni autorizzate (e solo quelle) siano eseguite a tempo debito. - 71 - CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 23 IL CAMPIONAMENTO A FINI DI CONTROLLO INDICE Paragrafi Norme di controllo dell'INTOSAI Fattori che incidono sulla decisione di procedere ad un campionamento Concetti di base e definizioni Le fasi del campionamento a fini di controllo Documentazione Controllo sulla gestione Valutazione dei risultati globali delle verifiche di convalida 1 2 3 4 5 6 Allegato 1 -------------------- 1. Riferimento alle norme di controllo dell’INTOSAI 1.1 Nella spiegazione delle norme di controllo dell'INTOSAI (paragrafo 153) si legge: "I risultati del controllo, le conclusioni e le raccomandazioni devono essere basati su elementi probatori. Dato che i controllori raramente hanno l'occasione di esaminare tutte le informazioni relative all'organismo controllato, è d'importanza fondamentale scegliere accuratamente le serie di dati e le tecniche di campionamento". 2. Fattori che incidono sulla decisione di procedere ad un campionamento 2.1. Gli elementi probatori possono essere raccolti usando tecniche diverse che possono essere riassunte nelle grandi categorie di ispezione, osservazione, indagine e conferma, calcoli ed analisi (cfr. l'allegato 1 del criterio-guida n. 13 "Elementi probatori e metodo di controllo"). Il controllore può applicare siffatte tecniche ad un insieme intero di dati (verifica del 100%) oppure trarre conclusioni per l'insieme intero di dati (la popolazione) prelevando da esso e analizzando un campione rappresentativo di elementi: quest'ultima procedura è detta campionamento a fini di controllo. 2.2. Il controllore deve giudicare se il campionamento costituisca un mezzo adeguato per ottenere parte degli elementi probatori necessari. Tra i fattori da considerare figurano: - 72 - . il numero e la grandezza relativa degli elementi nella popolazione; . . la validità degli elementi in causa e il loro rischio intrinseco di errore; la pertinenza e l'attendibilità degli elementi probatori forniti da verifiche e procedure alternative, i costi relativi e il tempo che ciascuna di esse richiede. 2.3. Il campionamento spesso risulterà adeguato quando si effettuano sia test sul controllo che verifiche di convalida. Tuttavia, poiché gli obiettivi di questi tipi di verifiche sono diversi, potrà essere necessario ricorrere a metodi diversi di campionamento. 3. Concetti di base e definizioni 3.1. Dato che il controllore cerca di trarre delle conclusioni relative ad una popolazione intera analizzando un campione di elementi da essa prelevati, è d'importanza fondamentale che il campione sia rappresentativo della popolazione da cui è preso. 3.2. Vi è il rischio che al termine di una verifica su un campione il controllore giunga a conclusioni diverse da quelle che avrebbe tratte se tutta la popolazione fosse stata sottoposta a verifica: questo è detto il rischio di campionamento. Il controllore deve dar prova di avvedutezza nella programmazione, nell'esecuzione e nella valutazione dei risultati del lavoro di campionamento, al fine di ridurre ad un livello accettabile il rischio di campionamento. 3.3. Vi sono campioni statistici e campioni non statistici. Entrambi esigono professionalità nelle fasi della programmazione, della verifica e della valutazione. Il campionamento statistico inoltre richiede l'impiego di metodi di selezione casuale e applica la teoria della probabilità. Questo consente al controllore di: . . . definire la grandezza del campione; valutare i risultati sotto il profilo quantitativo; stimare il rischio di campionamento e trarre così delle conclusioni concernenti l'intera popolazione. Il presente criterio guida non si prefigge di fornire orientamenti dettagliati per quanto concerne la teoria della probabilità; se del caso, il controllore dovrebbe consultare esperti per giungere a valide conclusioni in questo campo. 3.4. Anche quando il controllore decide di prelevare un campione non statistico egli dovrebbe considerare l'opportunità di applicare metodi di selezione casuale. In genere ciò aumenta la probabilità che il campione sia rappresentativo della popolazione. Il controllore deve sempre vagliare con attenzione se un campione non statistico costituisca una base ragionevole per trarre delle conclusioni in merito alla popolazione da cui è tratto. 4. Le fasi del campionamento a fini di controllo 4.1. Tanto per i campioni statistici quanto per quelli non statistici è utile distinguere quattro fasi distinte nel processo di campionamento: la programmazione del campione, la selezione degli elementi da verificare, la verifica, la valutazione dei risultati. I paragrafi che seguono brevemente riassumono ciascuna di queste fasi. - 73 - Programmazione del campione -----------------------------------4.2. Nella prima fase della programmazione del campione viene definita con precisione la popolazione. È importante disporre di una popolazione omogenea per prelevare campioni statistici. Ciò significa che la popolazione dovrebbe essere composta di elementi perlopiù simili, a cui si applicano sistemi simili o comuni e che pertanto sono esposti a rischi analoghi. È opportuno definire anche gli elementi da campionare: può trattarsi infatti di un'operazione, del saldo di un conto, o forse di un'unità monetaria. 4.3. È indispensabile che il controllore definisca con chiarezza l'obiettivo specifico del controllo che si intende conseguire con l'analisi del campione. Questo procedimento dovrebbe comprendere la definizione di errore (nella verifica di convalida) o di eccezione (nei test sul controllo). 4.4. Anche le dimensioni del campione dovrebbero essere definite in questa fase della programmazione. Un fattore importante è costituito dal fatto che un campione di dimensioni più vaste ha maggiori probabilità di essere rappresentativo della popolazione rispetto ad un campione più ridotto. Tuttavia, se il settore da verificare è considerato relativamente insignificante in termini di consuntivi finanziari globali, il controllore può essere propenso ad accettare un rischio maggiore di campionamento. Selezione degli elementi da verificare ------------------------------------------4.5. Durante tutta la procedura di selezione, è bene che il controllore esamini regolarmente se il campione selezionato sarà sufficientemente rappresentativo della popolazione. Questo è particolarmente importante nel caso di un campione non statistico e soprattutto quando la selezione non è casuale. 4.6. Il controllore dovrebbe guardarsi dal rischio di tralasciare una parte della popolazione quando procede alla selezione del campione. Ad esempio, è spesso necessario, specie in ambienti computerizzati, effettuare un raffronto e documentarlo tra il file usato per prelevare il campione e la popolazione quale figura nei conti dell'organismo. Verifica --------4.7. Nei limiti del possibile, la verifica dovrebbe essere effettuata in base ad un questionario precedentemente definito. In casi eccezionali, ciò potrà rivelarsi non fattibile; occorrerà allora ricorrere a procedure alternative per ottenere elementi probanti equivalenti per gli aspetti interessati. 4.8. Il controllore dovrebbe valutare il momento in cui è opportuno svolgere la verifica. Questo vale in particolare per la verifica di conformità il cui obiettivo è solitamente quello di giudicare se i controlli siano stati efficaci per un certo periodo. - 74 - Valutazione dei risultati ---------------------------4.9. Quando si riscontrano errori od eccezioni, occorre indagarne le cause e la natura. Ciò consente al controllore di valutarne l'impatto potenziale sui consuntivi finanziari sottoposti a controllo e sul controllo stesso. 4.10. Dopo aver valutato gli errori o le eccezioni riscontrati nel campione, è utile che il controllore stimi "il livello più probabile di errore o di eccezione" nella popolazione nel suo insieme. Si procede per estrapolazione dal "livello di errore/eccezione noto" del campione. 4.11. Il terzo passo è quello di aggiungere a questa estrapolazione un margine di rischio di campionamento(1). Questa stima del "livello superiore di errore/eccezione" può ora essere raffrontata al livello massimo di errore/eccezione tollerabile per il controllo. Se il livello totale stimato di errore/eccezione supera il livello tollerabile il controllore dovrebbe considerare le seguenti possibilità: . . . richiedere all'organismo controllato di indagare in merito agli errori/eccezioni riscontrati e in merito al potenziale di ulteriori errori/eccezioni. Potranno eventualmente essere concordati degli adeguamenti nei consuntivi finanziari; svolgere ulteriori verifiche al fine di ridurre il rischio di campionamento e di conseguenza il margine da prevedere nella valutazione dei risultati; applicare procedure di controllo alternative per ottenere garanzie addizionali. 4.12. La conclusione finale tratta dal lavoro di campionamento, assieme ai risultati di altre procedure di controllo, dovrebbe consentire al controllore di valutare se i consuntivi finanziari siano accettabili e di presentare quindi le relative relazioni. 4.13. Questa procedura di valutazione (come viene applicata ai risultati della verifica di convalida) è illustrata nel diagramma che figura all'ALLEGATO 1. 5. Documentazione 5.1. Il controllore deve pervenire a numerosi giudizi nel corso del processo di campionamento. È indispensabile che tali giudizi siano accuratamente documentati (cfr. il criterio-guida n. 26 “Documentazione”) per consentire ai supervisori di svolgere il loro esame. 6. Controllo sulla gestione 6.1. I paragrafi precedenti hanno fornito orientamenti su come utilizzare il campionamento nell'ambito di controlli finanziari (compreso l'esame della legalità e della regolarità). È da rilevare che il campionamento è spesso un mezzo per ottenere elementi probatori nel quadro dei controlli sulla gestione (cfr. il criterio-guida n. 41 “Il controllo sulla gestione”). Gli obiettivi del campionamento possono essere diversi, ma i principi che stanno alla base sono gli stessi. (1) Come rilevato al paragrafo 3.3., è possibile calcolare questo margine solo quando è usata una tecnica di campionamento statistico. - 75 - ALLEGATO 1 : ALUTAZIONE DEI RISULTATI GLOBALI DELLE VERIFICHE DI CONVALIDA LSE ECU Livello massimo di errore (soglia di rilevanza) Margine di errore di campionamento LSE UEL EP LSE Margine di errore di campionamento Margine di errore di campionamento Estrapolazione EP EP Estrapolazione Estrapolazione EN EN Errore noto EN Errore noto Errore noto Situazione I LSE = Limite superiore di errore Situazione II EP = Errore probabile Situazione III EN = Errore noto Conclusioni che si possono trarre: Situazione I: Il limite superiore di errore è inferiore all'errore tollerabile. Il risultato è accettabile. Situazione II: Il limite superiore di errore supera l'errore tollerabile ma l'errore probabile è inferiore all'errore tollerabile. Cfr. il paragrafo 4.11. Situazione III: L'errore probabile supera l'errore tollerabile. I consuntivi finanziari non sono accettabili. - 76 - CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 24 LE PROCEDURE ANALITICHE INDICE Paragrafi Riferimenti alle norme di controllo dell’INTOSAI Introduzione Le procedure analitiche applicate nella pianificazione del controllo Le procedure analitiche applicate come verifiche di convalida Le procedure analitiche applicate nella fase finale del controllo L’uso delle procedure analitiche nel controllo sulla gestione Tipi di procedure analitiche 1 2 3 4 5 6 Allegato 1 -------------------- 1. Riferimenti alle norme di controllo dell’INTOSAI 1.1 La spiegazione delle norme di controllo dell’INTOSAI (paragrafo 86) raccomanda di utilizzare le procedure analitiche nei seguenti termini: "…L’ISC deve dotarsi dell’intera gamma delle metodologie di controllo moderne, comprese le tecniche basate sull’analisi dei sistemi, i metodi di esame analitico, il campionamento statistico e gli strumenti di controllo dei sistemi di informazione automatizzati.” Il paragrafo 160 delle stesse note esplicative spiega l’obiettivo delle procedure analitiche nel controllo dei rendiconti finanziari: "L’analisi dei rendiconti finanziari ha lo scopo di accertare l’esistenza delle relazioni attese fra i diversi elementi dei rendiconti finanziari, consentendo di individuare relazioni inattese e tendenze insolite…" - 77 - 1.2 Le procedure analitiche sono state definite come segue (1): "Le procedure analitiche sono analisi di tendenze e di indici significativi, che comprendono l’esame delle variazioni e delle relazioni che sono incoerenti rispetto ad altre informazioni pertinenti o che presentano uno scarto rispetto agli importi prevedibili.” 1.3 Inoltre, alcuni metodi che possono essere applicati nell’ambito delle procedure analitiche sono stati descritti come segue (2): "Per porre in essere le procedure suddette si possono applicare diversi metodi, che variano dai semplici raffronti ad analisi complesse, in cui si utilizzano tecniche statistiche sofisticate. Le procedure analitiche possono essere applicate a rendiconti finanziari consolidati, a rendiconti finanziari di sottogruppi ... ed ai vari componenti delle informazioni finanziarie. La scelta da parte del controllore delle procedure, dei metodi e del livello di applicazione è una questione di giudizio professionale.” 2. Introduzione 2.1 Il presente criterio-guida di applicazione ha lo scopo di fornire al controllore esterno ("auditor") delle attività della Comunità europea consigli sull’uso delle procedure analitiche. Queste ultime aiutano il controllore: - a comprendere l’organismo da controllare ed a pianificare il controllo (paragrafi 3.1 3.9); ad applicare le procedure come verifiche di convalida (paragrafi 4.1 - 4.12); e ad esaminare i risultati alla fine del controllo (paragrafi 5.1 - 5.2). I controllori possono servirsi delle procedure analitiche sia nel controllo sulla gestione, sia nell’esame dei rendiconti finanziari. L’uso delle procedure analitiche nel controllo sulla gestione è trattato brevemente al paragrafo 6.1. Natura delle procedure analitiche --------------------------------------2.2 Le procedure analitiche comprendono diverse tecniche, che il controllore utilizza per studiare le interrelazioni fra i dati e per verificarne la plausibilità. I dati possono essere sia finanziari, sia non finanziari e provenire da fonti interne ed esterne. In generale le procedure analitiche consistono nell’esaminare le cifre presentate nei rendiconti finanziari per verificare la coerenza fra le stesse e rispetto alle cognizioni del controllore sull’organismo e sulle sue attività. 2.3 Il controllore può fare ricorso a procedure analitiche quando può presumere che sussistano delle relazioni fra le voci contenute nei rendiconti finanziari e le voci figuranti nei conti e (1) Norma internazionale di controllo 520, paragrafo 3 (IFAC Handbook, 1996) (2) Norma internazionale di controllo 520, paragrafo 6 (IFAC Handbook, 1996) - 78 - nei dati non finanziari. Le procedure analitiche comprendono una serie di tecniche specifiche: - - - 2.4 lo studio delle modifiche dei saldi contabili nel corso di periodi precedenti, che porta ad una previsione per il periodo in corso (ad esempio, il rimborso regolare di un prestito per x anni) il confronto tra le informazioni finanziarie ed i risultati attesi (ad esempio esaminando le variazioni dei risultati reali rispetto ai bilanci di previsione ed alle previsioni; lo studio delle relazioni fra i saldi contabili per un certo periodo (ad esempio gli interessi dovuti o esigibili per prestiti assunti o erogati); i calcoli che consentono di prevedere un dato saldo contabile (ad esempio (a) utilizzando dati indipendenti sugli effettivi e sui tassi medi di retribuzione per prevedere i costi totali del personale per il periodo in causa; (b) utilizzando dati provenienti dal settore agricolo per prevedere i pagamenti per ettaro agli agricoltori); lo studio delle relazioni fra le informazioni finanziarie e quelle non finanziarie, che possono confermare la conoscenza delle informazioni finanziarie da parte del controllore oppure attirare la sua attenzione su cifre insolite o impreviste che riflettono le operazioni pertinenti (ad esempio (a) entrate derivanti dalle licenze rispetto al numero di queste; (b) i dazi all’importazione rispetto ai dati sulle importazioni fisiche; (c) i costi dell’ammasso agricolo rispetto ai registri delle scorte fisiche). Le procedure analitiche rientrano in tre ampie categorie: l’analisi delle tendenze, l’analisi degli indici e l’analisi di previsione. Queste procedure sono descritte a grandi linee nell’ALLEGATO 1. Le procedure analitiche basate sull’analisi delle tendenze o degli indici sono molto utili nelle fasi di pianificazione e di esame finale, per aiutare i controllori ad impostare ed a condurre a termine i loro lavori. Le procedure analitiche di previsione sono più comunemente utilizzate per ottenere elementi probatori nell’ambito delle verifiche di convalida. Le possibilità di utilizzazione delle procedure analitiche ---------------------------------------------------------------- 2.5 La misura in cui il controllore può ricorrere alle procedure analitiche dipende da una serie di fattori, e precisamente: - la natura dell’organismo e delle sue attività; la misura in cui i saldi contabili e le operazioni possono essere previsti con un’esattezza ragionevole; la conoscenza dell’organismo acquisita nel corso di controlli precedenti; la disponibilità delle informazioni finanziarie e non finanziarie; l’affidabilità dei diversi tipi di informazioni disponibili; e la compatibilità e l’indipendenza delle informazioni provenienti da fonti diverse. 3. Le procedure analitiche applicate nella pianificazione del controllo 3.1 Nella fase di pianificazione i controllori possono applicare le procedure analitiche: - per confermare e migliorare la loro conoscenza delle attività dell’organismo; per individuare settori di rischio di controllo potenziale; - 79 - - per individuare operazioni e/o saldi contabili inattesi o insoliti rilevanti; e per aiutare a stabilire la natura, il calendario e l’ambito delle procedure di convalida, ivi incluse le procedure analitiche di convalida. 3.2 Le cognizioni che il controllore acquisisce dalle procedure analitiche nella fase di pianificazione possono essere utilizzate per basare su di esse la parte rimanente della procedura di pianificazione e la definizione del metodo per l’esame di particolari saldi contabili. Quando le procedure analitiche applicate alla pianificazione mostrano differenze significative rispetto alle aspettative del controllore, questi dovrà elaborare procedure specifiche per scoprire la causa di queste fluttuazioni. 3.3 Le procedure analitiche nella fase di pianificazione possono anche comportare un’analisi preliminare dei dati disponibili, che aiuterà il controllore a decidere se sia possibile applicare le procedure analitiche di convalida per ottenere i necessari elementi probatori ad un costo ragionevole. Ad esempio, il controllore può svolgere un’analisi iniziale dei dati per valutarne la struttura e la qualità e per indagare su eventuali relazioni fra variabili differenti. 3.4 Quando applica le procedure analitiche nella fase di pianificazione, usualmente il controllore esamina informazioni provenienti da fonti diverse, sia interne sia esterne all’organismo. A titolo di esempio il controllore può esaminare informazioni come: - - i rendiconti finanziari degli esercizi precedenti; relazioni esterne pertinenti, ad esempio relazioni sul rendimento e relazioni statistiche; informazioni non finanziarie pertinenti, come il numero del personale o richieste di risarcimento trattate; i rendiconti finanziari periodici, le relazioni ed altre analisi della direzione dell’organismo, in cui i risultati dell’esercizio in corso sono confrontati con quelli degli esercizi precedenti e con i bilanci di previsione e le previsioni dell’esercizio in corso; e dati su indici significativi e sui risultati rispetto agli obiettivi di rendimento. In molti casi i controllori dovrebbero essere in grado di ottenere la maggior parte di queste informazioni dalla direzione dell’organismo. 3.5 Il grado di sofisticazione e l’ambito delle procedure analitiche applicate nella fase di pianificazione dipendono dalla valutazione del controllore e variano a seconda delle dimensioni dell’organismo, della sua complessità e della disponibilità delle informazioni. Per alcuni organismi le procedure possono limitarsi ad un esame delle modifiche dei saldi contabili fra l’esercizio precedente e l’esercizio in corso. Nel caso di altri organismi le procedure possono comportare un’analisi più approfondita dei rendiconti finanziari mensili e confronti con dati non finanziari. 3.6 Le procedure analitiche applicate nella pianificazione dovrebbero consentire una migliore comprensione delle attività dell’organismo. Le procedure possono comportare: - l’esame dei saldi contabili più significativi e di alcune categorie di operazioni che figurano nei rendiconti finanziari; l’esame dei bilanci di previsione e delle previsioni dell’organismo; - 80 - - il rendimento ed i piani futuri in base a colloqui con i servizi finanziari e operativi; l’esame di statistiche e di altre informazioni sulle attività dell’organismo; e l’esame dei risultati ottenuti rispetto ai bilanci di previsione ed agli obiettivi di rendimento. 3.7 Queste procedure aiutano il controllore ad individuare i mutamenti avvenuti nelle attività e nelle operazioni dell’organismo che possono incidere sui suoi rendiconti finanziari. Esse attirano anche l’attenzione del controllore su settori specifici dei rendiconti finanziari che richiedono un esame particolare. 3.8 Il controllore deve valutare le procedure applicate per la predisposizione del bilancio di previsione dell’organismo prima di fare eccessivo assegnamento su di esse. In particolare, deve tener conto delle pressioni che possono essere esercitate su taluni servizi ai fini del rispetto del bilancio di previsione, nonché del rischio di manipolazione dei risultati, ad esempio con un’imputazione erronea delle spese alle linee di bilancio per evitare un superamento degli stanziamenti. 3.9 Altre procedure analitiche che il controllore può utilizzare nella fase di pianificazione consistono nell’analisi degli indici e nell’elaborazione di profili. Quest’ultima consiste nel rappresentare graficamente i risultati in base alla contabilità mensile, per individuare le operazioni insolite e le fluttuazioni inattese che richiedono una spiegazione. L’analisi degli indici può anche evidenziare tendenze preoccupanti. Queste tecniche possono essere ad esempio: - - il confronto fra la percentuale degli impegni contratti ed il totale degli stanziamenti d’impegno resi disponibili, per verificare il livello di esecuzione del bilancio di previsione (analisi degli indici) il confronto fra le spese di bilancio mensili reali ed il bilancio di previsione, confronto dal quale può risultare che una parte considerevole delle spese è stata erogata durante un periodo di ferie, indicando così la possibile esistenza di un problema (elaborazione dei profili). 4. Le procedure analitiche applicate come verifiche di convalida 4.1 Quando si applicano le procedure analitiche per ottenere elementi probatori di convalida del controllo, il controllore deve tener conto dell’obiettivo del controllo per il quale queste procedure sono utilizzate, della natura dei saldi/operazioni contabili controllati e della qualità dei dati disponibili. Il controllore deve tenere presente che le procedure analitiche sono più affidabili in un ambiente di controllo forte, con controlli interni efficaci e dati esterni qualitativamente soddisfacenti. Le procedure analitiche di convalida hanno anche maggiori possibilità di fornire elementi probatori sull’esaustività e misura dei dati contabili ma, di norma, non forniscono prove sulla legittimità e sulla regolarità delle operazioni e sull’appropriatezza degli elementi dell’attivo e del passivo registrati in bilancio. 4.2 Come fonti di elementi probatori per le verifiche di convalida nei controlli finanziari sono accettabili solo test mirati a prevedere un valore da comparare con un saldo contabile reale. I test di previsione variano da un semplice calcolo del saldo contabile ad un’analisi di regressione complessa. Nello svolgere un test di previsione per ottenere elementi probatori di convalida, il controllore dovrà: - 81 - - determinare lo scarto massimo accettabile che può risultare dalla procedura, fissando un livello di precisione; comprendere il rapporto fra il saldo contabile e le variabili utilizzate nella previsione; confermare l’affidabilità delle informazioni utilizzate; calcolare l’importo previsto; individuare gli scarti significativi fra il saldo contabile e l’importo previsto; esaminare tutti gli scarti ed ottenere una prova di convalida; e valutare i risultati. Queste fasi sono esaminate più dettagliatamente nei paragrafi che seguono. La fissazione di un livello di precisione --------------------------------------------4.3 Per le procedure analitiche di convalida il controllore deve stabilire un livello di precisione. Questa precisione corrisponde allo scarto massimo fra la previsione del controllore e l’importo figurante nei conti, che è ancora accettabile per le finalità del test. Il campo in cui può situarsi il saldo contabile è chiamato zona di ragionevolezza. 4.4 Il controllore deve definire uno scarto accettabile ( e così definire la zona di ragionevolezza) per una procedura analitica di convalida prima di formulare una previsione sul saldo contabile. Lo scarto accettabile rappresenta il punto di riferimento rispetto al quale si valutano i risultati delle procedure analitiche di convalida. Il metodo di calcolo dello scarto accettabile deve tener conto dell’entità del saldo contabile controllato. Quanto più quest’ultimo è rilevante, tanto minore dev’essere lo scarto accettabile come percentuale della cifra contabile verificata. La comprensione della relazione -------------------------------------- 4.5 Per il controllore comprendere la relazione fra il saldo contabile previsto ed altre variabili costituisce l’elemento chiave per valutare l’efficacia delle procedure analitiche di convalida. La relazione deve essere compresa sotto i seguenti punti di vista: - - - Plausibilità - Il controllore deve esser certo che la relazione presunta sia plausibile. Ad esempio, è ragionevole supporre che esista una relazione fra il numero del personale ed il costo totale per le retribuzioni. D’altra parte, non sarebbe necessariamente logico presumere una relazione fra il numero del personale ed altri costi di gestione. Pertinenza - Una variabile particolare può essere soggetta a diverse influenze. Il controllore deve assicurarsi che tutte queste influenze, od almeno le più importanti, facciano parte del modello utilizzato per la previsione. Un semplice calcolo dei costi per le retribuzioni basato sulle cifre controllate degli esercizi precedenti, sulle variazioni nel numero dei dipendenti e sugli aumenti medi dei salari non sarebbe appropriato, ad esempio, quando si sono verificati cambiamenti importanti nella ripartizione del personale secondo i gradi fra un esercizio e l’altro. Coerenza - Non sempre è possibile attendersi che le relazioni osservate in passato continuino nel futuro. Ad esempio, le relazioni fra i saldi contabili, che possono essere state relativamente stabili negli esercizi prededenti, possono variare a causa di - 82 - - - modifiche dell’attività. Quando pone in atto le procedure analitiche di convalida, il controllore deve considerare la possibilità di cambiamenti nelle relazioni. Frequenza della valutazione - Quanto più spesso si valuta un insieme di variabili, tanto più è probabile che la qualità delle informazioni sulla relazione fra le variabili migliori. Indipendenza dei dati originali - Gli elementi probatori provenienti dalle procedure analitiche di convalida sono molto limitati se si confrontano due variabili provenienti entrambe dalla stessa fonte. La procedura è efficace solo se si utilizzano informazioni provenienti da fonti diverse. Affidabilità delle informazioni utilizzate ---------------------------------------------4.6 Prima di fare assegnamento sui risultati delle procedure analitiche applicate come procedura di convalida, il controllore deve ottenere prove pertinenti e ragionevoli dell’affidabilità delle informazioni utilizzate. A tal fine deve esaminare: - se le informazioni siano state verificate applicando procedure di controllo, se la provenienza delle informazioni si situi al di fuori del servizio contabile/finanziario (ad esempio una fonte esterna), se il sistema utilizzato per ricavare le informazioni sia stato sottoposto a controlli interni efficaci. Individuazione delle differenze significative -------------------------------------------------4.7 Lo scarto fra l’importo previsto e l’importo contabilizzato è significativo se supera lo scarto accettabile (cioè la previsione supera la zona di ragionevolezza). Uno scarto inferiore a quello accettabile può nondimeno essere significativo se ricorrono l’una o l’altra delle condizioni seguenti: - esso è solo marginalmente inferiore allo scarto accettabile; potrebbe cambiare un’eccedenza in un deficit o viceversa; potrebbe portare ad un utilizzo degli stanziamenti superiore agli stanziamenti disponibili; è rilevante nell’ambito della valutazione del rendimento rispetto ad un obiettivo. Tali scarti possono essere particolarmente significativi quando riguardano il pagamento dei premi di rendimento. Esame degli scarti ed ottenimento di elementi probatori di convalida -----------------------------------------------------------------------------------4.8 Quando le procedure analitiche di convalida palesano scarti significativi fra gli importi previsti e quelli contabilizzati, è essenziale che il controllore esamini tali scarti basandosi sulle spiegazioni ottenute. Queste ultime devono tutte essere documentate e avvalorate da elementi probatori. Le procedure analitiche di convalida non possono dare alcuna certezza se gli scarti significativi non possono essere giustificati da spiegazioni appropriate e da elementi probatori di convalida. - 83 - 4.9 Il controllore dovrebbe tenere presente che scarti significativi possono essere dovuti a quanto segue: - errori nell’importo contabilizzato, semplificazioni o errori nelle supposizioni del controllore, variabili importanti non introdotte nel modello di previsione. Il controllore deve sempre considerare in quale misura errori nelle supposizioni o nelle variabili a sostegno della previsione possono spiegare gli scarti significativi. Quando il controllore individua errori od omissioni nel modello di previsione, può essere necessario rivedere il modello. 