Modulo Sistemi Informativi Regione Puglia Attività di Audit in fase di chiusura della programmazione 2000-2006 e nella programmazione 2007-2013 Esperienze a confronto Bari 10 -11 giugno 2010 L’Audit di Sistema Modulo Sistemi Informativi Mario Vella – Carla Carlucci UVER – Unità di Verifica degli Investimenti Pubblici Dipartimento per lo sviluppo e la coesione economica Ministero dello Sviluppo Economico
L’Audit di Sistema Modulo Sistemi Informativi I requisiti comunitari per la verifica dei sistemi informativi La metodologia UVER Alcuni spunti dalle esperienze di audit dell’UVER In allegato i contenuti delle check list dei sistemi informativi
I requisiti per la verifica dei sistemi informativi Reg. CE 1083/2006 Art. 58d Art. 60c Reg. CE 1828/2006 Art. 41.1 Allegato III COCOF. Key requirement 6 Sistemi contabili, di monitoraggio e di reporting finanziario affidabili e organizzati in forma computerizzata Criterio 21: Esistenza di sistemi computerizzati capaci di fornire informazioni affidabili e rilevanti (procedure che assicurino il mantenimento del sistema, la sicurezza e l’integrità dei dati, e garantiscano che il sistema fornisca tutte le informazioni richieste dall’Allegato III del Reg 1828/2006) Art. 58d. I sistemi di gestione e di controllo dei programmi operativi stabiliti dagli Stati membri prevedono: sistemi di contabilità, sorveglianza e informativa finanziaria informatizzati. Art. 60c. L’Autorità di Gestione è tenuta a garantire l’esistenza di un sistema informatizzato di registrazione e conservazione dei dati contabili relativi a ciascuna operazione svolta nell’ambito del programma operativo, nonché la raccolta dei dati relativi all’attuazione necessari per la gestione finanziaria, la sorveglianza, le verifiche, gli audit e la valutazione. Art. 14.1. I dati contabili relativi alle operazioni e i dati riguardanti l’attuazione di cui all’art. 60c del Reg. CE 1083/2006 comprendono le informazioni di cui all’allegato III del presente regolamento. Le autorità di gestione, di certificazione e di audit nonché gli organismi di cui all’art. 62.3 del reg. CE 1083/2006 hanno accesso a dette informazioni. Allegato III. Dati sulle operazioni (conformemente alla decisione di approvazione, se del caso modificata). Spese dichiarate per l’operazione
L’esperienza dell’UVER (1) L’UVER è autorità di controllo/Audit su 7 programmi, per un valore complessivo di oltre 10 mld di euro L’Uver affronta continuamente il problema dell’affidabilità dei dati di monitoraggio, in quanto utilizza dati provenienti da altri sistemi per l’attività di verifica, produce nuovi dati che rispondono alle proprie necessità di approfondimento, e contemporaneamente in taluni casi si trova a rettificare i dati ricevuti dagli altri sistemi nel momento in cui li confronta con le evidenze che emergono dalle verifiche. Nel periodo 2001-2003 il sistema ha mostrato evidenti lacune, in particolare rispetto a: tempi di chiusura dei monitoraggi semestrali attendibilità delle informazioni inadeguatezza delle procedure e delle strutture organizzative sistemi informativi di supporto Il Progetto Monitoraggio nasce nel 2003 per superare queste criticità e consentire alle Amministrazioni di raggiungere - in modo efficace ed efficiente - gli obiettivi strategici del monitoraggio: conoscere lo stato di avanzamento degli interventi inseriti negli APQ individuare le criticità che rallentano l'attuazione degli interventi consentire agli organismi istituzionali di definire le eventuali azioni correttive e nel complesso di valutare il progetto ed il programma
L’esperienza dell’UVER (2) Attenzione alla affidabilità e completezza del dato Attenzione alla correttezza strutturale e formale del dato La pluriennale esperienza dell’UVER sia come utilizzatore dei dati di monitoraggio altrui che come produttore di dati provenienti dalle verifiche in loco ha favorito il diffondersi all’interno dell’Unità di una particolare sensibilità verso la qualità dei dati di monitoraggio, intendendo per qualità sia l’affidabilità e la completezza dell’informazione sia la correttezza strutturale e formale (i dati cioè devono essere forniti con una struttura elaborabile e con contenuti non equivocabili)