4.10 Quando esamina gli scarti significativi risultanti da procedure analitiche di convalida, in primo luogo il controllore dovrebbe chiedere spiegazioni alla direzione dell’entità controllata. Tali spiegazioni devono essere quantificate e documentate. Il controllore deve anche assicurarsi che la differenza fra l’importo previsto e quello contabilizzato sia esaminata e spiegata nella sua totalità. 4.11 Il controllore si basa sul proprio giudizio e sulla propria esperienza per decidere se le spiegazioni della direzione siano accettabili e quali elementi probatori siano necessari e presso chi reperirli. Il controllore deve anche assicurarsi che le spiegazioni e gli elementi probatori ottenuti siano ragionevoli e coerenti in base alla sua conoscenza dell’organismo. Valutazione dei risultati ---------------------------4.12 Se lo scarto non può essere spiegato e corroborato in modo sufficiente, di norma il controllore deve procedere a verifiche dettagliate delle operazioni, per ottenere la certezza necessaria. Se la procedura analitica non ha avuto successo, ciò può significare l’esistenza di un errore significativo nel saldo contabile o nella categoria di operazioni. 5. Le procedure analitiche applicate nella fase finale del controllo 5.1 Nella fase finale del controllo, il controllore deve applicare le procedure analitiche per giungere ad una conclusione generale sulla coerenza dei rendiconti finanziari complessivamente rispetto alla sua conoscenza delle attività dell’organismo. Le procedure analitiche utilizzate nella fase d’esame finale sono spesso le stesse applicate durante la fase di pianificazione del controllo. 5.2 È importante che i controllori leggano i rendiconti finanziari finali (comprese le informazioni con obbligo di pubblicità) ed esaminino: - se gli elementi probatori raccolti riguardo a saldi insoliti o inattesi individuati nella fase di pianificazione o nel corso del controllo siano sufficienti; se esistano saldi o relazioni insoliti o inattesi che non siano stati individuati in precedenza; se i rendiconti finanziari dell’esercizio in corso siano plausibili rispetto a quelli dell’esercizio precedente, in base alle loro conoscenze. - 84 - Nell’esaminare gli aspetti suddetti il controllore deve decidere se siano stati ottenuti elementi probatori sufficienti a sostegno del proprio parere sui rendiconti finanziari. 6. L’uso delle procedure analitiche nel controllo sulla gestione 6.1 Le procedure analitiche possono essere utilizzate ampiamente nella fase di pianificazione dei controlli sulla gestione e come mezzo per ottenere elementi probatori di convalida. Ad esempio, l’analisi dei costi su un dato periodo può aiutare il controllore ad individuare settori caratterizzati da scarsa economicità, per cui sono necessarie ulteriori verifiche durante il controllo. L’uso di tecniche di riferimento (confronto dei costi della gestione dell’entità controllata rispetto a quelli di organismi simili) e l’analisi degli indicatori di gestione sono in generale forme riconosciute di procedure analitiche impiegate in certi controlli sulla gestione per ottenere elementi probatori di convalida. Per maggiori informazioni si può fare riferimento al criterio-guida n. 41 “Il controllo sulla gestione”. - 85 - Allegato 1, pagina 1 Allegato 1 - Tipi di procedure analitiche L’analisi delle tendenze L’analisi delle tendenze è l’analisi dei cambiamenti verificatisi nel saldo di un dato conto o in una linea dei rendiconti finanziari in periodi contabili precedenti. Nelle fasi di pianificazione o di verifica si può adottare un metodo diagnostico, in cui il controllore semplicemente confronta l’importo reale dell’anno corrente con la tendenza del passato per stabilire se l’importo si discosta chiaramente dalla tendenza. A fini di convalida può essere adottato un metodo di previsione, con cui il controllore cerca di prevedere il valore dell’anno corrente basandosi sulla tendenza. Esistono diverse tecniche per l’analisi delle tendenze. Le tecniche più complesse possono fornire previsioni più esatte e possono prestarsi particolarmente alle verifiche di convalida. Tuttavia, man mano che aumenta la complessità delle tecniche, la loro applicazione richiede in generale uno sforzo di controllo maggiore. Occorre trovare un equilibrio fra costi e benefici di ogni tecnica. Le tecniche di analisi delle tendenze comprendono: - i metodi grafici; i confronti di periodi; le medie ponderate; le medie mobili; l’analisi cronologica; le tecniche a variabili multiple come l’analisi di regressione. I metodi grafici ed i confronti di periodi si prestano meglio alle fasi di pianificazione e di verifica del controllo. L’analisi degli indici L’analisi degli indici è qualsiasi metodo che consiste nel confrontare relazioni pertinenti fra le cifre dei rendiconti finanziari. Questo metodo consente di isolare relazioni usuali o stabili (nel tempo) esistenti fra i saldi contabili. L’analisi degli indici risulta particolarmente utile quando gli indici possono essere calcolati per un sufficiente numero di anni, consentendo così di individuare e di valutare correttamente le tendenze. I due metodi di analisi degli indici più comunemente usati sono: - l’indicizzazione su base comune e l’analisi degli indici finanziari. L’indicizzazione su base comune L’indicizzazione su base comune consiste nel confrontare le voci delle entrate e delle spese con il totale delle voci delle entrate oppure le voci del bilancio con il totale dell’attivo, confrontando ad esempio gli interessi percepiti o versati in relazione ai prestiti assunti od - 86 - Allegato 1, pagina 2 erogati. Essa è particolarmente utile quando si desidera confrontare le voci delle entrate e delle spese con il totale delle entrate da un esercizio all’altro. L’analisi degli indici finanziari L’analisi degli indici finanziari consiste nel confrontare i saldi dei rendiconti finanziari per comprendere la relazione fra tali saldi ed individuare le variazioni verificatesi nella relazione nel corso del tempo. La ricerca delle relazioni esistenti fra i saldi contabili può aiutare i controllori a comprendere le informazioni contenute nei rendiconti finanziari. Il controllore può utilizzare un’ampia gamma di indici finanziari a seconda della natura dell’organismo e dei relativi rendiconti finanziari. Il margine finanziario lordo (risultato di esercizio rispetto alle vendite), la rotazione delle scorte (costo delle vendite rispetto al valore delle scorte) e la dilazione dei pagamenti (i crediti rispetto al totale delle vendite a credito) sono tre indici importanti generalmente esaminati in un organismo commerciale. Certi indici finanziari, che consistono nel valutare l’attivo a breve termine di un’entità rispetto al suo passivo a breve termine, possono dare una valutazione utile della sua capacità di far fronte ai suoi obblighi a breve termine e possono richiamare l’attenzione su problemi di liquidità. L’analisi degli indici può essere una tecnica efficace purché sussistano le seguenti condizioni: - gli indici da confrontare devono essere calcolati adottando la stessa metodologia, le cifre delle diverse operazioni e/o dei diversi saldi incluse nell’indice da confrontare sono calcolate applicando le stesse politiche contabili, si suppone che l’indice sia relativamente stabile da un esercizio all’altro. L’analisi di previsione L’analisi di previsione è una procedura analitica in cui si utilizzano calcoli o serie di calcoli che portano alla previsione di un importo fondata sulla conoscenza delle relazioni plausibili esistenti, utilizzando informazioni di gestione e finanziarie pertinenti. Di solito l’analisi di previsione è la procedura analitica più efficace. Tuttavia, la sua efficacia dipende dai fattori seguenti: - la plausibilità delle relazioni individuate, la considerazione degli indicatori di previsione pertinenti, l’omissione di indicatori di previsione non pertinenti, l’uso di informazioni di gestione non finanziarie e di informazioni esterne o di informazioni finanziarie pertinenti. - 87 - Allegato 1, pagina 3 Esempi di controlli di previsione Il controllore può servirsi dei controlli di previsione, ad esempio, per verificare la completezza e l’esattezza delle spese per le retribuzioni. Il controllore può adottare tecniche di formulazione di modelli semplici oppure metodi statistici più complessi per elaborare una previsione a seconda della natura e della qualità delle informazioni disponibili. i) Il metodo basato su un modello semplice. Questo metodo per prevedere le spese salariali può essere efficace quando dati affidabili sul numero degli impiegati ed i gradi sono forniti da sistemi di gestione del personale che sono indipendenti dai dati sui salari. Come prima approssimazione, il controllore può cercare di prevedere il totale dei costi salariali per un dato periodo moltiplicando il numero degli impiegati di ciascun grado per il valore mediano della scala dei salari del grado. Tuttavia, questo metodo non tiene conto del numero degli impiegati di ciascun grado in punti diversi della scala dei salari. Il controllore può eventualmente utilizzare informazioni sul tempo trascorso nel grado per perfezionare la procedura utilizzando un salario medio ponderato per ciascun grado anziché semplicemente il valore mediano di ciascuna scala. Ulteriori perfezionamenti potrebbero tener conto di altre variabili, come i premi di rendimento annuali, che possono anche essere significativi rispetto al valore totale del conto controllato. ii) I metodi statistici formali. Quando il controllore dispone di dati storici di buona qualità sulle spese salariali e sulle variabili di previsione pertinenti, può essere utile applicare tecniche statistiche formali come la regressione multipla. Ad esempio, il controllore può disporre di dati affidabili sulle spese salariali mensili e degli importi mensili corrispondenti per il numero medio degli impiegati effettivi negli ultimi anni. Su queste basi si può sviluppare un modello statistico per prevedere le spese salariali in termini di numero degli impiegati e di tempo e servirsi di questo modello per prevedere, in base al numero degli impiegati corrispondente, le spese dell’esercizio in corso. - 88 - CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 25 L’USO DEI LAVORI DI ALTRI CONTROLLORI ED ESPERTI INDICE Paragrafi Le norme di controllo dell’INTOSAI L’ambito di questo criterio guida Introduzione L’uso dei lavori di altri nella fase di programmazione L’uso dei lavori di altri alla fine del controllo L’acquisizione di elementi probatori dai lavori di altri controllori Considerazioni particolari sul lavoro dei controllori interni Considerazioni particolari sul ricorso ad esperti Altre letture 1 2 3 4 5 6 7 8 9 -------------------1 Riferimento alle norme di controllo dell’INTOSAI 1.1 Il paragrafo 132 delle norme di controllo dell’INTOSAI dispone: “Il controllore deve programmare il controllo in modo da garantire l’espletamento di un controllo di qualità elevata in modo economico, efficiente, efficace e tempestivo.” Questa norma è così spiegata al paragrafo 134: “Nel programmare un controllo, il controllore: (g) esamina il controllo interno dell’organismo controllato ed il suo programma di lavoro; (h) valuta il grado di affidabilità da assegnare ad altri controllori, ad esempio al controllo interno”. 1.2 Inoltre, il paragrafo 152 delle norme di controllo dell’INTOSAI stabilisce quanto segue: “Per avvalorare il giudizio e le conclusioni del controllore sull’organizzazione, sul programma, sull’attività o sulla funzione oggetto del controllo, si devono reperire elementi probatori adeguati, pertinenti e dal costo ragionevole.” - 89 - 2 L’ambito di questo criterio-guida 2.1 Questo criterio-guida verte sull’uso, da parte delle Istituzioni superiori di controllo europee, dei lavori di altri controllori ed esperti: - nel caso dei controllori, il criterio-guida si riferisce al lavoro svolto da controllori interni dell’organismo controllato e da controllori esterni di terzi (ad esempio i controllori esterni di operatori economici che intrattengono relazioni con l’organismo controllato, incluse, laddove opportuno, le Istituzioni superiori di controllo di paesi che non sono Stati membri dell’Unione europea). Tuttavia, questo criterio-guida non verte sui rapporti fra le Istituzioni superori di controllo della Comunità europea. - nel caso degli esperti il criterio-guida verte sui lavori svolti da professionisti che non sono controllori. Può trattarsi di esperti alle dirette dipendenze dell’ISC, di consulenti impiegati dall’organismo oggetto del controllo o di esperti che operano in modo indipendente (ad esempio ricercatori universitari). Gli esperti possono essere (ad esempio): - economisti; giuristi; architetti, periti, agrimensori e periti di assicurazioni; statistici; sociologi ed esperti in sondaggi dell’opinione pubblica; esperti scientifici, tecnici e industriali; consulenti di direzione aziendale. 3 Introduzione 3.1 Nel contesto dei controlli delle ISC si possono utilizzare i lavori di altri controllori ed esperti in tre modi: - - - nella fase di programmazione dei compiti di controllo, le relazioni redatte da altri controllori ed esperti possono informare il controllore in merito ai potenziali punti forti e punti deboli dei sistemi di controllo ed in merito a casi di errori gravi che siano stati commessi nel settore di controllo; durante la fase delle verifiche i lavori di altri controllori ed esperti possono servire per reperire una parte dgli elementi probatori ritenuti necessari per conseguire gli obiettivi del controllo. Utilizzando i lavori di altri controllori è possibile ridurre la mole di lavoro assunta dall’ISC e pertanto liberare risorse per altri compiti di controllo; alla fine del controllo le relazioni di altri controllori ed esperti possono fornire informazioni per convalidare o mettere in dubbio i risultati ottenuti oppure le conclusioni preliminari che il controllore ha tratto in base agli elementi probatori raccolti durante la fase delle verifiche di controllo. Il presente criterio-guida verte in gran parte sull’uso dei lavori di altri controllori ed esperti nella fase delle verifiche, come uno dei fattori per reperire gli elementi probatori necessari ai fini del controllo. Questo aspetto è trattato ai paragrafi 6-8. Tuttavia è necessario dapprima esaminare rapidamente l’impiego dei lavori di altri controllori ed esperti nella fase di programmazione (paragrafo 4) e alla fine del controllo (paragrafo 5). - 90 - 3.2 Spesso le ISC possono basarsi sui lavori di controllori interni e così ridurre il numero delle verifiche dettagliate che le ISC stesse devono svolgere. Per potersi basare su tali lavori, spesso occorrono una programmazione ed una stretta collaborazione prima del controllo o nelle sue primissime fasi. Pertanto, se la valutazione preliminare del controllo interno è positiva (cfr. i paragrafi 7.3 - 7.6), l’ISC ha l’occasione di esaminare e di discutere con il controllore interno fino a che punto il programma di lavoro del controllo interno potrebbe essere adattato per tener maggiormente conto delle esigenze del controllo esterno. In questo modo è possibile ridurre al minimo la duplicazione dell’attività svolta ed offrire all’ISC la possibilità di utilizzare al massimo i lavori del controllo interno. 4 L’uso dei lavori di altri nella fase di programmazione 4.1 Il lavoro di altri controllori ed esperti può essere utile al controllore nella fase di programmazione, ma egli deve servirsene con cautela. Pur potendo - come parte della suddetta fase - tener conto di eventuali relazioni disponibili di altri controllori ed esperti, il controllore dovrà sempre valutarne l’attendibilità e l’adeguatezza prima di stabilire quale influenza abbiano sulle verifiche di controllo da svolgere. Ciò comporta l’accertamento di due condizioni: che il controllore od esperto autore dei lavori fosse indipendente dall’organismo o dall’attività controllati e che abbia operato con obiettività. Inoltre, il controllore deve considerare se gli obiettivi dei lavori in causa ed i metodi applicati dall’altro controllore coincidano a sufficienza con quelli del compito di controllo, se le conclusioni tratte dall’altro controllore od esperto siano basate su elementi probatori sufficienti e se l’altro controllore od esperto fosse competente sul piano professionale e tecnico. 5 L’uso dei lavori di altri alla fine del controllo 5.1 Quando i lavori di altri controllori od esperti convalidano i risultati ottenuti o le conclusioni tratte dal controllo dell’ISC, il controllore in causa può trarne una certa sicurezza, ma questa si aggiunge - e non può sostituirsi - agli elementi probatori adeguati, ragionevoli e pertinenti (1) che il controllore deve reperire per conseguire gli obiettivi del controllo. 5.2 Quando vi è una discrepanza fra i risultati o le conclusioni di un controllo dell’ISC e quelli esposti nella relazione di un altro controllore od esperto, ciò può indicare una carenza o nel lavoro svolto dall’ISC o in quello dell’altro controllore od esperto. In alternativa, un’apparente discordanza può derivare dal fatto che i due lavori avevano obiettivi diversi. Per quanto possibile ed efficiente sotto il profilo dei costi, occorre che il controllore: - 5.3 (1) ricerchi le cause di ogni eventuale discrepanza; riesamini la sufficienza e la ragionevolezza dell’analisi e dell’interpretazione degli elementi probatori del controllo ottenuti. Qualora i risultati o le conclusioni degli altri controllori od esperti non corrispondano a quelli ottenuti od a quelle tratte dall’ISC, e qualora le relazioni di tali controllori od esperti siano a disposizione dell’organismo controllato, o possano diventarlo, è possibile che l’organismo controllato metta in discussione i risultati o le conclusioni dell’ISC. Cfr. il criterio-guida n. 13 “Elementi probatori e metodo di controllo”. - 91 - 6 L’acquisizione di elementi probatori dai lavori di altri controllori Obiettivo ----------- 6.1 Si può ricorrere ai lavori di altri controllori per acquisire parte degli elementi probatori del controllo necessari per conseguire gli obiettivi del compito di controllo. Nel fare questo gli scopi consistono nel diminuire le risorse di personale dell’ISC necessarie per svolgere il compito di controllo, nell’evitare un’inutile duplicazione del lavoro di controllo e nel ridurre al minimo lo scompiglio che ne deriva per l’organismo controllato. Le condizioni per utilizzare i lavori di altri controllori come elementi probatori del controllo ------------------------------------------------------------------------------------------- 6.2 Quando si ricorre ai lavori di un altro controllore od esperto, è importante che l’ISC consideri attentamente: - se abbia una conoscenza soddisfacente del settore di controllo per poter valutare con cognizione di causa l’impatto dei lavori del’altro controllore od esperto; se l’altro controllore od esperto abbia la competenza professionale necessaria nel contesto del compito specifico; se i lavori dell’altro controllore od esperto siano sufficienti ed i metodi di lavoro siano idonei agli scopi dell’ISC nel contesto degli obiettivi del compito di controllo in questione. 6.3 I rapporti dell’ISC con altri controllori ed esperti possono essere complessi. La valutazione necessaria per poter utilizzare i loro lavori come elementi probatori del controllo può risultare difficile. Questo problema può essere affrontato nella fase di programmazione del controllo, cosicché, se tale uso si dimostra impossibile, si possono programmare procedure alternative di controllo per far sì che vengano reperiti elementi probatori adeguati, ragionevoli e pertinenti. 6.4 Oltre a considerare i fattori elencati ai paragrafi 6.2 - 6.3 nella fase di programmazione, il controllore che sta utilizzando i lavori di un altro controllore od esperto come elementi probatori del controllo deve anche riesaminarli allorché analizza ed interpreta i risultati di tali lavori. Inoltre, il controllore deve valutare l’impatto dei risultati dell’altro controllore od esperto sul parere da esprimere. Laddove questi risultati sono significativi per il parere, il controllore dell’ISC normalmente li discute con l’altro controllore od esperto e stabilisce se debba svolgere egli stesso ulteriori verifiche ai fini del controllo. 6.5 Tutti gli aspetti del processo consistente nel fare assegnamento su altri controllori od esperti, descritto ai paragrafi 6.2 - 6.4, dev’essere documentato in modo esauriente nei documenti di lavoro del compito di controllo (per ulteriori indicazioni cfr. il criterio-guida n. 26 “Documentazione”). - 92 - 7 Considerazioni particolari sul lavoro dei controllori interni Definizione ------------- 7.1 Per “controllo interno” si intende un’attività di valutazione organizzata all’interno di un organismo controllato come servizio per tale organismo. Le sue funzioni possono comprendere, fra l’altro, l’esame, la valutazione e la sorveglianza dell’adeguatezza e dell’efficacia dei sistemi di controllo interno e contabili. Nel contesto comunitario il “controllo interno” può includere funzioni specializzate come quella del controllore finanziario. 7.2 Il ruolo del controllo interno è definito dalla direzione e quindi i suoi obiettivi possono differire da quelli del controllore esterno. Tuttavia, tipo e ambito di lavoro svolto dai controllori interni ed esterni possono in parte coincidere. Conoscere, valutare e incoraggiare il controllo interno --------------------------------------------------------------- 7.3 Il controllore del’ISC deve conoscere la struttura ed il funzionamento del controllo interno ed effettuare una valutazione preliminare dei lavori relativi. A questo scopo è necessario che possa accedere liberamente alle relazioni ed ai documenti di lavoro del controllore interno. 7.4 Di norma, la valutazione preliminare del controllo interno dovrebbe vertere su quanto segue: - - 7.5 (2) la posizione gerarchica: il livello al quale il controllore interno riferisce ed i provvedimenti presi dalla direzione in base alle sue relazioni; qualsiasi limitazione od ostacolo imposti al controllore interno (in particolare nelle sue comunicazioni con il controllore esterno); l’ambito del suo lavoro; la sua competenza tecnica, comprese la designazione, la formazione, l’esperienza e le qualifiche professionali del personale di controllo interno; il metodo di lavoro: si tratta di stabilire se l’attività di controllo interno sia correttamente programmata, sorvegliata, rivista e documentata, come pure se esistano manuali, programmi di lavoro e documenti di lavoro sul controllo sufficienti. In mancanza di controllo interno o laddove si accertino carenze all’atto della valutazione preliminare del controllo interno, il controllore dell’ISC deve ponderare se occorra segnalare tali carenze alla direzione dell’organismo controllato(2). In molti casi il controllore dell’ISC può essere in grado di suggerire alla direzione miglioramenti del controllo interno (ad esempio raccomandazioni di opportuni programmi di formazione e strutture di notifica.). Tuttavia, occorre procedere in modo da non compromettere l’indipendenza della funzione di controllo esterno. - 93 - L’impiego dei lavori del controllo interno come parte degli elementi probatori del controllo esterno ------------------------------------------------------------------------------------------7.6 Le considerazioni di cui ai paragrafi 6.2 - 6.3 e 7.3 - 7.4 valgono quando i lavori di controllo interno sono utilizzati come parte degli elementi probatori del controllore esterno. Inoltre, il controllore dell’ISC deve stabilire: - - se gli elementi probatori reperiti tramite il controllo interno soddisfino per qualità e quantità le esigenze specifiche dell’ISC, tenendo conto del fatto che gli obiettivi possono essere diversi. Nell’esaminare questo problema il controllore ISC di norma considererà anche la natura, i tempi e la portata del lavoro di controllo interno; se le conclusioni tratte dal controllo interno siano compatibili con gli elementi probatori del controllo che sono stati reperiti; se tutte le eccezioni o elementi insoliti riscontrati dal controllo interno abbiano avuto una soluzione corretta. 7.7 In alcune situazioni l’ISC e gli organismi controllati concludono accordi scritti affinché l’ISC possa utilizzare con il maggior beneficio possibile i lavori dei controllori interni. 8 Considerazioni particolari sul ricorso ad esperti Obiettivo ----------- 8.1 Il ricorso ad esperti ha lo scopo di porre a disposizione dell’équipe di controllo conoscenze tecniche o capacità essenziali per conseguire gli obiettivi del controllo e di cui diversamente non si potrebbe disporre. In genere gli esperti sono assunti direttamente dall’ISC in base ad un contratto e sono scelti dall’équipe responsabile del compito di controllo. Condizioni per la designazione e il ricorso ad esperti ------------------------------------------------------------- 8.2 Il ricorso ad esperti ha lo scopo di aiutare l’équipe di controllo nell’acquisire elementi probatori adeguati, ragionevoli e pertinenti per raggiungere gli obiettivi del controllo. A tal fine devono essere soddisfatte le seguenti condizioni: - - - l’ambito e la natura del lavoro dell’esperto e le modalità secondo cui deve riferire, devono essere definiti chiaramente al più presto possibile: questa condizione è essenziale per individuare un esperto che abbia le conoscenze tecniche e le capacità appropriate; l’ISC deve accertarsi che l’esperto sia indipendente dall’organismo controllato (di solito questo significa che l’esperto non ha lavorato di recente per l’organismo controllato od organizzazioni ad esso correlate). È possibile che l’ISC debba considerare se la natura e l’ambito di altri lavori svolti dall’esperto siano tali da comprometterne l’indipendenza (ad esempio nel caso in cui l’esperto dipenda considerevolmente da contratti con un terzo i cui interessi possono in parte coincidere con il settore che l’esperto deve studiare per conto dell’ISC); il controllore deve assicurarsi della competenza professionale dell’esperto, - 94 - dell’obiettività dei suoi lavori, dell’idoneità dei metodi di lavoro applicati e dell’adeguatezza, ragionevolezza e pertinenza degli elementi probatori del controllo che l’esperto produce. Laddove necessario, il controllore svolge ulteriori verifiche per accertarsi di quanto sopra indicato. Queste condizioni comportano che l’esperto, che non ha necessariamente acquisito un’esperienza di lavoro in un contesto di controllo, deve essere seguito con attenzione e guidato dal capo dell’équipe incaricata del compito di controllo. Una descrizione dettagliata del suo mandato può facilitare questo compito di direzione e di guida. 8.3 La relazione prodotta come risultato di un compito di controllo in cui si fa ricorso ad un esperto, resta una relazione dell’ISC. Normalmente l’esperto deve coadiuvare l’équipe di controllo, che resta responsabile della formulazione e della presentazione di un parere in materia di controllo all’ISC. Pertanto, è di solito inopportuno riferirsi specificamente ad un parere dell’esperto nella relazione redatta in esito al controllo. Riservatezza --------------- 8.4 Di norma gli esperti assunti dalle ISC sono tenuti a rispettare regole di riservatezza. Occorre che i controllori che lavorano con esperti si familiarizzino con queste regole e siano preparati per consigliare gli esperti in merito. Può essere opportuno inserire sistematicamente clausole sulla riservatezza nei contratti conclusi con esperti. 9 Altre letture 9.1 Il comitato del settore pubblico della Federazione internazionale degli esperti contabili (IFAC)(3) ha pubblicato nell’ottobre 1994 un proprio studio #4 intitolato “L’uso dei lavori di altri controllori - un punto di vista del settore pubblico”. Questo testo dà ulteriori indicazioni che possono interessare i lettori del presente criterio-guida. (3) International Federation of Accountants, 114 West 47th Street, Suite 2410, New York, USA - New York 10036 - 95 - CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 26 DOCUMENTAZIONE INDICE Paragrafi Norma di controllo dell'INTOSAI I vantaggi di un'adeguata documentazione Il contenuto dei fascicoli di controllo Fascicoli correnti e permanenti Riservatezza delle informazioni di controllo Conservazione della documentazione di controllo 1 2 3 4 5 6 -------------------- 1. Riferimento alle norme di controllo dell’INTOSAI 1.1 Nella spiegazione della norma INTOSAI (paragrafo 156) si legge quanto segue: "I controllori devono conservare in modo adeguato gli elementi probatori del controllo in documenti di lavoro, incluse basi e delimitazione del programma, lavoro svolto e risultati del controllo". 2. I vantaggi di un'adeguata documentazione 2.1. Un'adeguata documentazione aiuta l'Istituzione superiore di controllo (ISC) a migliorare la propria efficienza ed efficacia in quanto: (a) agevola la pianificazione; (b) registra le carenze, gli errori e le irregolarità individuati in sede di controllo; (c) conferma ed avvalora i giudizi, i pareri e le relazioni del controllore; (d) costituisce fonte di informazioni per preparare le relazioni o per rispondere a quesiti posti dall'organismo controllato o da altri, certifica il lavoro svolto costituendo anche riferimento per il futuro; (e) attesta la conformità con le norme e i criteri-guida in materia di controllo, nonché - 96 - con le procedure interne delle ISC; (f) sostiene (o fornisce una difesa contro) reclami, azioni giudiziarie ed altri procedimenti legali; (g) promuove e fornisce prove sulle acquisizioni professionali del controllore; (h) agevola l'esame, la supervisione e la garanzia della qualità (v. sotto). 2.2. Una documentazione adeguata riveste particolare importanza per l'esame, la supervisione e la garanzia della qualità, in quanto: (a) aiuta il supervisore: . . . ad accertare se gli obiettivi del controllo siano stati conseguiti; ad assicurarsi che il lavoro affidato sia stato adeguatamente eseguito; a valutare i giudizi formulati dal controllore nel corso della verifica e ad individuare settori dove potrebbe essere necessario svolgere indagini supplementari, per ottenere gli elementi probanti necessari per trarre conclusioni o formulare raccomandazioni; . ad adempiere al compito di riesaminare i documenti della verifica e di sorvegliare l'attività dei controllori con maggiore efficienza ed efficacia; (b) fornisce le basi per procedere ad autonome valutazioni di garanzia della qualità (cfr. il criterio-guida n. 51 "Garanzia della qualità"). 3. Il contenuto dei fascicoli di controllo 3.1. Tutte le fasi del controllo devono essere documentate con cura, come anche le osservazioni e le conclusioni che ne derivano. Questa documentazione è conosciuta globalmente come fascicolo del controllo. 3.2. Il fascicolo di controllo costituisce la principale documentazione del lavoro svolto dal controllore e delle sue conclusioni su questioni di rilievo. Esso attesta la cura con cui il controllore ha operato e lo aiuta nell'espletamento e nella revisione del proprio controllo. 3.3. Il fascicolo di controllo rappresenta un sostegno fondamentale per il controllo. Tutte le fasi del controllo, dalla programmazione iniziale alla preparazione dell'ultima stesura della relazione, dovrebbero essere in esso documentate. Ciascuna ISC dovrebbe sviluppare proprie tecniche, fondate di norma sulla propria esperienza, sulle proprie particolari esigenze e sull'ambito in cui opera, per costituire, esaminare e archiviare i fascicoli di controllo. 3.4. Non è possibile stabilire ciò che deve o non deve figurare nei fascicoli di controllo. Tuttavia, in linea di principio, un fascicolo è ben organizzato quando è sufficientemente completo e dettagliato da consentire ad un controllore esperto, che non abbia avuto in precedenza alcun rapporto con la verifica in argomento, di accertare il tipo di lavoro svolto per avvalorare le conclusioni. 3.5. Il fascicolo di controllo deve contenere documenti chiari, leggibili, completi, pertinenti, - 97 - esatti, concisi, precisi e comprensibili. Qualora vengano usate prove informatiche, è opportuno individuarle in modo adeguato e descriverne l'origine, il contenuto e l'ubicazione in modo esauriente. 3.6. I fascicoli di controllo dovrebbero essere pianificati e, in molti casi, organizzati già in una fase iniziale del controllo. I fascicoli degli anni precedenti, qualora siano disponibili, costituiscono utile guida. 3.7. Il controllore dovrebbe ricorrere a riferimenti per indicare la provenienza dei dati (etc.), raffronti, raccordi ed elaborazioni. Alcune ISC hanno stabilito simboli standard a tal fine. Quando non sono stati stabiliti simboli, o quando il controllore usa simboli non standard, il loro significato deve essere chiaramente indicato nei documenti in causa. Lo stesso vale per i simboli usati nei diagrammi di flusso. 3.8. Per agevolare il riesame ed in particolare assistere il supervisore nella ricerca e nella valutazione degli elementi probatori acquisiti in sede di controllo per avallare le conclusioni, le raccomandazioni e le relazioni, è fondamentale che i documenti di lavoro contengano riferimenti ad altri documenti precedenti o successivi. Un buon sistema di riferimenti incrociati richiede fin dall'inizio riferimenti chiari e logici a tutti i documenti di lavoro, con individuazione della fonte e dell'utilizzazione dei dati. 3.9. I fascicoli di controllo di norma dovrebbero essere predisposti in modo tale, e presentare un livello di qualità tale, da poter essere usati come prove in eventuali procedimenti giudiziari e legali. Pertanto, i controllori dovrebbero firmare e datare i rispettivi documenti di lavoro. 3.10. Dall'esame di un fascicolo di controllo completo dovrebbe risultare chiaramente chi ha proceduto al suo riesame, quando, e qual è stato il risultato del citato riesame. Sarebbe opportuno conservare le note dei supervisori che indicano accordo o che segnalano elementi incompleti o non chiari. Esse sono di fondamentale utilità per supervisori di livello superiore. 3.11. La documentazione dovrebbe menzionare tutti i contatti avuti con l'organismo controllato riguardo a questioni di rilievo (ad esempio, deficienze riscontrate durante i test sul controllo , assicurazioni ricevute dalla direzione dell'organismo, etc.). 4. Fascicoli correnti e permanenti 4.1. I fascicoli inerenti a singoli controlli sono generalmente denominati fascicoli correnti. Oltre a questi vengono spesso costituiti fascicoli permanenti. Questi ultimi contengono le informazioni che saranno usate di anno in anno per controlli successivi in un settore specifico. Essi sono di fondamentale importanza per la pianificazione e la successiva esecuzione del lavoro di controllo. Dovrebbero essere aggiornati regolarmente. 5. Riservatezza delle informazioni di controllo 5.1. Le ISC hanno spesso accesso ad informazioni riservate dal punto di vista commerciale, politico o della sicurezza. Le ISC ed il loro personale devono operare con la debita professionalità per garantire che tali informazioni siano adeguatamente salvaguardate e, di - 98 - conseguenza, devono istituire procedure e controlli atti a garantire la sicurezza fisica dei fascicoli di controllo. Analogamente, è normale che questi ultimi, le comunicazioni con gli organismi controllati ed i progetti di relazione siano trattati alla stregua di documenti confidenziali finché non siano state seguite le apposite procedure previste per la loro pubblicazione. 5.2. Le ISC devono contemperare l'esigenza di riservatezza delle informazioni di controllo ed eventuali legislazioni che riconoscano ai cittadini la libertà d'informazione. 6. Conservazione della documentazione di controllo Le ISC devono emanare chiare istruzioni per la conservazione ed archiviazione della documentazione che avvalora le conclusioni formulate in rapporti pubblicati. Queste istruzioni, tra l'altro, devono prevedere: - il periodo di conservazione prima della distruzione; il trasferimento dei fascicoli dall'unità di controllo all'archivio centrale; il contenuto tipico dei fascicoli, le procedure di classificazione e di ricerca. - 99 - GRUPPO 3 COMPLETAMENTO DEL CONTROLLO CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 31 STESURA DELLE RELAZIONI INDICE Paragrafi Norme di controllo dell'INTOSAI La stesura delle relazioni sui controlli congiunti e coordinati Le norme di stesura delle relazioni dell'INTOSAI 1 2 Allegato 1 -------------------- 1. Riferimento alle norme di controllo dell’INTOSAI 1.1. Il presente criterio-guida concerne la stesura delle relazioni finali sui controlli svolti dalle ISC, relazioni destinate agli organismi esterni responsabili e, se del caso, al pubblico. 1.2. I paragrafi 163 - 191 delle norme di controllo dell'INTOSAI danno orientamenti precisi in materia di stesura delle relazioni. Essi sono riassunti nell'ALLEGATO 1 del presente testo. 1.3 Oltre agli orientamenti forniti nei paragrafi 163 - 191 delle norme di controllo dell’INTOSAI, altri orientamenti sono forniti nel criterio-guida n. 41 “Il controllo sulla gestione”. - 100 - 2. La stesura delle relazioni sui controlli congiunti e coordinati 2. La stesura delle relazioni sui controlli congiunti di due o più ISC e sui controlli coordinati può presentare particolari difficoltà. È consigliabile che le ISC interessate concordino una procedura di stesura delle relazioni nella fase della programmazione e che il processo venga seguito con attenzione nella fase della stesura delle relazioni, in modo da poter affrontare tempestivamente eventuali problemi. 2.2. La procedura di stesura delle relazioni dovrebbe contemplare i seguenti elementi: . . . . . . il calendario della stesura delle relazioni; la definizione precisa delle responsabilità di ciascuna ISC in materia di elaborazione delle relazioni; la lingua nella quale redigere le relazioni e accordi in materia di traduzione; l'accordo circa i progetti di relazione all'interno delle ISC partecipanti e da parte degli organismi controllati (corrispondenza, riunioni, trattamento riservato a risposte/commenti); le disposizioni prese per la pubblicazione, comprese le relazioni con la stampa ecc.; la presentazione delle relazioni alle autorità parlamentari o altre. - 101 - Allegato 1, pagina 1 ALLEGATO 1: SINTESI DELLE NORME DI STESURA DELLE RELAZIONI DELL'INTOSAI 1. L'espressione "stesura delle relazioni" comprende sia il parere del controllore e altre osservazioni su un insieme di consuntivi finanziari che la relazione finale del controllore sul completamento di un controllo di gestione. 2. Il paragrafo 169 delle norme di controllo dell’INTOSAI dispone: (a) Alla fine di ogni controllo il controllore redige, secondo l'opportunità, un parere o una relazione che descriva in forma appropriata i risultati del controllo; il contenuto deve essere di facile comprensione e privo di vaghezza o ambiguità, deve contenere solo informazioni corroborate da elementi probatori adeguati e pertinenti, ed essere libero, obiettivo, giusto e costruttivo. (b) Spetta alla ISC cui appartengono i controllori di decidere in ultima analisi sull'azione da intraprendere in relazione a pratiche fraudolenti od irregolarità gravi da essi scoperte. Per quanto concerne i controlli di regolarità, il controllore prepara una relazione scritta, che forma parte della relazione sui consuntivi finanziari o che è separata, sulle verifiche di conformità alle leggi in vigore ed ai regolamenti. La relazione deve contenere una dichiarazione che specifichi, per gli elementi sottoposti a verifica, che tali leggi e regolamenti sono stati rispettati e, per gli elementi non sottoposti a verifica, che nulla indica che non lo siano. Per quanto concerne i controlli di gestione, la relazione deve contenere tutti i casi importanti di non conformità attinenti agli obiettivi di controllo." 3. Nella spiegazione delle norme di controllo dell’INTOSAI (paragrafo 170) si forniscono degli orientamenti relativi alla forma e al contenuto da dare a tutti i pareri di controllo e altre relazioni sui controlli finanziari. Il controllore deve prestare particolare attenzione ai seguenti aspetti della relazione: - 4. Titolo Firma e data Obiettivi e portata Completezza Destinatario Identificazione degli argomenti Base giuridica Conformità alle norme Opportunità dell'azione Le spiegazioni delle norme di controllo dell’INTOSAI (paragrafi 171-182) descrivono il normale schema delle osservazioni, compresi i rilievi e le riserve nonché l'azione necessaria - 102 - Allegato 1, pagina 2 nei casi in cui il controllore scopra carenze, irregolarità o mancanza di conformità. 5. Le spiegazioni delle norme di controllo dell’INTOSAI (paragrafi 183-188) forniscono indicazioni precise in materia di stesura delle relazioni sui controlli di gestione, soprattutto riguardo all'obiettività e all'equità di cui il controllore deve dar prova nell'interpretare e nel presentare gli elementi probatori raccolti. Nel limite del possibile, le relazioni devono essere redatte in uno spirito costruttivo e suggerire miglioramenti atti ad ovviare alle carenze. 6. Le spiegazioni delle norme di controllo dell’INTOSAI (paragrafi 189-191) contengono indicazioni circa il contenuto delle relazioni, tenuto conto della rilevanza degli argomenti interessati (rilevanza per natura e contesto, nonché in termini di valore). - 103 - CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL’INTOSAI N. 32 ALTRE INFORMAZIONI PRESENTATE NEI DOCUMENTI CHE CONTENGONO I RENDICONTI FINANZIARI CONTROLLATI INDICE Paragrafi Introduzione Ambito del criterio-guida La responsabilità dei controllori e le “altre” informazioni I concetti e le definizioni di base La pianificazione del controllo e le procedure di controllo La stesura delle relazioni 1 2 3 4 5 6 -------------------- 1. Introduzione 1.1. Questo criterio-guida ha lo scopo di fornire al controllore esterno (“auditor”) delle attività della Comunità europea consigli in merito al controllo delle altre informazioni presentate nei documenti che contengono i rendiconti finanziari controllati. 1.2 Poiché il mandato costituzionale delle Istituzioni superiori di controllo e della Corte dei conti europea può comportare responsabilità diverse per quanto riguarda il controllo delle altre informazioni presentate nei documenti che contengono i rendiconti finanziari controllati, gli orientamenti espressi in questo criterio-guida devono essere applicati tenendo conto delle particolari circostanze in causa. 2. Ambito del criterio-guida 2.1. I documenti presentati dagli organismi controllati, che contengono i rendiconti finanziari controllati, presentano anche, in misura crescente, altre informazioni. Queste “altre” informazioni, che possono essere di carattere sia finanziario, sia non finanziario, comprendono l’analisi e la verifica delle operazioni e dei risultati finanziari dei sistemi di gestione, dei piani di spesa e delle prospettive per il futuro (cfr. il successivo paragrafo 4.1). - 104 - 2.2. Queste “altre” informazioni spesso saranno lette insieme ai rendiconti finanziari controllati. Per gli utenti tali informazioni spesso rivestono una grande importanza poiché contribuiscono alla comprensione della gestione finanziaria ed operativa dell’entità controllata, delle sue circostanze e risorse finanziarie, nonché dei suoi piani e delle prospettive future. 2.3. Questo criterio-guida di applicazione ha lo scopo: - di individuare le “altre” informazioni nei documenti che contengono i rendiconti finanziari controllati; e - di fornire al controllore orientamenti per la verifica delle altre informazioni, ivi inclusa la linea di condotta da seguire per quanto riguarda le anomalie e le incoerenze rilevanti contenute nelle “altre” informazioni. 3. Le responsabilità dei controllori e le “altre” informazioni 3.1 Lo scopo del controllo dei rendiconti finanziari consiste nell’esprimere un parere su di essi. Spesso un controllore non ha la responsabilità di riferire in merito alla corretta esposizione delle “altre” informazioni. Tuttavia, il controllore deve essere consapevole del fatto che la credibilità dei rendiconti finanziari e la sua relazione al riguardo possono essere compromesse da incoerenze fra i rendiconti finanziari e le “altre” informazioni, oppure da anomalie nelle “altre” informazioni. Il controllore è pertanto in linea di massima tenuto ad esaminare la precisione e la coerenza di queste altre informazioni. 3.2 In conformità dei principi legislativi dei vari paesi oppure del suo mandato, è possibile che il controllore debba riferire in merito ai risultati della sua verifica. A meno che lo statuto o il mandato non dispongano diversamente, il controllore deve stabilire in quale misura tale relazione deve comprendere i risultati della sua verifica o di altre informazioni. 3.3 Nella verifica delle altre informazioni presentate nei documenti che contengono i rendiconti finanziari, è importante stabilire che la direzione dell'entità controllata deve essere considerata responsabile del loro contenuto. Uno dei postulati fondamentali delle norme di controllo dell'INTOSAI (Norme di controllo dell'INTOSAI, paragrafo 6(d)) recita: “L'instaurazione di sistemi appropriati, all'interno dell'amministrazione, di informazione, controllo, valutazione e stesura delle relazioni, agevolerà la procedura del rendimento dei conti. La direzione è responsabile dell'esattezza e dell'adeguatezza della forma e del contenuto delle relazioni finanziarie e di altre informazioni." 4. I concetti e le definizioni di base 4.1 Qui di seguito vengono dati esempi di "altre" informazioni che possono essere presenti in documenti che contengono i rendiconti finanziari controllati: - la relazione annuale di gestione i riferimenti a piani e bilanci per gli esercizi futuri - 105 - - i riferimenti ai progetti od alle attività in corso o programmati i riferimenti ad avvenimenti posteriori al periodo contabile le spiegazioni sulle modalità di calcolo delle stime relative ai conti le informazioni sull'analisi dei risultati operativi, della produttività e dei sistemi di gestione i riferimenti a circostanze organizzative i riferimenti alla legislazione applicabile in materia ed a ogni eventuale modifica della stessa, e i riferimenti alle condizioni ambientali. - È importante che il controllore si renda conto dei limiti posti alla sua verifica delle altre informazioni. Ad esempio, il controllore non può confermare o approvare piani e bilanci dell'entità controllata, ma solo valutare la coerenza fra i principi ed i metodi applicati nell'elaborazione delle stime. 4.2 Nell'esaminare le altre informazioni presenti nei documenti che includono i rendiconti finanziari controllati, il controllore deve considerare: – – – 4.3 se le altre informazioni siano incoerenti rispetto ai rendiconti finanziari controllati e se vi siano anomalie nei riferimenti alla situazione finanziaria ed agli sviluppi futuri, che diano una visione inesatta, insufficiente o ingannevole della situazione dell'entità controllata. Il controllore può anche assicurarsi che non siano state omesse informazioni che possano essere importanti per gli utenti. Un'anomalia od un'incoerenza sono rilevanti se sono suscettibili di influenzare gli utenti dei rendiconti finanziari o delle altre informazioni di cui sono corredati. Più specificamente: – – un'anomalia rilevante dei fatti sussiste quando altre informazioni significative prive di relazione con le questioni trattate nei rendiconti finanziari (controllati) sono riferite o presentate in modo erroneo e le altre informazioni, o il modo in cui sono presentate, sono incoerenti in modo rilevante quando contraddicono le informazioni contenute nei rendiconti finanziari (controllati) e sono così importanti da suscitare dubbi sui principi basilari delle relazioni del controllore su tali rendiconti finanziari .(1)) 4.4 La rilevanza finanziaria delle questioni trattate è un fattore sostanziale (rilevante in termini di valore), ma il controllore deve anche decidere se l'anomalia o l'incoerenza siano significative a causa del contesto o della natura rispettivi. Ad esempio, un'anomalia od un'incoerenza minori in una relazione di gestione allegata ai rendiconti finanziari controllati, può portare il lettore a crearsi un'opinione irrealisticamente ottimistica della gestione o delle prospettive future dell'entità controllata. 4.5 Il controllore deve sempre prestare particolare attenzione alla possibilità che le anomalie (1) Le definizioni date di anomalie rilevanti e di incoerenze rilevanti sono tratte da "New Zealand Society of Accountants Auditing Guidelines"#8 (1986). - 106 - o le incoerenze (comprese le omissioni) nelle altre informazioni siano dovute all'intenzione precisa della direzione dell'entità controllata. Possono darsi talune circostanze che aumentano il rischio intrinseco di queste anomalie o incoerenze intenzionali. Ad esempio, la direzione dell'entità controllata può subire pressioni politiche perché raggiunga un dato livello di rendimento oppure gli stipendi dei dirigenti possono dipendere dal raggiungimento di dati obiettivi o dal sistema di gestione prestabilito. 5. La pianificazione del controllo e le procedure di controllo 5.1 Il controllore deve esaminare le altre informazioni presenti nei documenti che contengono i rendiconti finanziari controllati a prescindere dal fatto che debba o meno stendere una relazione sulla sua verifica. Nel pianificare la verifica delle altre informazioni il controllore deve prestare particolare attenzione alle eventuali conseguenze delle incoerenze o delle anomalie contenute in tali informazioni. La verifica dev'essere pianificata e svolta in conformità del rischio e della rilevanza stimati dal controllore. 5.2 Il controllore può individuare le omissioni confrontando le altre informazioni dell'anno in corso con quelle pubblicate negli anni precedenti e quindi identificando le incoerenze nel corso del tempo nelle altre informazioni presentate. Le omissioni possono anche essere individuate, a titolo di esempio, esaminando i verbali delle riunioni del consiglio di amministrazione, etc. 5.3 Di solito il controllore procede alla verifica delle altre informazioni contemporaneamente al controllo dei rendiconti finanziari. 5.4 Se il controllore è dell'avviso che le altre informazioni unite ai rendiconti finanziari: - danno un quadro inesatto od inadeguato delle attività o della situazione generale dell'entità controllata, oppure lasciano il lettore nel dubbio sul contenuto o sull'adeguatezza delle informazioni in uno o più settori, il controllore deve cercare di risolvere il problema. Ciò può comportare colloqui con la direzione dell'entità controllata e l'esame di documenti supplementari. 5.5 Come in altre procedure di controllo, il controllore deve valutare e giudicare obiettivamente gli elementi probatori a sostegno dei fatti esposti nelle altre informazioni in base alla sua conoscenza del settore ed ai risultati della verifica. 6. La stesura delle relazioni 6.1. La stesura, da parte del controllore, delle relazioni sui risultati della verifica delle altre informazioni dipende: - dall'obbligo o meno di redigere una relazione e, dal fatto che le altre informazioni contengano o meno, a suo avviso, informazioni ingannevoli o incoerenti, che possono essere rilevanti per l'utente. 6.2. Quando dall'esame delle altre informazioni risultano casi di anomalie o di incoerenze, il - 107 - controllore normalmente deve attirare su questi l'attenzione della direzione dell'entità controllata. Il controllore deve chiedere alla direzione dell'entità controllata di modificare appropriatamente i rendiconti finanziari o di aggiungere informazioni per risolvere in modo soddisfacente errori o incoerenze significativi. 6.3. Se la direzione dell'entità controllata non accetta di apportare le modifiche richieste o non può farlo (2), ed il controllore considera rilevanti l'incoerenza o le anomalie, egli deve esaminarne le conseguenze per la sua relazione sui rendiconti finanziari. Se vengono scoperte incoerenze o anomalie rilevanti dopo la stesura della relazione del controllore sui rendiconti finanziari, il controllore valuterà gli ulteriori provvedimenti da prendere (ad esempio informarne il ministero competente). 6.4. La relazione del controllore può essere di natura diversa a seconda dei principi legislativi dei diversi paesi e del mandato che ha ricevuto. Tuttavia, quando il controllore ha l'obbligo di stendere una relazione oppure decide in tal senso, spesso è opportuno, come minimo, che il controllore descriva brevemente il lavoro svolto ed i risultati ottenuti, ivi comprese le informazioni ingannevoli o incoerenti significative. (2) Ad esempio, nella Comunità europea i rendiconti finanziari e le informazioni che li accompagnano sono posti a disposizione della Corte dei conti europea nella loro forma definitiva e sono trasmessi contemporaneamente alle autorità competenti per il discarico. - 108 - GRUPPO 4 CONTROLLO SULLA GESTIONE CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL'INTOSAI N. 41 IL CONTROLLO SULLA GESTIONE INDICE Paragrafi Norma di controllo dell’INTOSAI Il mandato di effettuare il controllo sulla gestione Principi di base e definizioni Il controllo finanziario e il controllo sulla gestione: analogie e differenze La programmazione del controllo sulla gestione La metodologia del controllo sulla gestione L’elaborazione delle relazioni inerenti al controllo sulla gestione Metodologia del controllo sulla gestione: tecniche di raccolta dei dati e tecniche di analisi delle informazioni 1 2 3 4 5 6 7 Allegato 1 -------------------- 1. Riferimento alle norme di controllo dell'INTOSAI 1.1 I paragrafi 38 e 40 delle norme di controllo dell’INTOSAI dispongono: "A livello di finanze pubbliche, l’ambito del controllo include il controllo di legittimità e il controllo sulla gestione”. - 109 - "Il controllo sulla gestione interessa gli aspetti dell’economicità, efficienza ed efficacia e comprende: (a) il controllo dell’economicità delle attività amministrative in conformità con le procedure e i principi di sana amministrazione e con le politiche di gestione; (b) il controllo dell’efficienza nell’utilizzazione di risorse umane, finanziarie ed altre, compresi l’esame dei sistemi informativi, la misurazione del rendimento e il monitoraggio, nonché le procedure utilizzate dagli organismi controllati per ovviare alle carenze individuate; inoltre, (c) il controllo dell’efficacia della gestione per quanto concerne il conseguimento degli obiettivi da parte dell’organismo controllato, e il controllo dell’impatto reale delle attività rispetto all’impatto atteso”. 2. Il mandato di effettuare il controllo sulla gestione 2.1 In molti paesi la costituzione o la legislazione attribuisce all’ISC il diritto di svolgere, in una certa forma, il controllo sulla gestione. In alcuni paesi l’ISC ha l’obbligo, in determinate circostanze, di eseguire un controllo sulla gestione o di formulare un parere sull’attendibilità degli indicatori di rendimento pubblicati dagli organismi controllati nelle relazioni annuali o in documenti analoghi. Perfino nei paesi in cui la costituzione o la legislazione non prevede che l’ISC svolga controlli sull’economicità, l’efficienza e l’efficacia, la prassi attuale mostra una tendenza ad includere questo tipo di attività come parte dei controlli finanziari e di regolarità ('controllo integrato'). Tali controlli richiedono sovente da parte del controllore una valutazione dei sistemi evidenziata in un parere professionale riguardo all’efficienza e all’efficacia delle strutture e delle procedure organizzative, nonché all’economicità con cui sono state eseguite le operazioni. 2.2 Gli obiettivi globali del controllo sulla gestione variano a seconda del paese. Questi possono essere definiti nella legislazione di base dell’ISC oppure essere oggetto di decisioni interne dell’ISC. In generale, la maggior parte delle ISC persegue uno o più dei seguenti obiettivi globali: a. fornire all’organo legislativo o all’autorità preposta al discarico una valutazione imparziale relativa all’attuazione economica, efficiente e/o efficace degli indirizzi politici; b. fornire all’organo legislativo o all’autorità preposta al discarico una valutazione imparziale relativa all’attendibilità degli indicatori o delle dichiarazioni sul rendimento pubblicati dall’organismo controllato; c. individuare i settori a basso rendimento e quindi dare un supporto all’organismo controllato, o più in generale l’amministrazione, per il miglioramento dell’economicità, dell’efficienza e/o dell’efficacia; d. individuare i casi di “buon andamento”, per sottoporli all’attenzione dell’amministrazione e/o degli organismi controllati. 2.3 Il paragrafo 42 delle norme di controllo dell’INTOSAI, che fornisce una delucidazione di alcune norme, dispone: - 110 - “In molti paesi il mandato di effettuare il controllo sulla gestione non prevede l’esame degli indirizzi politici sui quali si basano i programmi statali”. In questi casi, i controlli sulla gestione non rimettono in causa gli obiettivi dei programmi, bensì esaminano le misure prese per concepire, attuare e valutare i risultati di tali programmi e possono comprendere un esame dell’adeguatezza delle informazioni su cui poggiano le decisioni di adozione dei programmi (esame della fase di pianificazione del ciclo di programma). 2.4 Le norme INTOSAI applicabili al controllo sulla gestione sono citate nei rispettivi titoli del presente criterio. 3. Principi di base e definizioni 3.1 Il controllo sulla gestione -----------------------------Come affermato nel paragrafo 1 di cui sopra, il controllo sulla gestione (ovvero “controllo dell’ottimizzazione delle risorse”, “controllo della sana gestione finanziaria”, “audit della gestione”, ...) verte sull’esame dell’economicità, dell’efficienza e/o dell’efficacia (“le tre E”). Un determinato controllo sulla gestione può avere come obiettivo l’esame di uno o più di questi tre aspetti. Un controllo sulla gestione può quindi includere un esame dei sistemi utilizzati per assicurare l’attuazione delle “tre E” e/o un esame sostanziale del rendimento dell’organismo controllato sotto questi profili. Un controllo sulla gestione può altresì comprendere l’esame delle decisioni assunte dai responsabili della gestione dell’organismo, nonché l’esame delle attività, in attuazione dei programmi. In quest’ultimo caso il controllo verterà generalmente sul modo in cui l’esecutivo svolge le proprie funzioni, e le strategie di programmazione, di attuazione, di controllo, di valutazione e di quant’altro. 