L’approccio dell’UVER nell’audit dei sistemi di monitoraggio Centralità del sistema di monitoraggio Superamento dell’ottica CE Audit dei sistemi di monitoraggio Monitoraggio come strumento efficace di controllo dei processi Verifica esistenza di una cultura del monitoraggio Nella piena consapevolezza dell’importanza di un monitoraggio attento delle attività, nell’audit dei sistemi di monitoraggio l’UVER propone un approccio che va al di là della verifica dei requisiti richiesti dalla CE, e pone al centro dell’attenzione il sistema di monitoraggio come strumento imprescindibile di controllo dei processi attuativi. Ciò è importante sia per l’amministrazione sia per i soggetti esterni che effettuano i controlli e che necessitano di informazioni affidabili, complete e ben strutturate. È parte integrante dell’audit la verifica della diffusione presso l’amministrazione di una cultura del monitoraggio attraverso la ricerca di una architettura e di elementi del sistema che ne testimonino le potenzialità di utilizzo non solo al fine di rispondere alle richieste CE. Anche ai fini dell’audit
L’approccio dell’UVER: la check list Architettura del sistema e interconnessioni Identificazione unità minima di rilevazione Altri aspetti: Dati Allegato III Dati di monitoraggio Dettagli contabili Dettagli finanziari Sicurezza Manualistica Ecc. ….. Classificazioni e codifiche ….. ….. Registrazione audit sulle operazioni Controlli automatici, controlli di qualità ….. Nella check list sono riportati gli elementi caratterizzanti l’approccio Uver. Oltre alla verifica dei requisiti minimi attesi dal sistema di monitoraggio (rispondenza ai regolamenti, sicurezza dei dati, ecc.) si pone l’attenzione: sull’architettura del sistema (importante in particolare nei POIN) e sulle interconnessioni tra i vari sistemi che la definiscono: qui è importante che il processo di attuazione delle operazioni sia chiaramente definito e facilmente ricostruibile; sulle modalità di identificazione dell’unità minima di rilevazione: deve esistere una unità minima di rilevazione ed essere univocamente identificata; sulle diverse modalità di classificazione e codifica delle operazioni: importante anche ai fini di analisi e studio; sulla registrazione di tutti i controlli effettuati sulle operazioni dall’amministrazione e da organismi esterni ad essa, nonché degli esisti di tali controlli: fondamentale ai fini di tracciare un profilo delle operazioni problematiche e di verificare la performance del sistema dei controlli nel suo complesso; sulla presenza di controlli automatici generati dal sistema sui dati inseriti e di controlli di qualità sulle operazioni (numerosità operazioni aggiornate, completezza delle informazioni pervenute, variazioni di stato delle operazioni, ecc): importante affinché il monitoraggio sia operativo; Sulla presenza di indicatori di criticità delle operazioni generati automaticamente dal sistema: fondamentale se si vuole evitare che la qualità del monitoraggio dipenda dalla coscienziosità del funzionario. ….. ….. Indicatori di criticità delle operazioni
L’Audit dei Sistemi di Monitoraggio Alcune esperienze recenti PON Ricerca e Competitività; POIN Attrattori Culturali, naturali e turismo; POIN Energie rinnovabili e risparmio energetico. Alla data della verifica, è stato possibile dare solo una valutazione di massima dei sistemi, in considerazione dello stato di avanzamento degli stessi
PON Ricerca e Competitività MISE SGP Sistemi gestione progetti OI Sistema gestione AdG SIRIO Sistemi gestione progetti OI Sistema gestione progetti OI MIUR Archivio documentale Sistema contabile OI Sistema contabile AdG Punti di debolezza: Complessità Collegamento Sirio-SGP in fase di rodaggio (ins. manuale e automatico) In fase di implementazione procedura colloquio Sistemi gestione OI - SGP Punti di forza: Il sistema nel suo complesso è stato disegnato nel SiGeCo; L’architettura minimizza i punti di collegamento.