3.2 L’economicità va intesa come la minimizzazione dei costi delle risorse o dell’utilizzazione del denaro pubblico impiegato per un’attività (input), tenuto conto della qualità (1). L’economicità rimanda al concetto di “buona gestione” nello spendere il denaro pubblico. Ciò che dovrebbe essere definito “buona gestione” o “spreco” è una questione di valutazione che richiede un criterio esterno (ad es. dei rubinetti d’oro sarebbero eccessivi, poiché i rubinetti di acciaio sono altrettanto funzionali; tuttavia, sarebbe giudicata unanimamente funzionale la corona di una regina fatta d’oro!) Il fattore dell’economicità induce spesso il controllore ad esaminare elementi quali l’elaborazione di specifiche per la fornitura di beni e servizi ed altri aspetti dell’approvvigionamento, come gare d’appalto e contratti. (1) In alcuni controlli (entrate, redditi, ricavi), l’economia potrebbe implicare la massimizzazione o l’ottimizzazione delle entrate che derivano dall’attività interessata (ad es. massimizzare le entrate provenienti dalla privatizzazione di una società pubblica, facendo in modo che le pubblicazioni del governo siano vendute a prezzi di mercato ecc.). - 111 - L’efficienza è il rapporto tra i prodotti, in termini di beni, servizi ed altro e le risorse (input) utilizzate per produrli. L’efficienza in quanto tale è strettamente connessa al concetto di “produttività”. Come per l’economicità, anche per l’efficienza occorre un punto di riferimento per essere compresa pienamente, ad es. il confronto con il rapporto input/output di organizzazioni analoghe (“benchmarking”, norme di “buona prassi” ecc.). Il concetto di efficacia dei costi è connesso all’efficienza di un organismo controllato, di un’attività, programma od operazione, nel raggiungimento di determinati risultati rispetto ai costi. Le analisi di efficacia dei costi studiano la relazione tra costi dei progetti e risultati, espressi in costi per unità di risultato raggiunto. Il rapporto costo efficacia è soltanto un elemento nell’esame globale dell’efficienza, che può includere l’analisi di altri elementi, quali il momento in cui sono stati forniti gli output rispetto al momento ottimale per massimizzare l’impatto. L’efficacia misura la misura in cui gli obiettivi sono stati raggiunti e il rapporto tra gli effetti previsti di una attività e quelli raggiunti. (2) Il controllore può cercare di valutare o misurare l’efficacia confrontando i risultati (ovvero “l’impatto”) con i traguardi fissati negli obiettivi programmatici (questo approccio è spesso descritto come “conseguimento dell’obiettivo”). Tuttavia, è solitamente più appropriato, controllando l’efficacia, cercare di determinare la misura in cui gli strumenti utilizzati hanno contribuito al raggiungimento degli obiettivi programmatici. Questo è il controllo dell’efficacia in senso “proprio” e richiede la prova che i risultati osservati siano realmente i risultati dell’azione intrapresa dall’organismo controllato al fine di conseguire gli obiettivi programmatici e non i risultati di altri fattori esterni. Ad esempio, se l’obiettivo programmatico è quello di ridurre la disoccupazione, la constatata diminuzione del numero dei disoccupati è il risultato delle azioni dell’organismo controllato oppure è il risultato di un miglioramento generale del clima economico su cui l’organismo controllato non esercita alcun influsso? In questo caso, il controllo deve essere concepito in modo da poter risolvere la problematica della “effettiva” imputazione: deve affrontare il problema dell’effettiva esclusione di variabili esterne interferenti. 3.3 L’economicità e l’efficienza interessano generalmente i processi e le decisioni di gestione interni dell’organismo controllato (sebbene ciò possa comportare raffronti con analoghi organismi o processi esterni). Tuttavia, il controllo dell’efficacia può essere inteso nei seguenti modi: - (2) in senso stretto, quando sono esaminate soltanto la gestione e le operazioni interne dell’organismo controllato. In questo caso, il controllo dell’efficacia sarà di norma incentrato sul risultato dell’organismo ed esaminerà “l’impatto interno” (quello identificabile nell’organismo controllato); Fonte: INTOSAI Audit Standards, Glossary. Si consulti anche il criterio su “Elementi probatori e metodi di controllo”, Allegato 2, paragrafo 6.1. - 112 - - in senso più ampio, quando l’esame si estende al di là degli ambiti dell’organismo controllato. In questo caso, il controllo dell’efficacia non si prefigge di misurare soltanto il prodotto, ma anche i risultati o l’impatto ottenuto dall’organismo controllato. A tal fine, il controllore deve prendere in considerazione l’incidenza che le variabili esterne (ad es. fattori al di fuori del controllo della gestione dell’organismo) hanno sul prodotto dell’organismo controllato. 3.4 Il grafico seguente illustra tali concetti. 3.5 Ove dal controllo sulla gestione non sia voluto necessariamente trarre conclusioni su tutti e tre gli aspetti (economicità, efficienza ed efficacia), ne deriva che un esame separato sulla economicità ed efficienza delle attività, senza considerare (almeno nel breve periodo) l’efficacia, risulta di limitata utilità. Viceversa, in un controllo dell’efficacia il controllore deve anche considerare gli aspetti dell’economia e dell’efficienza: i risultati di un organismo controllato, attività, programma o operazione possono aver prodotto l’esito voluto, ma le risorse impiegate a tal fine sono state utilizzate in modo economico ed efficiente? Per l’esame dell’efficacia, occorre generalmente valutare il risultato o l’incidenza di un’attività. Così, mentre un approccio fondato sull’analisi dei sistemi può rivelarsi utile (ad es. valutare in che modo l’organismo controllato misura e sorveglia il suo impatto), il controllore necessiterà solitamente di acquisire documentazione sufficiente sui risultati ed effetti dell’attività, programma o organismo. 3.6 Un aspetto specifico dei controlli sia dell’efficienza che dell’efficacia è costituito dallo studio degli effetti non intenzionali, soprattutto se questi effetti sono negativi. Sorge a questo punto un problema di delimitazione, poiché tali effetti possono investire ambiti estranei alla competenza e alle facoltà dell’ISC. Un modo di limitare la scelta può essere - 113 - quello di considerare gli effetti non intenzionali che in altri programmi vengono contrastati, ad es. effetti secondari sull’ambiente di un programma di incentivazione economica. 4. Controllo finanziario e controllo sulla gestione: analogie e differenze 4.1 Il paragrafo 183 della norme dell’INTOSAI, che fornisce una delucidazione delle norme, dispone che: "A differenza del controllo sulla regolare esposizione [ovvero finanziario] inquadrato in maniera relativamente rigida quanto alle disposizioni e alle finalità, l’ambito del controllo sulla gestione è ampio per natura; la sua copertura è più selettiva e può estendersi ad un ciclo di diversi anni, senza limitarsi ad un solo periodo contabile; di norma non è legato a specifici rendiconti finanziari o altri. Di conseguenza, le relazioni relative al controllo sulla gestione sono varie e contengono argomentazioni più articolate”. Norme di controllo ---------------------- 4.2 Nonostante il carattere più vario e l’ambito più ampio del controllo sulla gestione, il controllore deve cercare il più possibile, nel contesto del controllo specifico da attuare, di svolgere tale controllo nel rispetto delle norme dell’INTOSAI. In particolare, il controllore: - nel determinare l’ampiezza e l’ambito del controllo, deve esaminare e valutare l’affidabilità del controllo interno (Norme di controllo dell’INTOSAI, paragrafo 141 vedasi il criterio-guida n. 13 “Elementi probatori e metodo di controllo”); - deve programmare il controllo in modo da garantire l’espletamento di un controllo di qualità elevata in modo economico, efficiente, efficace e in modo tempestivo (Norme di controllo dell’INTOSAI, paragrafo 132 - vedasi il criterio-guida n. 11 “Programmazione del controllo”); - deve far sì che si ottengano elementi probatori adeguati, pertinenti e a un costo ragionevole a sostegno del giudizio e delle conclusioni del controllore riguardanti l’organizzazione, il programma, l’attività o la funzione controllati (Norme di controllo dell’INTOSAI, paragrafo 152 - vedasi il criterio-guida n. 13 “Elementi probatori e metodo di controllo”). Tali elementi probatori e i giudizi formulati dal controllore sulla base di tali elementi devono essere documentati adeguatamente e devono essere soggetti a procedure di garanzia della qualità (Spiegazione delle norme di controllo dell’INTOSAI, paragrafo 156 - cfr. il criterio-guida n. 51 “Garanzia della qualità”). Inoltre, dato che il controllo sulla gestione può risultare più aperto a valutazioni ed interpretazioni rispetto al controllo finanziario, il controllore deve prestare particolare attenzione all’imparzialità e all’obiettività della relazione che viene elaborata. La scelta dei settori di controllo e lo studio preliminare ---------------------------------------------------------------4.3 Nei controlli finanziari, il settore di controllo è spesso definito per l’ISC dalla sua legislazione di base o dalla legislazione che istituisce o disciplina l’organismo controllato. - 114 - L’ISC deve spesso fornire un parere sui conti annuali dell’organismo controllato oppure presentare le sue osservazioni nella sua relazione annuale sulla legittimità e sulla regolare esposizione delle operazioni dell’organismo controllato ecc.. Come menzionato nel paragrafo 4.1 di cui sopra, l’ISC ha solitamente una maggiore libertà nella scelta dei settori del controllo sulla gestione. Il controllo sulla gestione può, ad esempio, prendere in esame un organismo controllato, un programma, un’attività oppure singole operazioni ecc. L’ISC deve quindi considerare con cura i criteri da applicare nella scelta dei settori da sottoporre al controllo sulla gestione (cfr. il paragrafo 5.2 in appresso). 4.4 Diversamente dai controlli finanziari, la maggiore libertà nella selezione dei settori associata al carattere più vasto e alla maggiore possibilità di esprimere un giudizio e un’interpretazione nei controlli sulla gestione, implica che molte ISC ritengono necessario effettuare studi preliminari particolareggiati prima di definire i piani di controllo di gestione (cfr. i paragrafi dal 5.3 al 5.6 in appresso). Criteri di valutazione ------------------------- 4.5 Nei controlli finanziari, le operazioni esaminate sono giudicate dal controllore in quanto “corrette” o “ non corrette”, “legittime” o “illegittime” ecc. Tali criteri di valutazione adottati dal controllore per formulare un parere conclusivo alla fine del controllo sono relativamente chiusi e solitamente predeterminati da, ad esempio, la legislazione che istituisce l’organismo controllato. Tuttavia per i controlli sulla gestione la scelta dei criteri di controllo è generalmente più aperta ed è operata dal controllore stesso. Pertanto, nel controllo sulla gestione i concetti generali di 'economicità', 'efficienza' ed 'efficacia' devono essere interpretati in relazione al settore controllato ed i criteri risultanti varieranno da un controllo all’altro (3). La natura degli elementi probatori ---------------------------------------- 4.6 Il paragrafo 152 delle norme di controllo dell’INTOSAI dispone che: “Per avvalorare il giudizio e le conclusioni del controllore sull’organizzazione, sul programma, sull’attività o sulla funzione oggetto del controllo, occorre reperire elementi probatori adeguati, pertinenti e a un costo ragionevole.” 4.7 (3) Mentre la maggior parte degli elementi probatori nei controlli finanziari sono conclusivi (“sì/no”, “vero/falso”), nei controlli sulla gestione ciò accade di rado. Gli elementi valutativi di un controllo sulla gestione sono solitamente convincenti (“a favore della conclusione che ...). Il controllore deve scegliere con attenzione le appropriate metodologie di controllo in modo da ottenere elementi probatori estremamente convincenti (e sfruttare ogni possibilità di ottenere prove conclusive). Spesso il controllore cerca di ottenere vari tipi di dati da fonti differenti mediante metodologie diverse e se tutte le prove conducono Cionondimeno il controllore dovrà solitamente tener conto del contesto legislativo e regolamentare che disciplina l’attività controllata e ne determina l’esecuzione, al fine di identificare gli obiettivi programmatici e gli strumenti disponibili per raggiungerli. - 115 - alla stessa conclusione la relazione dell’ISC sarà più convincente. 4.8 Quando si lavora in settori in cui gli elementi valutativi da ottenere siano più convincenti che conclusivi, è spesso utile discutere preventivamente con l’organismo controllato la natura delle prove da ottenere ed il modo in cui saranno analizzate ed intepretate dal controllore. Tale approccio riduce il rischio di disaccordo tra il controllore e l’organismo controllato nelle fasi successive e può accelerare l’elaborazione della relazione. Se non altro, esso consentirà in generale al controllore di identificare gli ambiti di un potenziale disaccordo e permetterà al controllore di prevedere la ricerca di ulteriori elementi probatori necessari a superare il disaccordo. Il metodo di controllo -------------------------- 4.9 Analogamente ai controlli finanziari, il metodo di controllo nei controlli sulla gestione deve essere consolidato e le diverse fasi del controllo devono essere svolte secondo un ordine logico (4). Il controllo include: - esami approfonditi dei sistemi delle procedure interne di controllo messe in atto dagli organismi controllati per garantire l’economicità, l’efficienza e l’efficacia delle loro operazioni (5). Ciò consente al controllore di identificare settori in cui è necessaria un’azione correttiva ai fini di un miglioramento; e/o - esami sostanziali dell’economicità, dell’efficienza e/o dell’efficacia delle organizzazioni, attività, programmi o funzioni interessate. 4.10 Nei controlli finanziari, il controllore può avere la scelta tra un approccio fondato sull’analisi dei sistemi e le verifiche di convalida dirette. Generalmente, una relazione di controllo di gestione che identifica carenze nei sistemi o nelle procedure e fornisce esempi ottenuti dalle verifiche di convalida dell’effetto di tali carenze (in termini di non conseguimento dei criteri di economicità, efficienza e/o efficacia), avrà una maggiore incidenza di una relazione che segnala le carenze di un sistema senza indicare l’effetto di tali carenze o, viceversa, identifica casi sostanziali di mancanza di economicità, efficienza ed efficacia senza identificarne le ragioni. Nel controllo sulla gestione il controllore può spesso scegliere una combinazione di elementi probatori ottenuti dall’analisi dei sistemi e dalle verifiche di convalida. 4.11 Laddove le procedure di controllo interno siano altamente sviluppate ed in particolare quando la legislazione obbliga i servizi ministeriali ed altre agenzie ad una propria valutazione ('autovalutazione') regolamentata dei programmi e della loro organizzazione, (4) (5) Decidere cosa esaminare ed identificare gli obiettivi del controllo, i quesiti chiave del controllo e i principali criteri di controllo (paragrafi 4.3-4.5 sopra); programmare il controllo (paragrafo 5 in appresso); svolgere il controllo (paragrafo 6 in appresso); relazione e seguito dato alle conclusioni della relazione (paragrafo 7 in appresso). Va rilevato che le norme di controllo dell’INTOSAI (paragrafo 141) prevedono che il controllore esegua almeno un esame sommario dell’affidabilità del controllo interno, come parte del processo di programmazione. - 116 - l’ISC può decidere di limitare il suo controllo sulla gestione ad una specie di metavalutazione (valutazione della valutazione). Va sottolineato che, tuttavia, un tale approccio è applicabile soltanto se il controllore dell’ISC sia pienamente convinto che i processi di valutazione interni forniscano valutazioni obiettive, complete e tempestive dei programmi interessati. 5. Programmazione del controllo sulla gestione 5.1 I controlli di gestione devono essere programmati. Le principali caratteristiche del processo di programmazione sono descritte nel criterio-guida n. 11 “Programmazione del controllo”. Tale criterio verte sugli aspetti della programmazione propri alla concezione del controllo sulla gestione. La scelta dei settori di controllo ------------------------------------- 5.2 La scelta dei settori di controllo sarà basata sulle politiche di programmazione dell’ISC. I criteri per stabilire le priorità di controllo si fondano normalmente sul valore aggiunto del controllo relativamente al compito principale dell’ISC. Il valore aggiunto è solitamente maggiore: - - - quando i poteri speciali dell’ISC vengono pienamente esercitati; quando il campo della politica, l’organizzazione, l’attività, il programma o la funzione in questione non hanno formato oggetto di un esame o di una valutazione indipendente in un passato recente, oppure quando fanno parte del controllo sistematico del settore/organizzazione nell’ambito di un programma a lungo termine dell’ISC. quando sussistono rischi significativi che la gestione finanziaria, il rendimento o l’ottimizzazione delle risorse siano insufficienti. Quelli che seguono sono esempi di fattori che possono comportare alti rischi: - gli importi finanziari o di bilancio in causa sono rilevanti oppure hanno registrato cambiamenti notevoli (ad es. incremento o riduzione improvvisi di un programma); - settori tradizionalmente esposti al rischio (contratti di approvvigionamento, progetti di alta tecnologia, progetti ambientali ...) - attività nuove o urgenti; - strutture di gestione complesse, mancanza di chiarezza in materia di responsabilità e obbligo di rendere conto ... quando il settore è di interesse potenziale o attuale per il Parlamento o il pubblico. quando le conclusioni che risultano dal controllo possono influenzare la formulazione di una nuova legislazione o la revisione della legislazione esistente o le procedure di gestione interne nello stesso settore d’intervento, oppure quando possono essere applicate ad ambiti connessi o analoghi dell’attività pubblica. Programmazione del controllo e studio preliminare ----------------------------------------------------------5.3 Dopo che la scelta dell’oggetto del controllo è stata effettuata, il controllore può procedere alla programmazione del controllo sulla gestione. Come si è rilevato nel paragrafo 4.4 di cui sopra, il fatto che il controllore si trovi di fronte a una situazione più complessa, quando svolge un controllo sulla gestione rispetto a quando opera un controllo finanziario, - 117 - implica che occorre prestare una maggiore attenzione alla preparazione iniziale e può essere necessario redigere uno “studio preliminare” (ovvero “pre-studio”) prima di predisporre il programma di controllo definitivo. 5.4 Lo studio preliminare ed il programma di controllo dipendono essenzialmente dalla concezione del controllo sulla gestione ed includono solitamente i seguenti elementi: a. un’analisi del contesto delle attività in questione inclusi gli obiettivi, il rendimento fino alla data del controllo e il quadro regolamentare; b. la comprensione del funzionamento dell’organismo controllato o dell’attività, e quindi la comprensione dei sistemi chiave di gestione e dei flussi di informazioni; c. la formulazione degli obiettivi del controllo (qual è il risultato o l’impatto programmato del controllo?) e delle domande chiave del controllo alle quali rispondere per conseguire gli obiettivi del controllo. Gli obiettivi specifici ed i quesiti focali del controllo sono di importanza preminente per la programmazione e lo svolgimento dei controlli di gestione. Gli obiettivi del controllo sono di norma strettamente connessi al mandato dell’ISC (che è volto di solito al miglioramento dell’efficienza e della regolarità dell’azione dell’amministrazione); i quesiti focali del controllo, invece, sono determinati dalla natura dell’argomento e dagli obiettivi del controllo. Vi sono tre tipi di indagini e di quesiti di controllo: descrittivo (cosa è?), normativo (cosa dovrebbe essere?) e domande di causa-effetto. Gli obiettivi del controllo e i quesiti chiave del controllo servono entrambi ad identificare gli elementi valutativi del controllo necessari e quindi la metodologia del controllo nonché i criteri di valutazione del controllo. d. La determinazione degli elementi probatori del controllo che risponderanno ai quesiti. Devono essere valutate la pertinenza, l’affidabilità e la completezza dei dati disponibili negli organismi controllati (ad es. indicatori di rendimento). La possibilità di raccogliere gli elementi probatori richiesti (disponibilità dei dati) deve pure essere verificata. e. La scelta dei metodi da adottare per raccogliere ed analizzare gli elementi probatori del controllo. Nei controlli di gestione, i controllori riscontrano frequentemente problemi nel raccogliere e nell’analizzare gli elementi probatori di controllo richiesti. È quindi solitamente consigliabile verificare nella fase di programmazione l’attuabilità dei metodi proposti di raccolta e di analisi dei dati. f. La determinazione dei criteri di valutazione del controllo. I criteri di valutazione del controllo corrispondono alle norme generalmente accettate secondo cui sono valutati gli elementi probatori. Ad esempio, un controllore che esamina il criterio dell’ economicità dei servizi sanitari può cercare di comparare i costi delle medicine prescritte nell’ospedale controllato ai prezzi normali fissati dal Ministero competente. Tali criteri di valutazione varieranno secondo il settore e gli obiettivi specifici del controllo, la legislazione che disciplina l’organizzazione, l’attività, il programma o la funzione controllati, le finalità dichiarate dell’organizzazione (ecc.) e gli specifici criteri normativi che - 118 - l’ISC ritiene in questo caso pertinenti ed importanti. Nella scelta dei criteri di valutazione, i controllori devono far in modo che questi siano pertinenti, ragionevoli e realizzabili. I criteri di valutazione devono essere enunciati chiaramente e convalidati e, se possibile, tratti da fonti autorevoli, ad esempio: - legislazione o dichiarazioni ufficiali oppure altri obiettivi e norme pubblicati; - teoria e prassi di organizzazione e di gestione generalmente accettate; - norme dell’industria ed altri criteri di confronto pertinenti. Nella misura in cui le organizzazioni tendono ad “attribuire molto valore alle loro misurazioni”, il controllore dovrà prestare molta attenzione quando i criteri adottati per il controllo sono gli stessi definiti ed utilizzati dall’ organismo controllato. Oltre ai criteri quantitativi il controllore dovrà prevedere l’uso di criteri qualitativi. Nel definire il settore di controllo, nel determinare i quesiti chiave nonché nel descrivere i criteri di controllo, i concetti centrali dovrebbero essere definiti con correttezza e con precisione. Ciò vale per definizioni sia concettuali che operazionali. 5.5 Oltre agli elementi di cui sopra relativi alla concezione del controllo, lo studio preliminare ed il programma di controllo che ne risulta includeranno solitamente: a. una valutazione delle conoscenze e delle competenze professionali richieste dall’équipe di controllo per effettuare il controllo. Nei casi in cui i controllori interessati non siano in possesso delle competenze richieste, si dovrebbe provvedere ad attingere all’esterno, rivolgendosi o al personale dell’ISC o a consulenti esterni (cfr. il criterio-guida “Ricorso ad altri controllori ed esperti”). Se l’équipe di controllo non dispone delle competenze e conoscenze richieste, è opportuno chiedersi se sia possibile svolgere il controllo previsto. b. Un bilancio delle risorse necessarie a svolgere il controllo e un calendario c. Possibili conclusioni e impatto del controllo. Il risultato proposto del controllo di gestione dovrebbe essere giudicato anche in termini di 'utilità' e 'fattibilità'. Insieme agli stanziamenti per il controllo, tali fattori dovrebbero consentire al controllore di ottenere una valutazione globale del valore aggiunto potenziale che sarà creato dal controllo. d. Il controllore dovrebbe poter prendere in considerazione gli interessi predominanti e i punti di vista delle parti principalmente interessate. Il controllore potrebbe consultarsi con le parti interessate e, per quanto possibile senza compromettere l’indipendenza del controllo, prendere in considerazione il loro punto di vista nella definizione degli obiettivi del controllo e nella preparazione del programma di controllo. 5.6 La programmazione è spesso l’elemento chiave per il successo del controllo sulla gestione. Una programmazione accurata dà generalmente luogo ad un controllo meno costoso e più - 119 - rapido e quindi ad una relazione più utile. Molte ISC ritengono che sia opportuno svolgere uno studio preliminare dettagliato prima di giungere ad una decisione definitiva sul proseguimento del controllo. 6. Metodologia del controllo di gestione 6.1 La natura specifica dei controlli di gestione richiede una scelta oculata delle metodologie per l’analisi delle variabili esaminate. L’obbligo di ottenere elementi valutativi adeguati, pertinenti ed affidabili (Norme di controllo dell’INTOSAI, paragrafo 152) avrà generalmente un’incidenza sulle decisioni prese dal controllore riguardo alle metodologie appropriate. Per i controlli di gestione in particolare, il controllore presterà attenzione alla validità e all’affidabilità dei metodi utilizzati per la raccolta e l’analisi dei dati: * Validità: i metodi e le tecniche devono permettere di misurare esattamente l’obiettivo controllato; * Affidabilità: ripetendo le stesse operazioni di misurazione con lo stesso insieme di dati, i risultati dovrebbero rimanere costanti. Per i controlli sulla gestione si può far ricorso ad una grande varietà di metodi e tecniche, ad esempio indagini, interviste, (quasi) esperimenti sul campo, studi “prima e dopo”, analisi secondaria dei dati, benchmarking ecc.. Nell’ambito di tali strategie generali sono possibili e praticabili diverse configurazioni. L’ALLEGATO 1 fornisce una sintesi di alcune delle metodologie più comuni utilizzate nei controlli sulla gestione. 6.2 Come affermato nel paragrafo 4.2 di cui sopra, i controllori dovrebbero cercare di svolgere controlli sulla gestione nel rispetto delle altre norme di controllo dell’INTOSAI, cosa che condizionerà anche la scelta delle metodologie. Lavoro sul campo --------------------- 6.3 Per informazioni generali sul lavoro sul campo si consulti il criterio-guida n. 13 “Elementi probatori e metodo di controllo”. Tale criterio può condurre in particolare il controllore a valutare se adottare un approccio basato sull’analisi dei sistemi per il controllo specifico che si sta svolgendo. Anche nei casi in cui si decide di non seguire un approccio basato sull’analisi dei sistemi, il controllore dovrebbe, come parte del processo di programmazione del controllo, avere effettuato una valutazione preliminare del sistema delle procedure interne di controllo. 6.4 Le osservazioni seguenti si applicano in modo particolare al contesto dei controlli sulla gestione. 6.5 La raccolta dei dati può essere effettuata in una volta sola o con operazioni continue (analisi cronologica, analisi longitudinale). Le informazioni possono essere raccolte sulla base di prove materiali, documenti (comprese le dichiarazioni scritte), testimonianze orali (interviste) oppure con altri mezzi a seconda dell’obiettivo del controllo. Spesso, occorrerà raccogliere dati sia quantitativi che qualitativi. Si dovrebbe poter spiegare e giustificare, in termini di adeguatezza, validità, affidabilità, pertinenza e ragionevolezza i tipi di dati - 120 - cercati. 6.6 I risultati del lavoro sul campo e dell’analisi (gli elementi valutativi del controllo), insieme alla documentazione relativa alla programmazione del controllo, devono essere documentati, classificati e completi di riferimenti affinché i responsabili del controllo possano esaminare il lavoro effettuato e convalidare le conclusioni alle quali si è giunti (cfr. il criterio-guida n. 26 “Documentazione” e il criterio-guida n. 51“Garanzia della qualità”). 7. L’elaborazione delle relazioni inerenti al controllo sulla gestione 7.1 Per i criteri generali sull’elaborazione delle relazioni, si consulti il criterio-guida n. 31 “Stesura delle relazioni”. 7.2 Le relazioni pubblicate a seguito dei controlli sulla gestione includono normalmente i seguenti elementi: - - una sintesi del contesto in cui le attività controllate hanno luogo e del contesto organizzativo; gli obiettivi relativi a tali attività, una descrizione delle attività ed un’analisi del rispetto potenziale dei criteri di economicità, efficienza ed efficacia, per giungere alla formulazione degli obiettivi del controllo; una descrizione o una sintesi delle metodologie di controllo utilizzate per la raccolta e l’analisi dei dati ed un’indicazione delle fonti dei dati; una delucidazione dei criteri adottati per l’interpretazione dei risultati; i risultati del controllo, o quanto meno i risultati considerati significativi per i lettori a cui si rivolge la relazione; le conclusioni relative agli obiettivi del controllo. A seconda della politica dell’ISC, la relazione può presentare raccomandazioni che fanno seguito alle conclusioni. 7.3 Il rapporto tra obiettivi del controllo, criteri, risultati e conclusioni deve essere verificabile e completo. Per consentire al lettore di verificare le conclusioni, la relazione deve spiegare tale rapporto. Il nesso tra risultati del controllo e conclusioni deve essere reale e chiaro. Nei casi in cui il controllore abbia attribuito una diversa ponderazione ai vari criteri di controllo per le sue conclusioni, è opportuno che ciò sia precisato per facilitare al lettore la comprensione della relazione. 7.4 Nei casi in cui l’ISC è solita presentare raccomandazioni, deve esserci un nesso chiaro tra conclusioni e raccomandazioni. Le raccomandazioni devono normalmente essere formulate soltanto quando il controllo ha messo in luce soluzioni plausibili e convenienti per le carenze individuate. Esse non devono presentare solitamente programmi di applicazione dettagliati - che sono di competenza dei responsabili della gestione - bensì dovrebbero indicare gli elementi principali di ogni cambiamento necessario, prendendo nella debita considerazione il costo probabile della loro applicazione. Solitamente si dovrebbe identificare chiaramente chi è responsabile delle carenze riscontrate e chi deve provvedere a colmarle. 7.5 Le relazioni del controllo sulla gestione dovrebbero essere obiettive ed eque nella loro - 121 - presentazione. Ciò presuppone che: - vi siano presentazioni distinte dei risultati e delle conclusioni; i fatti siano presentati in modo obiettivo; siano riportati i risultati pertinenti essenziali; le relazioni siano costruttive e si presentino anche conclusioni positive. Consultazione con l’organismo controllato -------------------------------------------------7.6 La maggior parte delle ISC dà solitamente ai responsabili della gestione dell’organismo controllato la possibilità di esprimere osservazioni sul progetto di relazione. Per facilitare questo processo e stabilire un dialogo costruttivo e positivo, il controllore può incoraggiare discussioni e scambi di opinioni, sua una base formale o informale, sia nella fase dello studio/programmazione preliminare che nel corso del lavoro sul campo. ------- - 122 - Allegato 1, pagina 1 Allegato Metodologia del controllo sulla gestione I controlli di gestione dispongono di una grande varietà di metodi e tecniche. Segue in appresso una breve descrizione dei metodi e delle tecniche più comuni utilizzati per la raccolta e l’analisi dei dati. 1 Tecniche di raccolta dei dati 1.1 Esame dei fascicoli Attingere ai documenti costituisce una tecnica molto efficiente di raccolta dei dati e pertanto l’esame dei fascicoli formerà sovente la base di molti controlli di gestione. I fascicoli contengono un’ampia gamma di elementi probatori, quali le decisioni dei funzionari, la documentazione dei beneficiari dei programmi e i documenti dei programmi dell’amministrazione. È essenziale determinare la natura, l’ubicazione e la disponibilità dei fascicoli nella fase iniziale del controllo di gestione, affinché questi possano essere esaminati con una certa facilità (efficacia dei costi). 1.2 Campionamento ai fini di controllo Come dispone il paragrafo 6.1 del criterio del campionamento ai fini di controllo: è da rilevare che il campionamento è spesso un mezzo per ottenere elementi probatori nel quadro dei controlli di gestione. Gli obiettivi del campionamento possono essere diversi, ma i principi che stanno alla base sono gli stessi. 1.3 Analisi secondaria/Ricerca documentaria L’analisi secondaria consiste, ad esempio, nell’esame delle relazioni di ricerca generale, dei libri e degli articoli relativi al settore del programma o di studi specifici del settore, compresi i controlli e le valutazioni anteriori. Ciò permette di aggiornare o ampliare le conoscenze professionali del controllore su un argomento particolare. 1.4 Indagini Un’indagine è una raccolta sistematica di informazioni da una determinata popolazione, solitamente mediante interviste o questionari distribuiti ad un campione di unità della popolazione. Le indagini sono utilizzate per raccogliere informazioni dettagliate e specifiche presso un gruppo di persone od organizzazioni. Si rivelano particolarmente utili quando occorre quantificare le informazioni date da un numero cospicuo di persone su un problema o un argomento specifico. Si dispone di un’ampia gamma di tecniche di indagine. Le più utilizzate sono solitamente - 123 - Allegato 1, pagina 2 la posta, il telefono e le interviste dirette. 1.5 Interviste Un’intervista è uno scambio di domande e risposte volto ad ottenere determinate informazioni. Le interviste possono essere non strutturate (ovvero con domande aperte) o strutturate (domande chiuse). Le interviste possono essere utilizzate nella fase di programmazione e nell’esame vero e proprio per ottenere documenti, pareri ed idee attinenti agli obiettivi del controllo, per confermare fatti, corroborare i dati di altre fonti oppure considerare eventuali raccomandazioni. 1.6 Gruppi target I gruppi specifici sono costituiti da una selezione di persone riunite per discutere argomenti e problemi specifici. Sono utilizzati innanzitutto per la raccolta qualitativa di dati, ovvero di informazioni che permettono di comprendere i valori e le opinioni delle persone che operano nel processo o nell’attività soggetta al controllo. 1.7 Analisi comparativa (“benchmarking”) Il benchmarking è un procedimento che permette di raffrontare i metodi, i processi, le procedure, i prodotti e i servizi di un’organizzazione con quelli delle organizzazioni che si distinguono costantemente negli stessi tipi di attività. Il benchmarking può essere utilizzato: - 1.8 per incoraggiare un esame obiettivo dei processi, delle procedure e dei sistemi che pongono problemi; per elaborare criteri ed identificare modalità operative potenzialmente migliori; per attribuire maggiore credibilità alle raccomandazioni del controllo. Studi “prima e dopo” In uno studio prima e dopo si confronta la situazione prima dell’avvio del programma alla situazione dopo l’applicazione del programma. Un semplice studio “prima e dopo” consiste in una serie di misurazioni prima dell’avvio del programma ed una seconda serie sullo stesso gruppo di partecipanti dopo un periodo sufficientemente lungo di partecipazione. L’impatto è stimato raffrontando le due serie di misure. L’inconveniente principale di questa tecnica consiste nel fatto che le differenze tra le misure prima e dopo non possono essere attribuite con certezza al programma. - 124 - Allegato 1, pagina 3 1.9 (Quasi) esperimenti sul campo/Metodo sperimentale L’aspetto essenziale degli esperimenti veri e propri è l’attribuzione casuale di obiettivi a gruppi trattati e non trattati che costituiscono rispettivamente il gruppo sperimentale e il gruppo di controllo. Un gruppo di controllo è un gruppo di obiettivi non trattati i cui risultati relativi alla valutazione dell’impatto sono comparati a quelli dei gruppi sperimentali. Un gruppo sperimentale è un gruppo di obiettivi che viene sottoposto ad un intervento e i cui risultati sono confrontati a quelli dei gruppi di controllo. Un quasi esperimento è un’operazione di ricerca dell’impatto in cui i gruppi 'sperimentali' e 'di controllo' non sono formati casualmente. I problemi pratici e strategici che sorgono nell’utilizzazione del metodo sperimentale hanno condotto ad un incremento nell’uso di metodi 'quasi sperimentali', che tentano di escludere per quanto possibile gli effetti esterni che rendono difficile la valutazione dell’impatto. Tuttavia, questi metodi non offrono la stessa garanzia di un esperimento vero e proprio. I due tipi più comuni di metodi quasi sperimentali prevedono la formazione di gruppi di controllo o di confronto in modo da approssimarsi il più possibile ad una ripartizione casuale. Ciò viene effettuato associando i gruppi che partecipano a quelli che non partecipano oppure con un adeguamento statistico dei partecipanti e dei non partecipanti, affinché le caratteristiche essenziali di questi siano più equivalenti possibile. 2 Tecniche di analisi delle informazioni 2.1 Quadro logico (MLP Modello di Programma Logico) Il quadro logico (ovvero teoria del programma/teoria dell’intervento) riproduce la struttura o la logica del programma controllato. Esso mostra la gerarchia del programma in termini di obiettivi e responsabilità. Partendo dagli obiettivi del programma di livello più elevato e dagli effetti auspicati, procede poi con i sottoprogrammi, gli elementi dei sottoprogrammi e le attività specifiche e ciascun elemento di livello inferiore è connesso logicamente ad un elemento di livello superiore. Il quadro logico può essere di ausilio al controllore per comprendere i problemi del controllo di gestione, poiché incentra l’attenzione sul rapporto tra gli obiettivi e i sottobiettivi del programma e gli output e i risultati (incidenze ed effetti) che risultano dal programma. Esso consente al controllore di identificare e rispondere a domande quali: - gli obiettivi permettono di comprendere chiaramente la logica del programma, dei beni e dei servizi forniti e degli utenti di tali beni e servizi? gli obiettivi permettono di identificare in modo chiaro e quantificabile i risultati auspicati? i nessi causali tra i livelli gerarchici sono plausibili? - 125 - Allegato 1, pagina 4 Nella fase di programmazione il quadro logico aiuta inoltre il controllore a comprendere l’organismo controllato e ad identificare i risultati decisivi del programma, nonché i sistemi e le operazioni del programma che producono tali risultati. 2.2 Statistiche descrittive per la comprensione della distribuzione dei dati La distribuzione dei dati è espressa generalmente da un grafico (diagramma a colonne o curva) che indica tutti i valori di una variabile. Le statistiche che descrivono la distribuzione dei dati possono essere strumenti efficaci per l’analisi dei dati e la stesura della relazione. Vi sono tre dimensioni fondamentali di una distribuzione dei dati che possono essere rilevanti per le osservazioni relative al controllo: - il livello dei dati (livello modale, mediano, medio, quartile ecc.); la dispersione dei dati (valori minimi e massimi, grado di dispersione, code ecc.); la forma della distribuzione dei dati (distribuzione normale, uniforme, bimodale ecc.). La distribuzione dei dati può essere utilizzata: 2.3 per identificare il livello, la dispersione o la forma dei dati quando questi elementi sono più importanti di un numero che rappresenta la 'media'; per decidere se una variabile di rendimento risponde ad un criterio del controllo; per interpretare la distribuzione della probabilità al fine di valutare il rischio; per determinare se il campione di dati è rappresentativo della popolazione. Analisi regressiva L’analisi regressiva è una tecnica atta a valutare il grado di associazione (correlazione) delle variabili. L’analisi regressiva può essere utilizzata: - 2.4 per verificare un rapporto che si suppone vero; per identificare i rapporti tra variabili che hanno un nesso causale, suscettibili di spiegare i risultati; per identificare casi inusuali che si riscontrano tra i valori attesi; per operare previsioni sui valori nel futuro. Analisi costi-benefici (ACB) Le analisi costi-benefici studiano il rapporto tra i costi del progetto e i benefici/svantaggi espressi in termini monetari. Un’analisi costi-benefici può essere utilizzata, ad esempio, nel controllo di gestione di un progetto di costruzione di un’infrastruttura stradale. Il fine dell’analisi costi-benefici consiste nel determinare se i benefici di un organismo, programma o progetto sono superiori ai relativi costi. L’analisi costi-benefici può essere utilizzata: - 126 - Allegato 1, pagina 5 - per assicurarsi che un’analisi svolta dall’organismo di controllo rispetti le norme professionali; per comparare costi e benefici quando questi elementi sono noti o possono essere ragionevolmente stimati; per raffrontare i costi delle opzioni alternative quando i benefici possono essere ritenuti costanti. Se effettuata correttamente, l’analisi costi-benefici deve di norma considerare non soltanto i costi e i benefici tangibili (quantificabili con relativa facilità), ma anche i costi e benefici non tangibili (difficili da valutare) quali i costi sociali e ambientali. 2.5 Analisi dell’efficacia dei costi (AEC) L’analisi dell’efficacia dei costi studia il rapporto tra costi e risultati dei progetti, espresso in costi per unità di risultato conseguito. Mentre un’analisi costi-benefici consente ai valutatori di comparare l’efficienza economica delle opzioni alternative del programma, l’analisi dell’efficacia dei costi è volta alla ricerca dei mezzi meno onerosi per conseguire un determinato obiettivo oppure del valore massimo che si può trarre da una data spesa. Contrariamente alla versione economica dell’analisi costi-benefici, nell’analisi dell’efficacia dei costi i benefici possono essere espressi in unità fisiche anziché monetarie: l’efficacia di un programma nel raggiungimento di determinati obiettivi fondamentali è connessa al valore monetario delle risorse destinate al programma o attività. Ad esempio: - - 2.6 si è rilevato che il 20% dei disoccupati trova un impiego permanente in seguito a programmi di formazione per un costo medio di 1000 ECU a persona e che il 50% trova un impiego permanente in seguito a programmi che hanno un costo medio di 2000 ECU a persona; si è rilevato che nello Stato membro X i programmi di formazione che hanno consentito al 30% dei partecipanti di trovare un impiego permanente hanno un costo medio di 1400 ECU a persona, mentre nello Stato membro Y sono stati raggiunti risultati analoghi soltanto con una spesa media di 1730 ECU a persona. Metavalutazione Le finalità della metavaluatazione consistono nel determinare la qualità della valutazione (ricerca), migliorare la qualità delle valutazioni e promuovere l’utilizzo reale della ricerca ai fini della valutazione nel processo di gestione. Il ruolo dell’ISC sarà dunque quello di esaminare la qualità reale delle valutazioni effettuate e dell’adeguatezza delle condizioni organizzative e procedurali ai fini della valutazione. I criteri della metavalutazione si fondano sulla qualità della ricerca svolta per la valutazione - 127 - Allegato 1, pagina 6 e sul modo in cui la funzione della valutazione è stata integrata nel processo di gestione: a. La qualità del controllo/della valutazione di gestione: Vi sono in generale due criteri: - la qualità scientifica/epistemologica della ricerca: criteri teorici, metodologici e tecnici che riflettono lo stato delle conoscenze. Tra i requisiti teorici figurano, tra l’altro, la formulazione del problema, la definizione dei concetti, le ipotesi e la coerenza d’insieme della teoria. I requisiti metodologici della ricerca implicano inoltre la validità e l’attendibilità dei risultati della ricerca. I requisiti tecnici riguardano inoltre l’applicabilità dei criteri di valutazione e consentono di determinare se la situazione nel settore del programma pubblico rispetti le norme di valutazione. - i criteri di utilità della ricerca per l’esecuzione del programma/della politica: ciò significa che una relazione di valutazione deve fornire le informazioni che sono utili per un approccio efficace, efficiente e legittimo ad un determinato problema del programma. Ad esempio, la relazione deve contenere riferimenti espliciti e chiari alla necessità di ottenere informazioni tramite la ricerca, ai problemi di esecuzione del programma pubblico, agli obiettivi della ricerca connessi a quest’ultimo ecc.. La relazione deve essere redatta con chiarezza (comprensibile) e rivolta anche ai non specialisti; deve essere completa, accurata e articolata in modo equilibrato ecc. (1). b. Il controllo/la valutazione della gestione in quanto funzione di gestione: I criteri derivanti dai regolamenti per quanto concerne l’integrazione della funzione della valutazione nell’organizzazione, vale a dire la programmazione delle valutazioni, l’integrazione della funzione di valutazione del programma nel processo centrale di bilancio, i risultati delle valutazioni ex ante ed ex post che accompagnano le proposte di nuovi programmi pubblici o di leggi che consentano l’uso effettivo relativamente a tali nuovi programmi, la creazione di unità di valutazione, la formazione del personale ecc.. ------Fonti: B.W. Hogwood and L.A. Gunn, Policy Analysis for the Real World, Oxford University Press 1984 (1) Fonte: (alcuni capitoli di) J. Mayne, M.L. Bemelmans-Videc et al., Advancing Public Policy Evaluation; Learning from International Experiences, Elsever/North Holland, 1992 - 128 - Allegato 1, pagina 7 P.H. Rossi and H.E. Freeman, Evaluation; A Systematic Approach, Newbury Park etc. 1993 Office of the Auditor General of Canada; Choosing and Applying the Right Evidence Gathering Techniques in Value-for-Money Audits, Audit Guide 24 (Field Testing Draft), June 1994 Sage Evaluation Kit - 129 - GRUPPO 5 QUESTIONI VARIE CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL'INTOSAI N. 51 GARANZIA DELLA QUALITÀ INDICE Paragrafi Norme di controllo dell'INTOSAI Controlli a garanzia della qualità 1 2 Elementi caratteristici della funzione di controllo a gdq Allegato 1 -------------------- 1. Riferimento alle norme di controllo dell'INTOSAI 1.1. Garantire la qualità dei controlli svolti dalle Istituzioni superiori di controllo (ISC) e dunque accertarsi della conformità di essi con le norme di controllo dell'INTOSAI può essere considerato un processo in due fasi. In primo luogo è necessario che le ISC adottino orientamenti e procedure atti a garantire che i compiti di controllo siano svolti ad un livello di qualità accettabile. In secondo luogo, si raccomanda che le ISC sottopongano i propri compiti di controllo ad esami di garanzia della qualità (gdq), di livello superiore, onde accertare che detti orientamenti e procedure vengano rispettati in seno all'ISC e che producano l'effetto auspicato di garantire un livello accettabile di qualità del lavoro svolto. 1.2. L'ISC deve in primo luogo definire e stabilire, a titolo orientativo, le norme ed il livello di qualità appropriati ai risultati che intende conseguire e quindi stabilire procedure complete, intese a garantire che tale livello di qualità sia conseguito. Questi orientamenti e procedure dovrebbero essere stabiliti facendo riferimento agli obiettivi globali dell'ISC, che di norma rispecchieranno gli obblighi derivanti dalla legge e le aspettative sociopolitiche a cui l'ISC - 130 - deve far fronte. 1.3. Affinché detti orientamenti e procedure possano essere seguiti dal personale dell'ISC, è importante che vengano pubblicati (ad esempio mediante un manuale del controllo) e che al personale sia impartita una formazione adeguata. 2. Controlli a garanzia della qualità 2.1. Sebbene i sopracitati orientamenti e procedure forniscano la base per conseguire il livello di qualità auspicato, e dunque l'osservanza delle norme di controllo dell'INTOSAI, in genere non è sufficiente limitarsi alla loro applicazione. Di norma è necessario assicurarsi anche che essi vengano osservati e che raggiungano gli obiettivi prefissati. Il paragrafo 118 delle norme di controllo dell'INTOSAI stabilisce quanto segue: "L'ISC deve adottare orientamenti e procedure per esaminare l'efficienza e l'efficacia delle proprie norme e procedure interne". 2.2. Questa norma viene ulteriormente specificata (paragrafo 121) come segue: "... è auspicabile che le ISC adottino proprie disposizioni in materia di garanzia della qualità. Ciò significa che la programmazione, lo svolgimento e le conclusioni relativi ad una serie di controlli effettuati possono essere esaminati in modo approfondito da personale dell'ISC adeguatamente qualificato, non coinvolto nei controlli in causa, in consultazione con i responsabili di tale controllo, per esaminare i risultati delle disposizioni interne in materia di garanzia della qualità ed informarne periodicamente gli organi direttivi dell'ISC". 2.3. L'obiettivo dei controlli indipendenti a garanzia della qualità è quello di accertare la qualità globale del lavoro svolto all'interno dell'ISC. Gli orientamenti e le procedure di cui al paragrafo 1, invece, interessano il controllo della qualità dei singoli controlli. 2.4. In alcune ISC della Comunità europea la collegialità del processo decisionale funge da meccanismo di garanzia della qualità per quanto riguarda i risultati dell'attività dell'ISC. 2.5. Spesso le ISC istituiscono una funzione distinta di controllo a garanzia della qualità, per assistere il proprio collegio o controllore generale in questo settore. Nell'ALLEGATO 1 vengono descritti alcuni elementi caratteristici di questa funzione. - 131 - Allegato 1, pagina 1 ALLEGATO 1 : ELEMENTI CARATTERISTICI DELLA FUNZIONE DI CONTROLLO A GDQ I seguenti elementi sono caratteristici della funzione di controllo a garanzia della qualità interna: * * * * * * * * * * il personale che svolge controlli a gdq possiede una qualifica ed un'esperienza adeguate (esso può essere impiegato a tempo pieno nel settore della garanzia della qualità oppure esservi assegnato per brevi periodi e provenire da altri settori dell'ISC); il personale che svolge controlli a gdq è indipendente rispetto ai controlli sottoposti ad esame; il personale che svolge controlli a gdq ha il potere di selezionare i compiti di controllo da sottoporre ad esame; sono istituite procedure per la selezione dei controlli da sottoporre ad esame, il che assicurerà una copertura adeguata di tutte le attività dell'ISC nell'arco di un dato periodo di tempo; tutti i compiti dell'ISC devono potenzialmente essere sottoposti ad esame (pertanto l'esaminatore deve avere una buona conoscenza di tutte le attività svolte dall'ISC); sono stabilite procedure per determinare la natura, l'ambito, la frequenza ed i tempi dei controlli a gdq; sono istituite procedure per comporre eventuali disaccordi tra il personale addetto ai controlli a gdq ed il personale di controllo; il personale che svolge i controlli a gdq ha diritto di accedere a tutti i documenti interni pertinenti e di rivolgersi al personale che li ha predisposti o che ha effettuato il controllo; il personale che svolge i controlli a gdq è tenuto di norma a presentare tempestivamente un rapporto e a formulare delle raccomandazioni agli organi direttivi dell'ISC, e questi di norma sono tenuti a fornire una risposta; il personale di controllo può chiedere che venga svolto un controllo a gdq in qualsiasi fase dello svolgimento di un controllo; pubblicazione di una relazione annuale (di norma messa a disposizione di tutto il personale di controllo). In alcuni casi, e specie quando l'ISC ricorre ad assegnazioni temporanee per lo svolgimento di controlli interni a garanzia della qualità, l'ISC può decidere di elaborare ed utilizzare questionari di controllo standardizzati, contenenti gli obiettivi che il controllore deve conseguire per accertare la coerenza e la completezza degli esami svolti. - 132 - CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL'INTOSAI N. 52 LE IRREGOLARITÀ INDICE Paragrafi Introduzione La programmazione di un controllo Le procedure di controllo quando si sospettano frodi od altre irregolarità Le procedure di controllo quando si individuano irregolarità diverse dalla frode Le competenze nella notifica di frodi o irregolarità La tutela degli interessi finanziari delle Comunità europee contro le frodi ed altre irregolarità: il quadro legislativo Definizione di irregolarità 1-5 6-8 9-11 12-13 14-18 Allegato 1 Allegato 2 -------------------- Introduzione 1. Sfera di applicazione ------------------------ 1.1 Il presente criterio-guida si prefigge di consigliare il controllore esterno (“auditor”) delle attività delle Comunità europee in merito al controllo di irregolarità, ivi comprese le irregolarità originate da frodi. 1.2 Poiché i mandati conferiti dalle rispettive costituzioni alle Istituzioni nazionali di controllo ed alla Corte dei conti europea possono imporre obblighi diversi per il controllo delle irregolarità, occorre che i consigli esposti in questa sede siano applicati nei modi opportuni in funzione delle particolari circostanze in causa. Data la grande importanza che i parlamenti e i contribuenti europei annettono alla correttezza nella gestione delle attività governative, le ISC potrebbero voler includere esami di regolarità nell'ambito di tutti i controlli effettuati, ivi compresi i controlli sulla gestione. - 133 - 2. Il quadro legislativo che disciplina il controllo delle irregolarità ------------------------------------------------------------------------- 2.1 L’ALLEGATO 1 di questo criterio-guida di applicazione contiene una sintesi della legislazione europea sulla tutela degli interessi finanziari delle Comunità contro le frodi e le irregolarità. I termini “irregolarità” e “frode” nel senso in cui sono applicati nelle Comunità europee e nel presente criterio-guida, sono definiti dal regolamento (CE Euratom) n. 2988/95 del Consiglio del 18 dicembre 1995, di cui un estratto è riprodotto all’ALLEGATO 2. 2.2 Per i fini di questo criterio-guida di applicazione, il termine “frode” si riferisce sia alla “frode sospettata”, sia alla “frode provata”. È necessario che il controllore conosca la differenza fra i due concetti. Di solito il controllore usa il termine “frode sospettata” per riferirsi ad una particolare serie di circostanze che fanno supporre un’attività fraudolenta e che attirano la sua attenzione durante un controllo. Questo approccio convalida il principio che solo un tribunale od una giurisdizione equivalente può stabilire se una data operazione è fraudolenta oppure è una “frode provata”. 3. Riferimenti alle norme di controllo INTOSAI ----------------------------------------------------- 3.1 Il paragrafo 145 delle norme di controllo dell’INTOSAI dispone: “Nell’espletare i controlli (finanziari) di regolarità, occorre verificare la conformità alle leggi ed ai regolamenti in vigore. Il controllore deve elaborare fasi e procedure di controllo che garantiscano con certezza ragionevole di scoprire errori, irregolarità ed illeciti che potrebbero avere un effetto diretto e rilevante sugli importi dei consuntivi finanziari o sui risultati dei controlli di regolarità. Inoltre, il controllore deve tenere presente la possibilità di illeciti che potrebbero avere un effetto indiretto e rilevante sui consuntivi finanziari o sui risultati dei controlli di regolarità”. 4. Le responsabilità rispettive della direzione e dei controllori -------------------------------------------------------------------- 4.1 Nella spiegazione delle norme di controllo dell’INTOSAI (paragrafo 150) si legge quanto segue: “In generale la direzione è responsabile dell’instaurazione di un sistema efficace di controlli interni che assicurino conformità alle leggi ed ai regolamenti. Nell’elaborare le misure e le procedure di verifica o di valutazione della conformità i controllori valutano i controlli interni dell’organismo ed il rischio che la struttura di controllo non sia in grado di prevenire o di scoprire l’assenza di conformità”. Pertanto, il controllore non è e non può essere considerato responsabile della prevenzione delle frodi e delle irregolarità. Di essa è responsabile la direzione, tramite l’attuazione ed il funzionamento continuo di sistemi di controllo interno e contabili appropriati. Questi sistemi diminuiscono la possibilità di frodi od irregolarità, ma non l’eliminano. 4.2 Nel contesto delle attività finanziate dalle Comunità europee, il termine “direzione” come - 134 - usato nel paragrafo 4.1 di cui sopra significa: – – – la Commissione europea: essa è responsabile della gestione degli interessi finanziari delle Comunità europee, compresi i fondi erogati ad autorità pubbliche a livello nazionale, regionale o locale, e ad imprese del settore privato nell’ambito delle differenti attività delle Comunità; le autorità nazionali, regionali e/o locali: esse sono responsabili, come agenti della Commissione, della gestione corretta ed efficace dei fondi comunitari; le imprese o gli organismi beneficiari: la direzione delle imprese che ricevono fondi comunitari è a sua volta responsabile dell’uso corretto ed efficace di tali fondi nei confronti della Commissione. 4.3 In generale, non fa parte delle responsabilità del controllore lo svolgimento di indagini specifiche sulle frodi od irregolarità, a meno che ciò non sia prescritto dalla legislazione o dalle clausole specifiche del mandato di controllo. Tuttavia, nel caso di un controllo sulle informazioni finanziarie, in cui il controllore esprime un parere sulla presentazione corretta, sulla legittimità e sulla regolarità di tali informazioni, il controllore programma e svolge il controllo conformemente alle norme di controllo, allo scopo di reperire elementi probatori adeguati, ragionevoli e pertinenti sulla misura in cui le informazioni finanziarie in causa contengono errori rilevanti, compresi gli errori originati da irregolarità. 4.4 Un controllo programmato ed espletato in conformità delle norme di controllo non può dare la certezza assoluta che le informazioni finanziarie siano esenti da errori rilevanti. La ragione è che gli errori intenzionali, che conseguono da una frode o da un’irregolarità, spesso comportano un tentativo di occultamento, che il controllore non è necessariamente in grado di scoprire, anche se il suo controllo è stato programmato e svolto secondo le norme di controllo. Si sottolinea pertanto che è inusitato che un controllo espletato da un ISC abbia l'individuazione delle frodi quale obiettivo specifico, tranne nei casi in cui uno statuto preveda un obbligo esplicito in questo senso da parte del controllore. 5. I limiti intrinseci di un controllo ------------------------------------- 5.1 Il carattere di verifica di un controllo sulle informazioni finanziarie comporta un giudizio sui settori da verificare e sul numero delle operazioni da esaminare. Inoltre, molti elementi probatori in materia di controllo di solito sono convincenti piuttosto che conclusivi. Di conseguenza, nell’esame del controllore è insito il rischio che, qualora esista, una dichiarazione erronea significativa nelle informazioni finanziarie, derivante da frode od irregolarità, non sia scoperta. La programmazione di un controllo 6. Considerazioni generali --------------------------- 6.1 Nel programmare il controllo il controllore acquisisce una conoscenza generale del quadro normativo applicabile alla particolare attività assoggettata a controllo della Comunità europea e stabilisce in che modo la direzione opera in conformità di tale quadro. Fra le fonti d’informazione cui il controllore può riferirsi a tal scopo si possono citare: - 135 - – – – – i trattati che istituiscono le Comunità europee, come emendati dal trattato sull’Unione europea; i regolamenti, le direttive e le decisioni comunitarie attinenti ai regimi da controllare; qualsiasi legislazione delegata pertinente, emanata dallo Stato(i) membro(i) o dalla Commissione; e le disposizioni in materia di bilancio e le decisioni riguardanti l’esecuzione del bilancio a livello della Commissione o negli Stati membri. 7. La rilevanza -------------- 7.1 Nel programmare un controllo sulle informazioni finanziarie il controllore valuta in quale misura l’incidenza di una frode o di un’altra irregolarità sia verosimilmente rilevante, per natura o per valore. 7.2 Il criterio-guida di applicazione n. 12 "Rilevanza e rischi di controllo" espone alcuni consigli più dettagliati, che possono essere di aiuto al controllore nella formulazione di questi giudizi. 8. La valutazione del rischio -----------------------------Considerazioni generali 8.1 Nel programmare il controllo, il controllore deve tenere presente che il rischio di non individuare una dichiarazione erronea rilevante originata da frode, è più elevato del rischio di non individuare una dichiarazione erronea rilevante originata da un’irregolarità derivante da errori involontari, sviste o ignoranza della legge. Ciò è dovuto al fatto che la frode comporta di solito atti intesi ad occultarla, quali collusione, falso, mancata registrazione intenzionale delle operazioni, oppure informazioni deliberatamente false. Il rischio intrinseco 8.2 Come parte della fase di programmazione, il controllore stabilisce in quale misura il settore di controllo che intende esaminare è vulnerabile sia alle irregolarità originate da frodi, sia alle irregolarità causate da errori. La valutazione del rischio intrinseco comprende, fra l’altro, la disamina di informazioni pertinenti che si possono reperire nelle fonti seguenti: – – – – – – – relazioni della Corte dei conti europea; relazioni di organi di controllo nazionali e/o regionali; relazioni redatte dagli Stati membri, in particolare a norma dei regolamenti di notifica citati all’allegato A del presente criterio-guida; relazioni di organi parlamentari e/o regionali (cioè il Parlamento europeo, i Parlamenti nazionali e quelli regionali); relazioni redatte dal comitato consultivo per il coordinamento della lotta contro le frodi; relazioni dell’Unità della Commissione per il coordinamento della lotta antifrode (UCLAF); relazioni di controllori interni/unità di controllo nella DG XX della Commissione e - 136 - – – 8.3 nelle DG operative; relazioni di amministrazioni nazionali/locali che partecipano ai programmi di entrata e spesa dell’Unione europea, ivi comprese relazioni pertinenti di controllori interni; e altri documenti pertinenti elaborati dalla Commissione (ad esempio le norme per il funzionamento di regimi particolari). Dopo aver esaminato questi documenti, il controllore prende in considerazione un’analisi del rischio più approfondita nel particolare settore di controllo che intende esaminare. Fra i fattori particolari di cui potrebbe tener conto, vi sono, fra l’altro, i seguenti: – – – la complessità dei regimi e delle attività comunitarie da esaminare, che si riflette nelle norme operative; le competenze e l’integrità presunta dei responsabili della gestione dei fondi comunitari, a livello europeo, nazionale, regionale o locale; la probabile attendibilità e/o sufficienza degli elementi probatori di controllo disponibili. Il rischio di controllo 8.4 Nel valutare il rischio di controllo, il controllore presuppone che, pur ammettendo che un sistema efficace di controllo interno riduce le probabilità di dichiarazioni erronee, derivanti da frodi ed irregolarità, nelle informazioni finanziarie, sussiste sempre il rischio che i controlli interni non funzionino debitamente. Qualsiasi sistema di controllo interno può risultare inefficace contro le frodi che comportano collusione fra i dipendenti o da parte della direzione. La ragione risiede nel fatto che i dirigenti che operano a taluni livelli occupano una posizione tale da poter neutralizzare i controlli che impedirebbero frodi analoghe da parte di altri dipendenti, ad esempio ordinando ai subalterni di registrare erroneamente le operazioni o di occultarle. 8.5 Nell’esame del rischio di controllo il controllore può ritenere opportuno considerare se i controlli della direzione per la prevenzione e l’individuazione delle frodi siano sufficienti. Ad esempio, il controllore può decidere di valutare la strategia della direzione riguardo ai rischi di frode, compresi i provvedimenti che la direzione prende per: – – – – individuare i settori, le attività e le funzioni dell’organismo controllato che presentano una particolare vulnerabilità al rischio di frodi; porre in essere meccanismi di difesa appropriati nei settori che secondo l’analisi della direzione sono fortemente vulnerabili al rischio di frodi, meccanismi che sono: – la separazione delle funzioni; – la rotazione sistematica del personale: e – supervisione interna ed ispezioni; attuare politiche efficaci in materia di risorse umane, sorvegliare l’inserimento di personale nuovo nel servizio pubblico ed assicurarsi che sia ben consapevole dei requisiti di onestà e di integrità; stabilire un codice di condotta atto ad incoraggiare un comportamento ispirato a principi etici da parte del personale e che sia di guida in settori quali: – i rapporti con terzi; – l’accettazione di attività/incarichi al di fuori del servizio pubblico; e – la dichiarazione di conflitti di interessi ( ad esempio quando un dipendente ha - 137 - – – interessi al di fuori del servizio pubblico che possono essere in conflitto con i doveri del suo ufficio); sorvegliare l’attuazione delle politiche attinenti alle risorse umane, ivi compreso un riesame periodico del codice di condotta; e instaurare procedure appropriate per la notifica, le indagini e le azioni da intraprendere nel caso di eventuali irregolarità e/o frodi sospettate, incluse, laddove necessario, le misure disciplinari opportune. 8.6 Nel contesto della Comunità europea, le strutture direttive sono complesse, per cui l’efficacia dei controlli interni assume maggiore importanza. All’interno della Comunità vi sono almeno tre ordini di organi direttivi: la Commissione; le autorità nazionali, regionali e/o locali; e le imprese od organismi beneficiari (come definiti al paragrafo 4.2). 8.7 Quando il controllore ha esaminato i controlli interni, secondo la prassi usuale egli è tenuto a segnalare alla direzione eventuali carenze significative nei controlli scoperte durante il controllo, comprese - nel presente caso - eventuali carenze che potrebbero aumentare il rischio di frodi o di irregolarità (cfr. il Criterio-guida di applicazione n. 21 "Valutazione del controllo interno e test sul controllo"). Le procedure di controllo quando si sospettano frodi od altre irregolarità 9. 9.1 Considerazioni generali --------------------------Le indicazioni che seguono consigliano sul modo in cui un controllore può applicare ulteriori procedure di controllo nei casi in cui si sospetta una frode od un’altra irregolarità. Tuttavia, tali indicazioni non intendono essere esaustive, né riguardano le varie responsabilità stabilite per legge, che le Istituzioni nazionali di controllo e la Corte dei conti europea hanno in merito al controllo e alle indagini su frodi e irregolarità. Quindi, i consigli in questione sono da applicarsi nei modi opportuni alle particolari circostanze in causa. 9.2 Se, nel valutare il rischio , o in esito a test sul controllo o verifiche di convalida, è giunto alla conclusione che, date le circostanze, è possibile che sussista una frode, il controllore considera l’impatto potenziale di questa situazione sulle informazioni finanziarie. Se ritiene che la frode sospettata potrebbe avere un effetto rilevante sulle informazioni finanziarie (ad esempio perché ha stabilito in precedenza che qualsiasi frode è rilevante per natura), il controllore applica le procedure supplementari o modificate che ritiene opportune. 9.3 L’entità delle modifiche apportate dal controllore al piano di controllo o alle procedure supplementari di controllo, dipende dal giudizio che ha formulato: – – – sulla natura della frode sospettata che avrebbe potuto verificarsi; sul rischio, presunto, che la frode sospettata sia stata effettivamente perpetrata, in base alla valutazione del rischio od ai risultati delle verifiche; e sulla probabilità che un particolare tipo di frode sospettata abbia un effetto rilevante sulle informazioni finanziarie. - 138 - 10. L’applicazione di procedure di controllo supplementari ---------------------------------------------------------------- 10.1 Il controllore stabilisce, in base al proprio giudizio, le procedure di controllo più idonee a confermare l’esistenza di una frode sospettata. Fra l’altro, esse possono comprendere: – – – – – test sul controllo: servono a fornire elementi probatori sull’efficacia o altro dei controlli atti a prevenire o ad individuare frodi e irregolarità; verifiche di convalida: servono a comprovare la portata e/o il valore della frode sospettata; procedure analitiche: servono ad avvalorare la possibilità di una frode o di un’irregolarità tramite confronto, analisi delle tendenze o verifiche di previsione; tecniche d’intervista ( usate principalmente nelle indagini sulle frodi): servono a fornire elementi probatori della frode perpetrata, di solito predisponendo colloqui con le persone vicine a quella o quelle sospettate di aver commesso la frode; tecniche di osservazione: servono ad avvalorare il sospetto di frode, osservando cambiamenti nei modelli di comportamento delle persone sospettate di frode. 10.2 Quando ricorre a colloqui allo scopo di raccogliere elementi probatori che convalidino la frode, il controllore è tenuto a rispettare le norme in materia di elementi probatori previste dall’ordinamento giuridico nel cui ambito egli opera. Lo scopo è di assicurare che gli elementi probatori raccolti grazie al lavoro in causa possano essere utilizzati in qualsiasi procedimento giudiziario deciso dalle autorità competenti. 10.3 Prima di passare all’applicazione di procedure di controllo supplementari, il controllore considera l’opportunità di chiedere i consigli o l’assistenza di esperti nelle indagini sulle frodi, come la polizia tributaria che opera in alcune amministrazioni nazionali. 11. Disamina dei risultati delle procedure supplementari ------------------------------------------------------------- 11.1 L'applicazione di procedure modificate o supplementari può consentire al controllore di confermare o di escludere il sospetto di frode. In caso di conferma, deve assicurarsi che l’effetto della frode si rifletta correttamente nelle informazioni finanziarie. Ciò è necessario per far sì che la Commissione e le autorità nazionali competenti ricevano in seguito una notifica corretta della natura e dalla portata dell’irregolarità. 11.2 In alcuni casi può darsi che il controllore non sia in grado di ottenere elementi probatori sufficienti a confermare od escludere un sospetto di frode. In una situazione di questo tipo il controllore considera l’eventuale impatto di tale incertezza sia sulle informazioni finanziarie, sia sulla dichiarazione di affidabilità. Occorre inoltre che il controllore esamini le leggi ed i regolamenti previsti dalla giurisdizione nel cui ambito è stata perpetrata la frode sospettata. È possibile che, laddove opportuno, desideri una consulenza giuridica prima di riferire, a seconda dei casi, alle autorità nazionali e/o alla Commissione in merito - 139 - alle informazioni finanziarie (1). 11.3 A meno che le circostanze non diano indicazioni chiare in senso contrario, il controllore suppone che un caso di frode non sia isolato. Qualora il sistema di controllo interno avesse dovuto prevenire o riscontrare la frode, il controllore riesamina la valutazione che ha dato in precedenza di tale sistema e, se necessario, adatta la natura, i tempi e la portata delle procedure di convalida. 11.4 Quando nella frode è implicato un dirigente, occorre che il controllore riesamini l’affidabilità di ogni obiezione sollevata dallo stesso. Le procedure di controllo quando si individuano irregolarità diverse dalla frode 12. Considerazioni generali --------------------------12.1 Quando il controllore viene a conoscenza di informazioni sulla possibile esistenza di irregolarità diverse dalla frode, ad esempio irregolarità derivanti da errori involontari, sviste o ignoranza della legge, egli cerca di conoscere la natura delle irregolarità e le circostanze in cui si sono verificate, e reperisce altre informazioni sufficienti per valutarne gli effetti sulle informazioni finanziarie. Ad esempio, il controllore considera: – – – le conseguenze finanziarie potenziali; se e secondo quali modalità le conseguenze finanziarie dell’irregolarità debbano essere esposte nelle informazioni finanziarie; e se le conseguenze finanziarie potenziali siano così gravi da avere un impatto sul parere in materia di controllo o sulla dichiarazione di affidabilità riguardante la legittimità e la regolarità delle operazioni in causa. 12.2 Nel primo caso, quando scopre quella che ritiene possa essere un’irregolarità, il controllore documenta i risultati e li discute con la direzione. Se quest’ultima non dà informazioni soddisfacenti sull’effettiva regolarità delle operazioni in causa, il controllore può consultare il consulente legale della direzione in merito all’applicazione delle leggi e dei regolamenti pertinenti alle circostanze in questione e in merito ai possibili effetti sulle informazioni finanziarie. 12.3 Se crede che l’irregolarità possa avere un effetto rilevante sulle informazioni finanziarie, il controllore esamina l’effetto dell’irregolarità sul parere e, laddove opportuno, applica le ulteriori procedure di controllo che ritiene necessarie. (1) Per esempio, il controllore può avere bisogno di un'assistenza giuridica concernente: -le facoltà e/o gli obblighi delle ISC di trasmettere documenti alle autorità giudiziarie; -gli obblighi delle ISC di informare le autorità giudiziarie in merito ad eventuali sospetti; -le facoltà e/o gli obblighi delle INC di cooperare con le autorità giudiziarie in qualsiasi indagine successiva; -l'impatto di tali elementi sull'indipendenza dell'ISC. - 140 - 13. Altre implicazioni delle irregolarità ----------------------------------------- 13.1 Quando il controllore riscontra che all’interno dell’organismo controllato esiste un’incidenza elevata di irregolarità, l’impatto di queste carenze potrebbe avere altri effetti: – – può far sorgere dubbi su altri elementi probatori del controllo forniti dall’organismo controllato, comprese le relazioni sulle verifiche di conformità e le obiezioni della direzione; quando i controlli interni non hanno consentito di scoprire le irregolarità, ciò può indicare carenze significative del controllo ed in tal caso il controllore può riesaminare la valutazione del rischio di controllo. Le competenze nella notifica di frodi o irregolarità 14. Considerazioni generali ---------------------------- 14.1 Come principio generale il controllore deve conoscere le procedure di notifica interna ed esterna che la sua istituzione di controllo (europea o nazionale) applica di norma quando si scopre una frode, una frode sospettata od un’irregolarità. La conoscenza di queste procedure e la consultazione tempestiva delle autorità competenti (interne ed esterne) sono importanti affinché l’indagine sulla frode sospettata sia svolta correttamente, senza correre il rischio di compromettere i procedimenti giudiziari o amministrativi che possono conseguirne. 15. La comunicazione interna ------------------------------ 15.1 Di norma il controllore si attiene alle procedure di comunicazione interna prescritte dalla sua istituzione di controllo per la notifica di frodi, di frodi sospettate o di irregolarità. Per decidere l’azione più idonea da intraprendere, il controllore riferisce ai superiori gerarchici: – – – 16. se i risultati della valutazione iniziale del rischio, dei testi sul controllo o delle verifiche di convalida indicano la possibilità di una frode (paragrafo 8.1); se i risultati delle procedure di controllo supplementari portano a sospettare una frode (paragrafo 10.1); e se la direzione dell’organismo controllato non provvede ad adottare gli opportuni provvedimenti per indagare sulla frode sospettata o notificarla (paragrafo 16.4). La comunicazione alla direzione -------------------------------------- 16.1 Dopo aver applicato le procedure supplementari di controllo aventi lo scopo di confermare o meno l’esistenza di una frode sospettata o di un’altra irregolarità, il controllore ne comunica i risultati alla direzione dell’organismo controllato al più presto possibile. 16.2 Le istruzioni date ai controllori della Corte dei conti europea indicano che devono notificare casi di frode sospettata direttamente ai loro superiori gerarchici anziché alla - 141 - direzione del’organismo controllato in causa. Queste informazioni sono quindi trasmesse di solito all’unità di coordinamento antifrode della Commissione (UCLAF) ed all’istituzione nazionale di controllo. 16.3 Nelle istituzioni nazionali di controllo occorre che il controllore consideri tutti gli aspetti della frode sospettata per stabilire a chi riferire nella direzione dell’organismo controllato. In particolare, il controllore valuta la probabilità che dirigenti di grado elevato siano implicati nella frode. Nella maggior parte dei casi è opportuno che il controllore comunichi le risultanze ad un livello gerarchico superiore a quello responsabile delle persone che ritiene implicate nella frode. Tuttavia, laddove nutra dubbi sull’integrità delle persone in ultima analisi responsabili della direzione globale dell’organismo controllato, il controllore di norma consulta persone che possono aiutarlo a stabilire a chi riferire sulla frode sospettata. Le fonti consultate possono essere sia interne, sia esterne. 16.4 Nel caso sia di una frode sospettata, sia di un’altra irregolarità, l’interesse del controllore non si esaurisce con la notifica alla direzione. Il controllore sorveglia le reazioni della direzione alla notifica della frode sospettata o dell’irregolarità ed in particolare conferma che: – – – 17. la direzione dell’organismo ha intrapreso l’azione necessaria per indagare sulla frode sospettata o sull’irregolarità (ad esempio chiedendo al controllo interno di operare in tal senso nei modi opportuni); la direzione ha notificato la frode alle autorità nazionali e comunitarie competenti e le ha consultate in merito ( ad esempio la polizia tributaria); la direzione ha notificato la frode provata, la frode sospettata od altra irregolarità in conformità della normativa esposta nell’ALLEGATO 1 di questo criterio-guida di applicazione. La comunicazione esterna ------------------------------ 17.1 Il controllore di un’istituzione nazionale di controllo osserva, in primo luogo, le norme di notifica esterna stabilite dalle autorità nazionali, previste nelle procedure prescritte dall’istituzione per la notifica esterna di una frode sospettata, di una frode provata o di altra irregolarità. I controllori della Corte dei conti europea si attengono alle regole in materia di notifica previste nelle istruzioni di notifica della Corte stessa. 17.2 Della notifica alla Commissione europea, in conformità della legislazione riprodotta all’ALLEGATO 1 del presente criterio-guida, di una frode sospettata, di una frode provata o di altra irregolarità, sono responsabili le autorità nazionali, regionali o locali competenti, cui è demandata la gestione di particolari attività comunitarie. Come parte delle procedure di sorveglianza, il controllore di norma si assicura che questo obbligo di notifica sia stato adempiuto correttamente. 18. Il parere sulle informazioni finanziarie -------------------------------------------- 18.1 Quando il controllore deve esprimere un parere di controllo sia sulla presentazione corretta, sia sulla legittimità e regolarità delle informazioni finanziarie, è necessario che - 142 - consideri le implicazioni dell’incidenza delle frodi e delle irregolarità su tale parere. 18.2 Per definizione le operazioni fraudolente non possono essere legittime, né regolari poiché mancano della debita autorizzazione. Quando un controllore deve formulare un parere distinto sulla legittimità e regolarità delle informazioni finanziarie, una frode provata rilevante darà luogo ad un parere con riserva, a prescindere dalla misura in cui la direzione ha reso nota la frode sospettata o provata nelle informazioni finanziarie. 18.3 Solo un tribunale può stabilire se una data operazione sia fraudolenta. Tuttavia, il controllore può trovarsi in situazioni in cui esiste un sospetto di frode, individuata dalla direzione, dai controllori interni, da terzi o dal controllore stesso. Pur non avendo di norma il potere di stabilire se una frode è stata effettivamente perpetrata, il controllore ha la responsabilità di stabilire se a suo avviso le operazioni in causa siano legittime e regolari. Nella maggior parte dei casi di frode sospettata che vengono scoperti, il controllore può stabilire di concerto con la direzione se le operazioni pertinenti siano prive della debita autorizzazione. In queste circostanze, pertanto, il controllore può stabilire se le operazioni in causa siano irregolari, anche se non può giungere alla conclusione che sono fraudolente. - 143 - Allegato 1, pagina 1 Allegato 1 LA TUTELA DEGLI INTERESSI FINANZIARI DELLE COMUNITÀ EUROPEE CONTRO LE FRODI ED ALTRE IRREGOLARITÀ: IL QUADRO LEGISLATIVO Il trattato sull’Unione europea 1. Gli obblighi degli Stati membri a norma dei trattati 1.1 Gli Stati membri sono tenuti a tutelare gli interessi finanziari della Comunità contro le frodi e le irregolarità, obbligo che è enunciato all’articolo 209 A del trattato: “Gli Stati membri adottano, per combattere le frodi che ledono gli interessi finanziari della Comunità, le stesse misure che adottano per combattere le frodi che ledono i loro interessi finanziari.” “Fatte salve altre disposizioni del presente trattato, gli Stati membri coordinano l’azione intesa a tutelare gli interessi finanziari della Comunità contro le frodi. A tal fine essi organizzano, con l’aiuto della Commissione, una stretta e regolare cooperazione tra i servizi competenti delle rispettive amministrazioni.” 1.2 L’articolo 78 settimo del trattato che istituisce la Comunità europea del carbone e dell’acciaio (CECA) e l’articolo 183A del trattato che istituisce la Comunità europea dell’energia atomica (Euratom) sono identici all’articolo 209 A sopra citato e in virtù di essi gli Stati membri sono tenuti a tutelare gli interessi finanziari della CECA e dell’Euratom contro le frodi. 1.3 Le responsabilità degli Stati membri in merito alla prevenzione ed individuazione delle irregolarità possono anche essere disciplinate da regolamenti concernenti attività comunitarie specifiche. Ad esempio, a norma dell’articolo 8 del regolamento (CEE) n. 729/70 del Consiglio del 21 aprile 1970 (GU L 94 del 28.4.1970, pag. 13) sul Fondo europeo agricolo di orientamento e di garanzia (FEAOG), emendato dal regolamento (CEE) n. 2048/88 del 24 giugno 1988 (GU L 185 del 15.7.1988, pag. 1), gli Stati membri: “adottano ... le misure necessarie per accertare se le operazioni del FEAOG siano reali e regolari, prevenire e perseguire le irregolarità, recuperare le somme perse a seguito di irregolarità o di negligenze.” 2. Gli obblighi della Commissione a norma dei trattati 2.1 In virtù dell’articolo 205 la Commissione è tenuta a provvedere ad un’esecuzione corretta del bilancio comunitario: “La Commissione cura l’esecuzione del bilancio, conformemente alle disposizioni del - 144 - Allegato 1, pagina 2 regolamento stabilito in esecuzione dell’articolo 209, sotto la propria responsabilità e nei limiti dei crediti stanziati, in conformità del principio della buona gestione finanziaria.” 2.2 Il trattato sull’Unione europea ha ampliato le possibilità di contrastare le frodi costituendo un fondamento giuridico per le iniziative future della Commissione per sanzionare gli autori delle frodi. Al titolo VI (Giustizia e Affari interni) l’articolo K.1. dispone: “Ai fini della realizzazione degli obiettivi dell’Unione, in particolare della libera circolazione delle persone, fatte salve le competenze della Comunità europea, gli Stati membri considerano questioni di interesse comune i settori seguenti: ... (5) la lotta contro la frode su scala internazionale”. La notifica delle irregolarità 3. Regolamenti che disciplinano le risorse proprie della Comunità 3.1 Il regolamento (CEE, Euratom) n.1552/89 del Consiglio del 29 maggio 1989 (GU L 155 del 7.6.1989, pag. 1), che attua la decisione 88/376/CEE Euratom del 24 giugno 1988 (GU L 185 del 15.7.1988, pag. 24), relativa al sistema delle risorse proprie delle Comunità, prevede all’articolo 6, paragrafo 3, le seguenti responsabilità di notifica per gli Stati membri: “A decorrere dal 1/ gennaio 1990 ciascuno Stato membro trasmette alla Commissione, semestralmente, una descrizione sommaria delle frodi e irregolarità che riguardino un importo di diritti superiore a 10 000 ECU, indicando, se necessario, le misure già adottate o da adottare per evitare che si ripetano i casi di frode e di irregolarità già riscontrati”. 4. Regolamenti che disciplinano i Fondi agricoli 4.1 A norma degli articoli 3 e 5 del regolamento (CEE) n.595/91 del Consiglio del 4 marzo 1991 (GU L 67 del 14.3.1991), relativo alle irregolarità e al recupero delle somme indebitamente pagate nell’ambito del finanziamento della politica agricola comune, gli Stati membri sono tenuti ad ottemperare ai seguenti obblighi di notifica: Articolo 3 “1. Entro i due mesi successivi alla fine di ogni trimestre, gli Stati membri comunicano alla Commissione un elenco delle irregolarità che hanno formato oggetto di un primo verbale amministrativo o giudiziario. A tal fine forniscono ogni possibile precisazione circa ... (segue un elenco delle informazioni richieste)”. Articolo 5 “1. Entro i due mesi successivi alla fine di ogni trimestre, gli Stati membri informano la Commissione dei procedimenti avviati in seguito alle irregolarità comunicate in - 145 - Allegato 1, pagina 3 applicazione dell’articolo 3 nonché dei cambiamenti significativi intervenuti in detti procedimenti, in specie: – – – – – dell’importo dei recuperi avvenuti o previsti; delle misure conservative adottate dagli Stati membri per garantire il recupero degli importi indebitamente pagati; dei procedimenti amministrativi o giudiziari avviati per recuperare gli importi pagati indebitamente e per applicare le sanzioni; dei motivi di un eventuale abbandono dei procedimenti per il recupero; per quanto possibile, la Commissione deve essere informata prima dell’adozione di una decisione in tal senso; dell’eventuale abbandono dei procedimenti penali.” 4.2 Il controllore tenga presente che questi obblighi di notifica riguardano tutti i tipi di irregolarità, comprese le frodi e le irregolarità originate da ignoranza della legge, sviste o errori. 4.3 Il controllore deve anche tenere presente che gli Stati membri devono riferire alla Commissione in merito alla verifica ed al controllo nazionali delle spese del FEAOG, sezione garanzia. Quest’obbligo è enunciato all’articolo 5, lettera d) del regolamento (CEE) n.1723/72 della Commissione, emendato dal regolamento (CEE) n. 295/88 della Commissione del 1/ febbraio 1988 (GU L 30 del 2.2.1988). Tale regolamento prescrive, fra l’altro, che gli Stati membri riferiscano in merito ai controlli espletati sugli organismi responsabii dei pagamenti FEAOG, per confermare che gli organismi in causa hanno provveduto correttamente alle operazioni, ai pagamenti ed alle procedure amministrative e contabili. 4.4 A norma dei paragrafi 4(v) e 4(vi) dell’Allegato XI del regolamento (CEE) n. 295/88 della Commissione, le relazioni degli Stati membri sugli organismi pagatori devono descrivere i controlli eseguiti per accertare la conformità di tali organismi alle norme comunitarie. Pertanto, da tali controlli deve risultare se gli Stati membri abbiano rispettato le norme sulla notifica delle irregolarità di cui al paragrafo 8.1. 4.5 Infine, occorre che il controllore conosca bene il regolamento (CEE) n. 4045/89 del Consiglio del 21 dicembre 1989 (GU L 388 del 30.12.1989, pag. 18), relativo alle procedure di controllo da applicare alle imprese beneficiarie o debitrici nei confronti del sistema di finanziamento della sezione garanzia del FEAOG. Gli articoli concernenti le irregolarità sono i seguenti: Articolo 2 “1. Gli Stati membri procedono a controlli dei documenti commerciali delle imprese, tenendo conto del carattere delle operazioni da sottoporrre a controllo. Gli Stati membri vigilano affinché la scelta delle imprese da controllare consenta la massima efficacia delle misure di prevenzione e di rivelazione delle irregolarità nel quadro del sistema di finanziamento del FEAOG, sezione garanzia. La selezione tiene conto in particolare dell’importanza finanziaria delle imprese in questo settore e di altri fattori di rischio.” - 146 - Allegato 1, pagina 4 Articolo 9 “1. Anteriormente al 1/ gennaio successivo al periodo di controllo, gli Stati membri comunicano alla Commissione una relazione particolareggiata sull’applicazione del presente regolamento.” 5. Regolamenti che disciplinano i Fondi strutturali 5.1 A norma dell’articolo 23, paragrafo 1 del regolamento (CEE) n. 4253/88 del Consiglio del 19 dicembre 1988 (GU L 374 del 31.12.1988, pag. 1), riguardante il coordinamento degli interventi dei vari Fondi strutturali, emendato dal regolamento (CEE) n. 2082/93 del Consiglio del 20 luglio 1993 (GU L 193 del 31.7.1993), gli Stati membri sono tenuti a notificare le irregolarità come segue: “1. Al fine di garantire il successo delle azioni svolte da promotori pubblici o privati, gli Stati membri, in sede di realizzazione delle azioni, adottano le misure necessarie per: – – – verificare periodicamente che le azioni finanziate dalla Comunità siano state attuate correttamente; prevenire e sanzionare le irregolarità; ricuperare i fondi persi a causa di un abuso o di una negligenza. Tranne nel caso in cui lo Stato membro e/o l’intermediario e/o il promotore apportano la prova che l’abuso o la negligenza non è loro imputabile, lo Stato membro è sussidiariamente responsabile per il rimborso delle somme indebitamente versate. Per le sovvenzioni globali l’intermediario può ricorrere, con l’accordo dello Stato membro e della Commissione, a una garanzia bancaria od a qualunque altra forma di assicurazione contro tale rischio. Gli Stati membri informano la Commissione delle misure adottate a tal fine e, in particolare, le comunicano una descrizione dei sistemi di controllo e di gestione istituiti ai fini di una realizzazione efficace delle azioni. Essi informano regolarmente la Commissione circa l’evoluzione dei procedimenti amministrativi e giudiziari. Gli Stati membri tengono a disposizione della Commissione tutte le relazioni nazionali appropriate, concernenti il controllo delle misure previste dai programmi e dalle azioni in questione.” 5.2 Inoltre, il regolamento (CE) n. 1681/94 della Commissione dell’11 luglio 1994 (GU L 178 del 12.7.1994) disciplina le irregolarità ed il recupero delle somme indebitamente pagate nell’ambito del finanziamento delle politiche strutturali nonché l’organizzazione di un sistema d’informazione in questo settore. Altre questioni di carattere legislativo 6. Il comitato consultivo per il coordinamento della lotta contro le frodi 6.1 Il controllore tenga presente che con la decisione 94/140/CE della Commissione del 23 febbraio 1994 (GU L 61 del 4.3.1994), la Commissione ha istituito un comitato consultivo per il coordinamento della lotta contro le frodi, con effetto dal 1/ marzo 1994. - 147 - Allegato 1, pagina 5 6.2 Il comitato, presieduto dalla Commissione, comprende due rappresentanti per Stato membro, che possono essere assistiti da due funzionari dei servizi interessati. 6.3 Il comitato può essere consultato dalla Commissione su ogni problema relativo alla prevenzione e alla repressione delle frodi e delle irregolarità, nonché su qualsiasi problema di cooperazione fra gli Stati membri e fra questi e la Commissione, quando questi problemi superano le attribuzioni di uno dei comitati settoriali, al fine di organizzare con più efficacia le azioni intese a contrastare le frodi. 7. La tutela degli interessi finanziari delle Comunità europee 7.1 A seguito del vertice di Essen (dicembre 1994) è stato lanciato un programma legislativo per conferire alla Commissione ed agli Stati membri i poteri necessari per tutelare gli interessi finanziari delle Comunità europee. Fino ad oggi si tratta di cinque atti descritti brevemente nei paragrafi che seguono. 7.2 Il regolamento (CE Euratom) n. 2988/95 del Consiglio sulla tutela degli interessi finanziari delle Comunità europee è stato adottato il 18 dicembre 1995 (GU L 312 del 23.12.1995). La sua principale caratteristica è che esso crea un quadro giuridico di base per la formulazione di sanzioni amministrative comunitarie uniformi aventi la stessa efficacia in tutta l’Unione europea. Inoltre, questo regolamento dà una definizione del termine “irregolarità”. 7.3 L’atto (95/C 316/03) del Consiglio del 26 luglio 1995 (GU C 316 del 27.11.1995) è una convenzione sulla tutela degli interessi finanziari delle Comunità. Oltre a definire, per la prima volta, la frode che lede gli interessi finanziari delle Comunità europee (cfr.l’allegato B), questa convenzione svolgerà un ruolo nell’armonizzazione del diritto penale negli Stati membri in merito alle frodi. Si prevede che questa convenzione sarà particolarment importante nel perseguire le frodi internazionali 7.4 L’atto proposto del Consiglio, che stabilisce un Protocollo (1) sulla tutela degli interessi finanziari delle Comunità, cerca di integrare la convenzione suddetta: definendo la responsabilità penale delle persone giuridiche; definendo e considerando come reato specifico il riciclaggio di denaro proveniente da frodi perpetrate a danno degli interessi finanziari delle Comunità ed instaurando procedure per migliorare la cooperazione degli organi giudiziari. 7.5 È stato proposto un altro atto del Consiglio che costituisce un altro Protocollo. Esso riguarda la giurisdizione degli Stati membri in casi di corruzione ad opera di funzionari della Comunità europea sul loro territorio. Secondo questo protocollo i funzionari della CE sono giudicati secondo lo stesso diritto penale che viene applicato ai funzionari nazionali. (1) Dal punto di vista giuridico i due protocolli indicati ai paragrafi 7.4. e 7.5 avranno lo stesso status e la stessa forza vincolante della convenzione (paragrafo 7.3) in quanto saranno adottati con le stesse procedure, cioè quelle previste al titolo VI del trattato sull’Unione europea e in specie la ratifica dei Parlamenti nazionali. - 148 - Allegato 1, pagina 6 7.6 Infine, è stato proposto un altro regolamento del Consiglio che amplierà i diritti della Commissione nello svolgimento di controlli in loco e di ispezioni per l’individuazione di frodi e di irregolarità negli Stati membri. - 149 - Allegato 2, pagina 1 ALLEGATO 2 DEFINIZIONE DI IRREGOLARITÀ 1. Questo criterio-guida di applicazione riguarda il controllo delle irregolarità, econdo la definizione datane nel regolamento (CE Euratom) n. 2988/95 del Consiglio del 18 dicembre 1995 (articolo 1, paragrafo 2), cioè: “Costituisce irregolarità qualsiasi violazione di una disposizione del diritto comunitario derivante da un’azione o un’omissione di un operatore economico che abbia o possa avere come conseguenza un pregiudizio al bilancio generale delle Comunità o ai bilanci da queste gestiti, attraverso la diminuzione o la soppressione di entrate provenienti da risorse proprie percepite direttamente per conto delle Comunità, ovvero una spesa indebita.” 2. In un atto del Consiglio del 26 luglio 1995 che stabilisce la convenzione relativa alla tutela degli interessi finanziari delle Comunità eropee, gli Stati membri dell’Unione europea hanno convenuto che costituisce frode che lede gli interessi finanziari delle Comunità europee: “(a) in materia di spese, qualsiasi azione od omissione intenzionale relativa: all’utilizzo o alla presentazione di dichiarazioni o di documenti falsi, inesatti o incompleti cui consegua il percepimento o la ritenzione illecita di fondi provenienti dal bilancio generale delle Comunità europee o dai bilanci gestiti dalle Comunità europee o per conto di esse; alla mancata comunicazione di un’informazione in violazione di un obbligo specifico cui consegua lo stesso effetto; alla distrazione di tali fondi per fini diversi da quelli per cui essi sono stati inizialmente concessi; (b) in materia di entrate, qualsiasi azione od omissione intenzionale relativa: all’utilizzo o alla presentazione di dichiarazioni o documenti falsi, inesatti o incompleti cui consegua la diminuzione illegittima di risorse del bilancio generale delle Comunità europee o dei bilanci gestiti dalle Comunità europee o per conto di esse; alla mancata comunicazione di un’informazione in violazione di un obbligo specifico cui consegua lo stesso effetto; alla distrazione di un beneficio lecitamente ottenuto, cui consegua lo stesso effetto.” - 150 - CRITERI-GUIDA EUROPEI DI APPLICAZIONE DELLE NORME DI CONTROLLO DELL'INTOSAI N. 53 PROMUOVERE LE BUONE PRATICHE CONTABILI INDICE Paragrafi Riferimento alle norme di controllo dell’INTOSAI Introduzione Il ruolo delle ISC Il quadro contabile di base I principi ed i metodi contabili I rendiconti finanziari Il controllo interno L’audit interno I quadri contabili di base e le relative informazioni finanziarie I principi contabili presentati nella quarta direttiva del Consiglio (CEE) Le caratteristiche qualitative dei rendiconti finanziari Glossario Elenco dei documenti di riferimento ed altri testi 1 2 3 4 5 6 7 8 Allegato 1 Allegato 2 Allegato 3 Allegato 4 Allegato 5 -------------------1. Riferimento alle norme di controllo dell’INTOSAI 1.1 Il paragrafo 23 delle norme di controllo dell’INTOSAI recita: “L’istituzione di sistemi adeguati d’informazione, di controllo, di valutazione e di stesura delle relazioni nell’ambito delle pubbliche amministrazioni faciliterà la procedura di rendimento dei conti. Gli organi dirigenti sono responsabili dell’esattezza e dell'esaustività della forma e del contenuto delle relazioni finanziarie e di altre informazioni”. 1.2 Inoltre, il paragrafo 25 delle norme di controllo dell’INTOSAI recita: “Le autorità competenti devono emanare norme contabili idonee in materia di informazioni finanziarie e di divulgazione delle stesse atte a soddisfare le esigenze delle pubbliche amministrazioni...”. - 151 - 1.3 Infine, il paragrafo 28 delle norme di controllo dell’INTOSAI afferma: “Dall’applicazione coerente delle norme contabili idonee dovrebbe risultare una rappresentazione fedele della situazione finanziaria e dei risultati delle operazioni”. 2. Introduzione 2.1 Il presente criterio-guida si prefigge di fornire all’ Istituzione superiore di controllo (ISC), chiamata anche “controllore esterno”, che svolge controlli sulle attività della Comunità europea, informazioni e consigli al fine di promuovere le migliori procedure contabili. 2.2 Poiché i mandati costituzionali delle ISC possono comportare responsabilità diverse in merito alla promozione delle migliori regole contabili, le informazioni e le raccomandazioni contenute in questo criterio-guida saranno applicate nei modi opportuni in funzione delle circostanze particolari di ogni ISC. 2.3 Dal punto di vista delle ISC si può ritenere che la promozione delle migliori regole di contabilità consista nell’esercitare un’influenza su quattro aspetti di carattere contabile, finanziario od organizzativo: a. b. c. d. il quadro contabile di base; i principi ed i metodi contabili; i rendiconti finanziari; il controllo interno e l’audit interno. 2.4 Il presente criterio-guida ha lo scopo di approfondire i concetti attinenti a ciascuno degli aspetti suddetti, per illustrare in che modo possono contribuire a promuovere le migliori regole di contabilità nel settore pubblico e, infine, per determinare l’influenza delle ISC sulla definizione e valutazione di ciascuno di questi quattro elementi. Le buone procedure contabili non solo contribuiscono all’elaborazione ed alla presentazione di informazioni contabili e finanziarie di alta qualità, ma contribuiscono anche alla preparazione di informazioni di qualità elevata sulla gestione, le quali, a loro volta, costituiscono la base per prendere le opportune decisioni in materia di gestione e, di conseguenza, per una sana gestione finanziaria. 2.5 Ai fini di questo criterio-guida i rendiconti finanziari possono essere definiti come tutti i documenti finanziari emessi dall’organismo controllato e che formano oggetto dell’audit. Questi rendiconti finanziari, descritti più dettagliatamente al paragrafo 6.7, di norma comprendono uno stato delle entrate e delle spese per un dato periodo, un bilancio, una situazione dei movimenti di cassa, note ed altri documenti esplicativi che sono parte integrante di tali rendiconti finanziari. Tuttavia, i rendiconti finanziari non comprendono le relazioni e le analisi della direzione ed elementi analoghi che possono far parte di una relazione finanziaria od annuale, a meno che la legislazione non richieda all’organismo di pubblicarli ed all’ISC di controllarli. 3. Il ruolo delle ISC 3.1 In generale le ISC svolgono un ruolo non definito per legge in materia di normalizzazione contabile e di definizione della forma e del contenuto delle informazioni finanziarie, benché - 152 - il loro obiettivo sia di esercitare un’influenza sulle autorità legislative od amministrative, a seconda dei casi, nella direzione che considerano utile per promuovere le migliori regole di contabilità. D’altra parte, la loro influenza è notevole nel caso di questioni tecniche riguardanti l’audit, i pareri e, talvolta, la consulenza, in base all’attività che svolgono in questi stessi settori. Inoltre, le ISC sono senza dubbio i partner esterni che dimostrano il maggior interesse per la contabilità di un’organizzazione, diversamente dagli altri partner esterni che, di solito, sono utenti delle informazioni contabili e finanziarie (autorità competente per il discarico, beneficiari , etc.). Le ISC possono intervenire in qualsiasi fase del processo di definizione e di valutazione delle regole contabili, ed il loro intervento può assumere le forme seguenti: a. contributo alla definizione di migliori regole di contabilità: esso consiste nel formulare osservazioni sul quadro contabile di base e sull’entità contabile, sui principi e sui metodi contabili, nonché sul contenuto e sulla forma dei rendiconti finanziari. In generale le ISC devono guidare, in gradi diversi, l’organizzazione nell’esame di questi elementi, sempre rispettando il quadro definito dal legislatore; b. analisi dell’applicazione di migliori regole di contabilità: in questo campo le ISC possono assolvere la loro funzione primaria, cioè quella di esperti indipendenti incaricati di emettere pareri sui rendiconti finanziari e sulla qualità dell'esposizione contabile. Questo aspetto coincide con i punti citati in a) di cui sopra e con l’analisi del controllo interno, ad esempio; c. analisi della qualità del quadro finanziario e contabile: questo aspetto dell’attività delle ISC è una funzione di feed-back e si basa in parte sul lavoro descritto al precedente punto b). Esso ha lo scopo di far sì che il quadro legislativo, finanziario e contabile al cui interno operano le entità controllate, sia adatto alle loro attività e favorisca l’applicazione delle migliori regole di contabilità. È attraverso questo tipo di analisi che le ISC possono esercitare la loro influenza sul processo descritto al paragrafo 3.1. 3.2 Infine, le ISC devono mantenere distinti il loro ruolo come auditor, in cui esprimono un parere indipendente sui rendiconti finanziari e/o sulla sana gestione finanziaria, ed il loro ruolo di assistenza o consultivo, in cui propongono e sorvegliano la realizzazione di progetti o di procedure nell’organizzazione controllata. Analogamente, le ISC devono far sì che i vari pareri e opinioni che emettono sullo stesso argomento siano coerenti e conformi all'incarico loro affidato. 4. Il quadro contabile di base 4.1 Il quadro contabile di base si riferisce ai principi contabili che determineranno il momento dell’esecuzione della transazione o del verificarsi dell’evento in cui gli effetti della transazione o dell’evento saranno registrati nei libri contabili. Questo quadro, che è determinato dagli obiettivi dei rendiconti finanziari (cfr. i paragrafi 6.1 e 6.2) e dal contesto in cui l’organizzazione opera, può variare dalla “contabilità di cassa”, che è tecnicamente la meno sviluppata, ad una “contabilità di cassa mista”, una “contabilità di competenza mista” oppure ad una “contabilità di competenza”, che è praticata dalla maggior parte delle imprese nel settore privato e da certe organizzazioni nei settori pubblico e semipubblico. 4.2 Nell’ALLEGATO 1 di questo criterio-guida di applicazione viene data una definizione più completa di questi quattro metodi, insieme ad una descrizione sommaria delle informazioni finanziarie ottenute dalla loro applicazione. - 153 - 4.3 I quattro metodi proposti possono essere tutti adattati alle caratteristiche particolari del settore pubblico e rispondere alle richieste degli utenti. Tuttavia, l’obiettivo consiste nel promuovere l’adozione del quadro, che, tramite i principi contabili applicati e i rendiconti finanziari presentati, consegue nel miglior modo gli obiettivi dell'informazione finanziaria, cioè rispondere ai bisogni degli utenti e rappresentare le attività dell’organizzazione interessata nel contesto del settore pubblico e nel rispetto delle norme emanate dal legislatore. 4.4 Giova osservare, tuttavia, che nel settore pubblico di alcuni paesi si riscontrano iniziative volte a promuovere l’impiego di quadri contabili che si avvicinano alla contabilità di competenza. Ciò può essere dovuto, fra l’altro, alla necessità di informazioni finanziarie complete sulla situazione finanziaria e sulla gestione dell'entità contabile, come espresso dagli investitori nel contesto dei programmi di privatizzazione che vengono realizzati in molti paesi. 5. I principi ed i metodi contabili 5.1 I principi ed i metodi contabili hanno lo scopo di indicare secondo quali modalità gli effetti delle transazioni e degli eventi devono essere registrati nei rendiconti finanziari. I due principi descritti qui di seguito (azienda avviata e coerenza dei metodi) sono considerati principi fondamentali e la loro applicazione è implicita. Non è necessario menzionarli nelle note accluse ai rendiconti finanziari. Tuttavia, se tali principi non sono seguiti, è necessario indicare questa circostanza e le relative ragioni. a. azienda avviata: l’organizzazione è considerata normalmente come un’azienda avviata, cioè, come "continuità operativa" per il futuro prevedibile. Si suppone che l’azienda non abbia né l’intenzione, né la necessità di liquidare o di ridurre in misura significativa la scala delle sue operazioni. Anche se il principio di "azienda avviata" non si applica, in teoria, al settore publico, giova menzionarlo, non foss’altro che per stabilire il nesso con i rendiconti finanziari e le informazioni che devono contenere (ad esempio, quando si attuano piani di ristrutturazione su larga scala oppure quando un’attività viene liquidata o privatizzata). b. coerenza dei metodi: si suppone che i principi ed i metodi contabili rimangano coerenti nei diversi periodi contabili, ad eccezione di cambiamenti giustificati, la cui incidenza deve essere quantificata nelle note accluse ai rendiconti finanziari. 5.2 I tre principi che seguono devono guidare la scelta delle politiche contabili dell’organizzazione: a. cautela: è possibile che varie incertezze pesino sulle transazioni dell’organizzazione. La cautela consiste quindi in una valutazione scupolosa dei fatti per evitare il rischio di trasferire nel futuro incertezze attuali, che sono considerate dannose per il patrimonio ed i risultati dell’organizzazione; b. prevalenza della sostanza sulla forma: le transazioni ed altri eventi nella vita dell’organizzazione devono essere registrati e presentati in conformità della loro sostanza e della realtà finanziaria, e non semplicemente dal punto di vista giuridico; c. rilevanza: i rendiconti finanziari devono rendere note tutte le operazioni che sono sufficientemente importanti per incidere sulle valutazioni e sulle decisioni e palesare tutte le informazioni che servono per rendere chiari e comprensibili questi rendiconti - 154 - finanziari. Giova osservare che, nel settore pubblico, il concetto di rilevanza non è soltanto finanziario ma può essere applicato anche alla natura degli elementi considerati nel contesto in cui si collocano. 5.3 Gli altri principi e metodi contabili riguardano il trattamento delle transazioni o di eventi specifici, come la contabilizzazione delle entrate e delle spese, le conversioni di valuta estera, etc. Alcune organizzazioni del settore pubblico svolgono attività commerciali, la cui analisi e contabilità richiedono l’adozione di politiche contabili specifiche. In questo caso può risultare utile consultare le varie norme sui metodi di accertamento e di registrazione delle entrate. 5.4 Il controllore esterno deve assicurarsi che i principi contabili scelti facciano parte di un insieme di norme coerente, accettato e adattato alle attività dell’organizzazione ed ai suoi vincoli. Inoltre, deve assicurarsi che i principi contabili coprano tutti gli aspetti importanti delle attività dell’organizzazione (1). 6. I rendiconti finanziari Gli obiettivi -------------- 6.1 Come regola generale, l’obiettivo dei rendiconti finanziari di un’organizzazione o di un gruppo di organizzazioni consiste nel fornire agli utenti di tali rendiconti finanziari informazioni sulla situazione finanziaria, sulla gestione e sullo sviluppo della situazione finanziaria di questa organizzazione o gruppo di organizzazioni. Nell'ambito del settore pubblico, oltre a quelli sopra indicati gli obiettivi includono la presentazione di informazioni sulla conformità delle operazioni alla legge, per soddisfare all’obbligo di rendimento dei conti. 6.2 Più precisamente, nell'ambito del settore pubblico si possono definire i seguenti obiettivi: a. fornire agli utenti le informazioni di cui necessitano: la definizione dei bisogni degli utenti è il punto di partenza per la compilazione dei rendiconti finanziari; b. indicare agli utenti se il bilancio di previsione e le operazioni eseguite durante l’esercizio finanziario siano conformi alla legge. Si noti che i rendiconti finanziari stessi non forniscono questa informazione, ma essa è prevista nella relazione stesa dal controllore esterno, in base a questi stessi rendiconti finanziari, e che può essere acclusa agli stessi; c. aiutare gli utenti a comprendere meglio la natura, le dimensioni e l’ambito delle attività del settore pubblico e della sua situazione finanziaria, oppure, all’occorrenza, della (1) L’articolo 31(1) della quarta direttiva del Consiglio (CEE) 78/660 del 25 luglio 1978 (GU L 222 del 14 agosto 1978, p.11) prevede un elenco di principi generali da applicare per la valutazione delle voci dei conti annuali di alcuni tipi di società. Questa direttiva è applicabile in tutti gli Stati membri della Comunità europea. Benché i principi indicati si applichino principalmente alle società del settore privato, alcune ISC possono svolgere lavori in entità del settore pubblico, i cui principi contabili si basano sulle disposizioni della quarta direttiva. L’allegato B di questo criterio-guida di applicazione presenta il testo pertinente della direttiva ed analizza in quale misura i principi contabili generali in essa inclusi siano conformi a quelli presentati ai paragrafi 5.1 e 5.2. - 155 - situazione finanziaria delle attività che lo compongono; d. aiutare gli utenti a comprendere e prevedere in che modo il settore pubblico finanzia le proprie attività; e. aiutare gli utenti a comprendere e prevedere gli effetti delle attività del settore pubblico; f. aiutare gli utenti a stabilire se il settore pubblico abbia conseguito i propri obiettivi ed a determinare il costo delle sue attività. Questo aspetto svolge un ruolo importante nella valutazione delle attività del settore pubblico; g. fornire agli utenti informazioni sugli aspetti quantitativi dell’esecuzione del bilancio di previsione: gli aspetti qualitativi sono stati trattati nei paragrafi precedenti. (NB: i paragrafi a., c., d., e. ed f. sono tratti dalla Comunicazione n. 2 “Gli obiettivi delle relazioni sulle finanze pubbliche”, pubblicata dal Comitato delle norme contabili dell’INTOSAI, Comitato che comprende le ISC di alcuni Stati membri dell’Unione europea). Gli utenti ----------6.3 Gli utenti dei rendiconti finanziari possono suddividersi nelle seguenti categorie: a. politici, che operano come legislatori o come autorità competente per il discarico. I politici sono i principali utenti dei rendiconti finanziari cui si riferisce il paragrafo 6.2.a. Ciò può essere dovuto al fatto che, in generale, è di loro competenza legiferare sulla natura delle informazioni finanziarie che le organizzazioni del settore pubblico devono fornire. Il compito dell’organizzazione interessata consiste nel fornire, se necessario con l’assistenza di consulenti esterni, le informazioni richieste. Il ruolo delle ISC consiste nell’esprimere un parere sui rendiconti finanziari, cioè assicurare che abbiano conseguito i loro obiettivi nel rispetto delle norme dettate per la loro preparazione e presentazione; b. i cittadini; c. il personale delle organizzazioni addetto alla preparazione dei rendiconti finanziari; d. le parti economiche esterne come i finanziatori, i fornitori e i clienti; e. gli economisti, gli analisti politici e gruppi portatori di interessi specifici; f. i "media". (NB: i paragrafi a e d sono tratti dalla Comunicazione n. 1 “Gli utenti delle relazioni sulle finanze pubbliche”, pubblicata dal Comitato delle norme contabili dell’INTOSAI”). 6.4 Nell'ambito della Comunità europea la Commissione redige i rendiconti finanziari sull’esecuzione del bilancio comunitario da parte degli Stati membri e dei servizi della Commissione. La Corte dei conti europea controlla tali rendiconti finanziari, che sono successivamente utilizzati dall’autorità competente per il discarico. La singolarità di questa situazione è attribuibile al fatto che una parte significativa delle spese è gestita dagli Stati membri. Pertanto, le ISC degli Stati membri hanno da svolgere un ruolo importante poiché, essendo attive a livello nazionale, con riferimento ai metodi contabili, possono contribuire al miglioramento dei rendiconti finanziari della Comunità. 6.5 I paragrafi precedenti mostrano che i bisogni di queste varie categorie differiscono - 156 - notevolmente, sotto il profilo della quantità delle informazioni, oppure del grado di dettaglio o della complessità tecnica. I rendiconti finanziari devono fornire ad ogni categoria le informazioni di cui necessita: queste categorie variano dal cittadino comune, che è interessato a conoscere le attività di un’organizzazione pubblica, ai politici ed economisti interessati alla valutazione del conseguimento di obiettivi definiti con grande precisione fino all’esercizio del potere di discarico da parte dell’autorità competente. Il controllore esterno, nel suo ruolo di consulenza, aiuta nell'assicurare che i rendiconti finanziari rispondano alle aspettative dei loro utenti. Forma e contenuto ---------------------6.6 Prima di considerare il contenuto e la forma dei rendiconti finanziari, occorre esaminare la questione dell’ “entità contabile”, cioè la totalità delle attività che i rendiconti finanziari devono contabilizzare. L’entità contabile può avere una base ampia ed includere tutte le attività od organizzazioni controllate o gestite dal governo, oppure, al contrario, riguardare solo una particolare attività od un’organizzazione specifica. Il controllore deve assicurare che l’entità contabile sia definita in modo appropriato e pertinente, poiché questo determina non solo il tipo di informazioni che saranno presentate nei rendiconti finanziari, ma anche il metodo di consolidamento o di combinazione dei vari conti considerati per la preparazione di tali rendiconti finanziari. 6.7 I rendiconti finanziari costituiscono un insieme formato dalle seguenti parti: a. il conto di gestione delle entrate e delle spese o il conto degli "incassi e pagamenti". Esso comprende, laddove applicabile, un’analisi delle fonti di entrata, delle spese per programma o attività, ed un analisi dell’utilizzo dei diversi tipi di stanziamento e delle variazioni delle riserve; b. il bilancio, che comprende l’attivo, il passivo e le riserve; c. la situazione dei flussi di cassa, che indica le fonti e l’utilizzo dei fondi; d. le note accluse ai rendiconti finanziari, che comprendono una descrizione dei principi e dei metodi contabili applicati e, parimenti, tutte le informazioni che consentono all’utente di comprendere i rendiconti finanziari e di formarsi un’opinione. Alcune parti speciali, come eventi o transazioni eccezionali o quelle riguardanti esercizi precedenti, eventi successivi alla chiusura del bilancio e utili o perdite impreviste devono essere spiegati nelle note se sono ritenuti talmente significativi che la loro non-pubblicazione impedirebbe agli utenti di comprendere i rendiconti finanziari, di darne una valutazione corretta e di prendere decisioni giuste in base alle informazioni che contengono; e. altri documenti esplicativi, se opportuni, che possono comprendere indicatori di rendimento. 6.8 I rendiconti finanziari devono indicare chiaramente la moneta e l'unità (migliaia o milioni) in cui sono elaborati, la data di chiusura dei conti ed il periodo contabile cui si riferiscono. È ugualmente utile che i rendiconti finanziari presentino informazioni per i due periodi successivi con due date di chiusura successive, per facilitare il confronto delle informazioni e misurare l’evoluzione della situazione finanziaria e del rendimento dell’entità contabile. - 157 - Le caratteristiche qualitative dei rendiconti finanziari ------------------------------------------------------------6.9 Le caratteristiche qualitative sono gli attributi che rendono utili per i lettori le informazioni presentate nei rendiconti finanziari. Le caratteristiche principali sono la comprensibilità, la pertinenza, l’affidabilità e la comparabilità. Questi concetti sono definiti dettagliatamente all’ALLEGATO 3 del presente criterio-guida. 7. Il controllo interno 7.1 Un quadro contabile di base, principi contabili e rendiconti finanziari ben definiti e rispondenti alle attività ed ai vincoli dell’organizzazione, non sono sufficienti per assicurare l’affidabilità dei rendiconti finanziari elaborati da un’organizzazione e/o la qualità della gestione finanziaria. Inoltre, è importante che l’organizzazione crei e faccia funzionare un controllo interno di qualità elevata. 7.2 Il controllo interno è organizzato dalla direzione dell'organismo controllato ed è espletato sotto la sua responsabiltà. Il controllo interno è definito come tutte le strategie e le procedure concepite e attuate dalla direzione di un organismo al fine di garantire: - il raggiungimento economico, efficiente ed efficace degli obiettivi dell'organismo; - il rispetto delle norme esterne (leggi, regolamenti, ...) e delle politiche della direzione; - la protezione dei beni e delle informazioni; - la prevenzione e l'individuazione delle frodi e degli errori; e - la qualità dei libri contabili e la produzione tempestiva di informazioni finanziarie e di gestione affidabili. 7.3 Il concetto del controllo interno va al di là di considerazioni unicamente contabili e finanziarie e comprende due elementi, l'ambiente di controllo e le procedure di controllo interno, che sono illustrati più dettagliatamente nei paragrafi 2.1-2.5 del criterio-guida n. 21 "Valutazione del controllo interno e test sul controllo". 7.4 I punti seguenti mostrano come le ISC possono aiutare le autorità competenti a contribuire in misura significativa ad assicurare la qualità del controllo interno: a. analisi delle condizioni ambientali del controllo dell’organizzazione: le ISC possono valutare la qualità delle condizioni ambientali del controllo di un’organizzazione esaminando il raggiungimento dei criteri che corrispondono alla migliore procedura in termini di organizzazione e di gestione; b. analisi dettagliata delle procedure del controllo interno: questa analisi riguarda le procedure che portano alla preparazione ed alla presentazione dei rendiconti finanziari mettendo in risalto le qualità descritte al paragrafo 6.9; c. qualità della comunicazione: le ISC devono fare in modo di poter comunicare efficacemente con le organizzazioni controllate, per attirare la loro attenzione sui problemi e sui punti deboli riscontrati durante la valutazione dei controlli interni e - 158 - l’analisi dei rendiconti finanziari; d. individuazione della migliore procedura di controllo interno: le ISC possono individuare esempi di buone procedure e diffonderli all’interno ed all’esterno delle organizzazioni controllate mediante relazioni, seminari, pubblicazioni, etc. 8. L’audit interno 8.1 Infine, anche l’audit interno esercita un’influenza diretta sulla qualità del controllo interno e delle pratiche contabili dell’organizzazione. L’audit interno è un’attività di controllo creata da un’organizzazione e collegata al livello gerarchico più elevato. Le sue funzioni comprendono, fra l’altro, l’esame, la valutazione e la sorveglianza (follow-up) dell’adeguatezza e dell’efficacia dei sistemi contabili e di controllo interno. In alcuni Stati dell’Unione europea una parte delle funzioni di audit interno può essere esercitata da servizi come il controllore finanziario o l’Ispettorato generale delle finanze. L’influenza dell’audit interno è esercitata principalmente nei seguenti settori: a. verifica dei sistemi contabili e del controllo interno; b. esame delle informazioni finanziarie e di gestione; c. verifica delle procedure di controllo interno relative all’economicità, all’efficienza ed all’efficacia delle operazioni e della qualità dei controlli non finanziari; d. verifica della conformità delle operazioni alle leggi ed ai regolamenti di natura generale, contabile e finanziaria. 8.2 Nel contesto sopra descritto, la cooperazione fra le ISC ed i servizi di audit interno può risultare utile poiché i compiti svolti da entrambe le parti spesso sono complementari. Tuttavia, le ISC devono tener conto del fatto che gli obiettivi delle due parti si sovrappongono parzialmente e devono assicurarsi esse stesse della qualità del lavoro di audit interno. A proposito di quest’ultimo punto, si possono reperire informazioni nel criterio-guida n. 24 “L’uso dei lavori di altri controllori ed esperti”. La cooperazione fra le ISC e l’audit interno può assumere anche altre forme: la partecipazione con le autorità responsabili (i ministeri interessati, l’Ispettorato generale delle finanze, etc.) alla promozione dei principi di lavoro (qualità, norme di audit) oppure l’assistenza e i consigli su argomenti come la formazione professionale, i metodi di lavoro, etc. - 159 - Allegato 1, pagina 1 ALLEGATO 1 I quadri contabili di base e le relative informazioni finanziarie I quattro quadri contabili di base e le relative relazioni finanziarie comunemente usati possono essere definiti come segue(1): a. contabilità di cassa: metodo contabile secondo cui le entrate non sono contabilizzate fino al momento in cui sono incassate e le spese sono iscritte nei conti solo quando ha avuto luogo l’esborso. I rendiconti finanziari preparati su questa base mostrano gli incassi e i pagamenti di cassa durante un certo periodo di tempo (l’esercizio finanziario) ed il saldo di cassa all’inizio ed alla fine del periodo; b. contabilità di cassa modificata: metodo secondo il quale il metodo della contabilità di cassa è sviluppato per includere, nell’esercizio finanziario, incassi e pagamenti di cassa che hanno origine nel periodo finanziario interessato, ma che hanno luogo durante un periodo di tempo successivo alla fine dell’esercizio finanziario in causa. Per un esercizio finanziario di dodici mesi, dal 1/ gennaio al 31 dicembre dell’anno n, il metodo della contabilità di cassa modificata comprenderà tutti gli incassi e i pagamenti che si riferiscono a transazioni od eventi attinenti a questo anno n, ma che hanno luogo, ad esempio, in un periodo specifico di 15 giorni dopo la fine dell’anno n, cioè fino al 15 gennaio n+1. I rendiconti finanziari chiusi al 31 dicembre dell’anno n secondo questo metodo mostrano, oltre al saldo di cassa all’inizio ed alla fine dei periodi, gli incassi e i pagamenti durante questo periodo di 15 giorni come attivo e passivo rispettivamente. Il periodo complementare durante il quale sono registrati gli incassi, può differire da quello utilizzato per i pagamenti e talvolta sono registrati solo i pagamenti; c. contabilità di competenza modificata: metodo secondo cui le transazioni o gli eventi sono registrati nel momento in cui hanno luogo, a prescindere dal momento in cui gli incassi o i pagamenti hanno luogo. Questo metodo, che è spesso denominato contabilità di spesa (expenditure accounting), ha lo scopo di misurare e di indicare il costo dei beni e servizi acquistati durante l’esercizio finanziario considerato. Le entrate rappresentano gli importi che sono divenuti esigibili durante il periodo. Gli elementi dell'attivo riportati comprendono gli incassi, i risarcimenti, (richieste di pagamento) come crediti a breve termine, i prestiti, nonché gli investimenti. Gli elementi del passivo comprendono pagamenti commerciali, ratei insieme ai debiti sui mercati finanziari e oneri previdenziali; d. contabilità di competenza: metodo che è spesso chiamato contabilità di spesa (expense accounting) o contabilità di competenza piena, molto simile alla contabilità di competenza modificata sopra descritta ed il cui scopo consiste nel misurare e nel (1) Questo allegato si basa sulla Comunicazione n. 4 del Comitato delle norme contabili dell’INTOSAI: “Il conseguimento degli obiettivi delle relazioni sulle finanze pubbliche”. - 160 - Allegato 1, pagina 2 riportare il costo dei beni e servizi consumati durante l’esercizio finanziario. Gli elementi dell'attivo riportati comprendono anche immobilizzi materiali, come terreni, edifici ed attrezzature, il cui consumo è misurato dalla svalutazione posta a carico del conto di gestione, nonché i costi differiti. Inoltre i contratti di locazione-acquisto a lungo termine e le entrate differite sono presentati al passivo. Le entrate continuano a rappresentare importi divenuti esigibili durante l’esercizio. - 161 - Allegato 2, pagina 1 ALLEGATO 2 I principi contabili presentati nella quarta direttiva del Consiglio (CEE) L’articolo 31, paragrafo 1 della quarta direttiva del Consiglio (1) elenca i principi generali da applicare per la valutazione delle voci dei conti annuali di alcuni tipi di società. Il testo dell’articolo è come segue: “1. Gli Stati membri garantiscono che la valutazione delle voci dei conti annuali si faccia conformemente ai seguenti principi: a) b) c) d) e) f) si presume che la società continui le proprie attività; i modi di valutazione non possono essere modificati da un esercizio all’altro; occorre in ogni caso osservare il principio della prudenza e in particolare: aa) possono essere indicati esclusivamente gli utili realizzati alla data di chiusura del bilancio; bb) occorre tener conto di tutti i rischi prevedibili ed eventuali perdite che traggono origine nel corso dell’esercizio o di un esercizio anteriore anche se tali rischi o perdite siano noti solo tra la data di chiusura del bilancio e la data della sua compilazione; cc) si deve tener conto dei deprezzamenti, sia che l’esercizio si chiuda con una perdita, sia che si chiuda con un utile; si deve tener conto degli oneri o dei proventi relativi all’esercizio al quale i conti si riferiscono, senza considerare la data del pagamento o dell’incasso delle suddette spese o dei suddetti proventi; gli elementi delle voci dell’attivo e del passivo devono essere valutati separatamente; lo stato patrimoniale di apertura di un esercizio deve corrispondere allo stato patrimoniale di chiusura dell’esercizio precedente. 2. In casi eccezionali sono ammesse deroghe a detti principi generali. Se ci si avvale di tali deroghe, queste devono essere indicate nell’allegato e debitamente motivate, specificando l’influenza che esse hanno sulla situazione patrimoniale, su quella finanziaria e sul risultato economico. ” I principi suddetti sono simili a quelli espressi ai paragrafi 5.1 - 5.4 del testo principale di questo criterio-guida di applicazione. Per quanto riguarda il paragrafo 1.d di cui sopra, la contabilità di competenza cui si fa riferimento è presentata all’ALLEGATO 1, paragrafo d. di questo criterio-guida. Tuttavia, i paragrafi 5.1 - 5.4 del testo principale includono due principi che non fanno parte dell’elenco suddetto: la prevalenza della sostanza sulla forma e la rilevanza, che si sono sviluppati in Europa da quando è stata emessa questa direttiva, nel 1978. (1) Direttiva (CEE) 78/660 del 25 luglio 1978 (Gazzetta ufficiale L 222 del 14 agosto 1978, pag.. 11) - 162 - Allegato 3, pagina 1 ALLEGATO 3 Le caratteristiche qualitative dei rendiconti finanziari I rendiconti finanziari devono possedere certe qualità che rendono utili per i lettori le informazioni ivi presentate. Secondo la Comunicazione n. 3 "Caratteristiche qualitative delle relazioni sulle finanze pubbliche”, pubblicata dal Comitato delle norme contabili dell’INTOSAI (1) , le caratteristiche qualitative in causa sono le seguenti: a. la comprensibilità: prima di poter essere utilizzate, le informazioni devono essere ben comprese. Le relazioni sulle finanze pubbliche devono presentare le informazioni in modo chiaro e semplice. Sono da evitare dettagli eccessivi e modi di presentazione troppo complessi; ogniqualvolta sia possibile, si devono utilizzare diagrammi e grafici. I testi esplicativi devono essere non solo precisi ma anche espressi chiaramente e, per quanto possibile, adottando un linguaggio semplice e non tecnico. Ciò vale particolarmente per la divulgazione di informazioni e di interpretazioni complesse. Inoltre, occorre evitare forme di presentazione che potrebbero indurre in errore a causa di una semplificazione eccessiva o dell’omissione di dettagli. b. La pertinenza: le informazioni sono pertinenti se sono utili agli utenti nello svolgimento delle loro attività. Coloro che predispongono le relazioni sulle finanze pubbliche devono tener conto delle attività degli utenti e dei loro bisogni in materia di informazioni quando decidono ciò che è pertinente per la relazione. La pertinenza è connessa a molte altre caratteristiche qualitative qui trattate. Ad esempio, se l’informazione non è tempestiva, può non essere pertinente. Le relazioni devono trattare in modo esaustivo la natura e l’ambito delle attività finanziarie presentate. c. L’affidabilità: un’informazione affidabile rappresenta fedelmente ciò che deve rappresentare. È precisa entro tolleranze accettabili, imparziale, completa e verificabile. L’affidabilità non comporta una precisione od una certezza assoluta. Ad esempio, le relazioni sulle finanze pubbliche possono includere stime di importi dovuti a terzi che non sono note con certezza ma per le quali esiste una forte probabilità di obbligo. Le relazioni in causa devono esporre, nella misura del possibile, tutte le ipotesi ed incertezze significative. d. L’importanza: un’informazione è importante se si può ragionevolmente prevedere che essa eserciterà un’influenza sulle attività degli utenti. Un argomento può essere importante a causa delle sue dimensioni o della sua natura. Sull’importanza occorre esprimere un giudizio. I fattori che i "preparatori" ed i controllori delle relazioni sulle finanze pubbliche dovrebbero tenere in considerazione quando valutano l’importanza comprendono: lo scopo della relazione. le attività degli utenti e la natura e tipo di informazioni di cui necessitano per l’adozione delle decisioni e il rendimento dei conti, (1) Come indicato nel titolo di questa Comunicazione, il Comitato delle norme contabili dell’INTOSAI ritiene che queste caratteristiche si applichino alle relazioni sulle finanze pubbliche nel loro complesso, e non solo ai rendiconti finanziari delle entità del settore pubblico, che in generale fanno parte delle relazioni sulle finanze pubbliche o delle relazioni finanziarie delle entità del settore pubblico. - 163 - Allegato 3, pagina 2 nonché la natura dell’entità stessa. e. La tempestività: le relazioni sulle finanze pubbliche dovrebbero essere pubblicate rapidamente dopo gli eventi oggetto della relazione, per aiutare gli utenti nello svolgimento delle loro attività. La tempestività da sola non rende l’informazione utile. Tuttavia, il tempo trascorso dopo il verificarsi degli eventi riferiti nella relazione diminuisce in generale l’utilità. Una stima tempestiva ma realistica può essere più utile di un’informazione precisa se quest’ultima richiede diversi mesi per essere prodotta. f. La coerenza: per essere comprensibile l’informazione presentata in una relazione od in una serie di relazioni sulle finanze pubbliche deve, per quanto possibile, basarsi sullo stesso metodo di contabilità. La coerenza consente agli utenti delle relazioni o di una serie di relazioni sulle finanze pubbliche di passare da presentazioni aggregate a presentazioni disaggregate delle informazioni, e da una relazione all’altra con facilità e sicurezza. Se il metodo di contabilità e di presentazione è cambiato da un periodo contabile all’altro, perché, ad esempio, sono state adottate una politica od una norma contabile più appropriate, questa circostanza e gli effetti conseguenti sulla relazione finanziaria dovrebbero essere rilevati e spiegati chiaramente. g. La comparabilità: l’informazione è comparabile quando gli utenti sono in grado di individuare similarità e differenze o fra due o più entità del settore publico in un momento dato o all’interno della stessa entità nel corso del tempo. Come nel caso della coerenza, il metodo contabile e di presentazione, nonché gli effetti di un qualsiasi cambiamento da un periodo all’altro, devono essere rilevati e spiegati chiaramente. La Comunicazione n. 3 “Le caratteristiche qualitative delle relazioni sulle finanze pubbliche” indica, inoltre, che, applicando queste caratteristiche, i controllori ed i "preparatori" delle relazioni sulle finanze pubbliche dovranno esprimere un giudizio professionale, valutare i costi e i benefici, giungere a compromessi sull’importanza da attribuire a ciascuna caratteristica, far prevalere la sostanza sulla forma e dar prova di prudenza. - 164 - Allegato 4, pagina 3 ALLEGATO 4 Glossario (1) contabilità di competenza: metodo di contabilità secondo cui le entrate sono contabilizzate quando vengono percepite e le spese quando sono sostenute, a prescindere dal fatto che le transazioni siano state definitivamente chiuse con un incasso o con un esborso. attivo: elementi dotati di valore economico che appartengono legalmente al governo (o all’entità del settore pubblico). bilancio: un rendiconto finanziario che indica ciò che il governo (o l’entità del settore pubblico) possiede (il suo attivo) e ciò che il governo (o l’entità del settore pubblico) deve (il suo passivo) in un momento dato. contabilità di cassa: metodo di contabilità secondo cui le entrate sono contabilizzate solo quando sono incassate e le spese sono contabilizzate solo quando si ha esborso. passivo: importi che dovranno essere versati legalmente in futuro a seguito di eventi e di transazioni del passato (ad esempio i conti fornitori e altri oneri, le somme da versare al regime pensionistico dei dipendenti, prestiti assunti dal governo, etc.). entità contabile: indica l’area del governo (o dell’entità del settore pubblico ad un livello inferiore) cui si riferiscono le relazioni finanziarie, al cui interno si trovano pienamente consolidate tutte le diverse unità organizzative del governo (o dell’entità del settore pubblico). eccedenza o deficit: la differenza fra le entrate e le spese (si ha un’eccedenza quando le entrate superano le spese; si ha un deficit quando le spese superano le entrate). (1) Questo elenco è tratto dal glossario allegato allo studio “Gli utenti delle relazioni sulle finanze pubbliche e delle informazioni finanziarie fornite dai governi”, pubblicato dal Comitato delle norme contabili dell’INTOSAI. - 165 - Allegato 5, pagina 1 ALLEGATO 5 Elenco dei documenti di riferimento ed altri testi INTOSAI - Norme di controllo (Comitato delle norme di controllo) - Quadro delle norme contabili (Comitato delle norme contabili) - Comunicazione n. 1 “Gli utenti delle relazioni sulle finanze pubbliche) - Comunicazione n. 2 “Gli obiettivi delle relazioni sulle finanze pubbliche” - Comunicazione n. 3 “Le caratteristiche qualitative delle relazioni sulle finanze pubbliche” - Comunicazione n. 4 “Il conseguimento degli obiettivi delle relazioni sulle finanze pubbliche” - Studio “Gli utenti delle relazioni sulle finanze pubbliche e delle informazioni finanziarie fornite dai governi” DIRETTIVA DEL CONSIGLIO DELLE COMUNITÀ EUROPEE - Quarta direttiva del Consiglio del 25 luglio 1978 (78/660/CEE) basata sull’articolo 54, paragrafo 3, lettera g) del trattato e relativa ai conti annuali di taluni tipi di società ( GU L 222 del 14 agosto 1978, p.11) IFAC - Linee direttrici (Comitato del settore pubblico dell’International Federation of Accountants) - Linea direttrice n. 1 “Financial reporting by government business enterprises” - Studi (Comitato del settore pubblico dell’International Federation of Accountants) - Studio 1 “Financial reporting by national governments” - Studio 2 “Elements of the financial statements of national governments” - Studio 5 “Definition and recognition of assets” - Studio 6 “Accounting for and reporting liabilities” - Studio 7 “Performance reporting by government business enterprises” - Studio 8 “The government financial reporting entity” - Studio 9 “Definition and recognition of revenues” - Studio 10 “Definition and recognition of expenses/expenditure” IASC - ”Quadro per la preparazione e la presentazione dei rendiconti finanziari” (International Accounting Standards Committee) - Norma contabile internazionale n. 1 “La pubblicità dei metodi contabili” (International - 166 - Allegato 5, pagina 2 Accounting Standards Committee) - Norma contabile internazionale n. 18 “La constatazione dei proventi” (International Accounting Standards Committee) - 167 - GLOSSARIO DEI TERMINI DELLE NORME DI CONTROLLO DELL’INTOSAI (this glossary is reproduced from the INTOSAI Auditing Standards) Accounting Control System A series of actions which is considered to be part of the total internal control system concerned with realising the accounting goals of the entity. This includes compliance with accounting and financial policies and procedures, safeguarding the entity’s resources and preparing reliable financial reports. Administrative Control System A series of actions, being an integral part of the internal control system, concerned with administrative procedures needed to make managerial decisions, realise the highest possible economic and administrative efficiency and ensure the implementation of administrative policies, whether related to financial affairs or otherwise. Audited Entity The organisation, programme, activity or function subject to audit by the SAI. Audit Evidence Information that forms the foundation which supports the auditor’s or SAI’s opinions, conclusions or reports. Competent : information that is quantitatively sufficient and appropriate to achieve the auditing results ; and is qualitatively impartial such as to inspire confidence and reliability. Relevant : information that is pertinent to the audit objectives. Reasonable : information that is economical in that the cost of gathering it is commensurate with the result which the auditor or the SAI is trying to achieve. Audit Mandate The auditing responsibilities, powers, discretions and duties conferred on a SAI under the constitution or other lawful authority of a country. Audit Objective A precise statement of what the audit intends to accomplish and/or the question the audit will answer. This may include financial, regularity or performance issues. - 168 - Audit Procedures Tests, instructions and details included in the audit programme to be carried out systematically and reasonably. Audit Scope The framework or limits and subjects of the audit. Auditing Standards Auditing standards provide minimum guidance for the auditor that helps determine the extent of audit steps and procedures that should be applied to fulfil the audit objective. They are the criteria or yardsticks against which the quality of the audit results are evaluated. Constitutional A matter which is permitted or authorised by, the fundamental law of a country. Due Care The appropriate element of care and skill which a trained auditor would be expected to apply having regard to the complexity of the audit task, including careful attention to planning, gathering and evaluating evidence, and forming opinions, conclusions and making recommendations. Economy Minimising the cost of resources used for an activity, having regard to the appropriate quality. Effectiveness The extent to which objectives are achieved and the relationship between the intended impact and the actual impact of an activity. Efficiency The relationship between the output, in terms of goods, services or other results, and the resources used to produce them. Executive Branch of Government (Executive) The branch of government which administers the law. Field Standards The framework for the auditor to systematically fulfil the audit objective, including planning and supervision of the audit, gathering of competent, relevant and reasonable evidence, and an appropriate study and evaluation of internal controls. Financial Systems The procedures for preparing, recording and reporting reliable information concerning financial transactions. Findings, Conclusions and Recommendations Findings are the specific evidence gathered by the auditor to satisfy the audit objectives ; conclusions are statements deduced by the auditor from those findings ; recommendations are courses of action suggested by the auditor relating to the audit objectives. - 169 - Fundamental A matter becomes fundamental (sufficiently material) rather than material when its impact on the financial statements is so great as to render them misleading as a whole. General Standards The qualifications and competence, the necessary independence and objectivity, and the exercise of due care, which shall be required of the auditor to carry out the tasks related to the fields and reporting standards in a competent, efficient and effective manner. Independence The freedom of the SAI in auditing matters to act in accordance with its audit mandate without external direction or interference of any kind. Internal Audit The functional means by which the managers of an entity receive an assurance from internal sources that the processes for which they are accountable are operating in a manner which will minimise the probability of the occurrence of fraud, error or inefficient and uneconomic practices. It has many of the characteristics of external audit but may properly carry out the directions of the level of management to which it reports. Internal Control The whole system of financial and other controls, including the organisational structure, methods, procedures and internal audit, established by management within its corporate goals, to assist in conducting the business of the audited entity in a regular economic, efficient and effective manner ; ensuring adherence to management policies ; safeguarding assets and resources ; securing the accuracy and completeness of accounting records ; and producing timely and reliable financial and management information. International Organisation of Supreme Audit Institutions (INTOSAI) An international and independent body which aims at promoting the exchange of ideas and experience between Supreme Audit Institutions in the sphere of public financial control. Legislature The law making authority of a country, for example a Parliament. - 170 - Materiality and Significance (Material) In general terms, a matter may be judged material if knowledge of it would be likely to influence the user of the financial statements or the performance audit report. Materiality is often considered in terms of value but the inherent nature or characteristics of an item or group of items may also render a matter material - for example, where the law or some other regulation requires it to be disclosed separately regardless of the amount involved. In addition to materiality by value and by nature, a matter may be material because of the context in which it occurs. For example, considering an item in relation to the overall view given by the accounts, the total of which it forms a part ; associated terms ; the corresponding amount in previous years. Audit evidence plays an important part in the auditor’s decision concerning the selection of issues and areas for audit and the nature, timing and extent of audit tests and procedures. Opinion The auditor’s written conclusions on a set of financial statements as the result of a financial or regularity audit. Performance Audit An audit of the economy, efficiency and effectiveness with which the audited entity uses its resources in carrying out its responsibilities. Planning Defining the objectives, setting policies and determining the nature, scope, extent and timing of the procedures and tests needed to achieve the objectives. Postulates Basic assumptions, consistent premises, logical principles and requirements which represent the general framework for developing auditing standards. Public Accountability The obligations of persons or entities, including public enterprises and corporations, entrusted with public resources to be answerable for the fiscal, managerial and programme responsibilities that have been conferred on them, and to report to those that have conferred these responsibilities on them. - 171 - Regularity Audit Attestation of financial accountability of accountable entities, involving examination and evaluation of financial records and expression of opinions on financial statements ; attestation of financial accountability of the government administration as a whole ; audit of financial systems and transactions, including an evaluation of compliance with applicable statutes and regulations ; audit of internal control and internal audit functions ; audit of the probity and propriety of administrative decisions taken within the audited entity ; and reporting of any other matters arising from or relating to the audit that the SAI considers should be disclosed. Report The auditor’s written opinion and other remarks on a set of financial statements as the result of a financial or regularity audit or the auditor’s findings on completion of a performance audit. Reporting Standards The framework for the auditor to report the results of the audit, including guidance on the form and content of the auditor’s report. Supervision An essential requirement in auditing which entails proper leadership, direction and control at all stages to ensure a competent, effective link between the activities, procedures and tests that are carried out and the aims to be achieved. Supreme Audit Institution (SAI) The public body of a State which, however designated, constituted or organised, exercises by virtue of law, the highest public auditing function of that State. - 172 -