POIN Attrattori Culturali, naturali e turismo Sistema gestione POIN Sistema gestione POR Campania SMILE Sistema OI Regione Sicilia Sistema OI Regione Calabria Sistema OI Ministero Ambiente Sistema OI Ministero Beni Culturali Sistema OI Regione Puglia Punti di debolezza: Il Sistema SMILE non è stato ancora implementato per le esigenze del POIN Non è chiaro quale/i sistema/i useranno i diversi organismi intermedi e, se diverso/i da SMILE, come e se si interfacceranno con SMILE Punti di forza (?): Esiste il sistema SMILE presso la Regione Campania
POIN Energie rinnovabili e risparmio energetico SGP AdG Regione Puglia MATTM/DGRAS, MISE/DGENRE MISE DGIAI Regione Puglia Sistema gestione OI MIR Sistema gestione AdC MISE Punti di debolezza: Ancora da implementare procedura colloquio MIR - SGP In fase di implementazione procedura colloquio Sistema gestione OI - SGP Punti di forza: Potenzialmente, ridotta complessità.
MODULO SISTEMA INFORMATIVO GESTIONALE E PROCEDURA DI MONITORAGGIO CHECK LIST SISTEMI Allegato MODULO SISTEMA INFORMATIVO GESTIONALE E PROCEDURA DI MONITORAGGIO
CHECK LIST SISTEMI: Struttura del modulo Sistema informativo gestionale e procedura di monitoraggio Configurazione sistema Unità minima di rilevazione Registrazione dati Allegato III Reg. 1828/2006 Classificazioni e codifiche Registrazione dati di monitoraggio Tracciabilità delle informazioni contabili e finanziarie Registrazione controlli sulle operazioni Controlli previsti nel sistema informativo Modello logico procedurale di rilevazione dei dati Caratterizzazione dei dati Sicurezza Prestazioni del sistema Manualistica Modalità di individuazione progetti critici attraverso indicatori del sistema informatico
Configurazione sistema 1/2 L’AdG/AdC/OI utilizza esclusivamente il sistema BDU Se No, L’AdG/AdC/OI utilizza un sistema gestionale unico del Programma? L’AdG/AdC/OI dispone di un proprio sistema di monitoraggio? Descrivere configurazione sistema: Sistema Oggetto* Attuazione Dichiarazione di spesa Monitoraggio Reportistica ufficiale Estrazione campione BDU Gestionale Unico Gestionale Proprio (*) 1) dedicato al singolo obiettivo operativo 2) dedicato a più obiettivi operativi interni al Programma 3) dedicato anche ad obiettivi (finanziamenti) esterni al programma
Configurazione sistema 2/2 Interconnessione tra i sistemi (tramite protocollo di colloquio) : Sistema BDU Gestionale Unico Gestionale Proprio La rilevazione presso i beneficiari finali dei dati di monitoraggio delle operazioni avviene mediante : Il sistema viene alimentato con dati rilevati da altri sistemi? La trasmissione dei dati di monitoraggio al sistema nazionale avviene mediante: Su
2. Unità di rilevazione Su Esiste una struttura gerarchica dei codici per l’individuazione delle unità da quella “madre” a quella minima? Descrivere struttura ____________________________________________________________________________________________________________________________ Le unità sono rilevate in modo omogeneo in tutto il sistema? Dare definizione/i Le unità sono univocamente identificate nel sistema? Su
3. Registrazione dati Allegato III Reg. 1828/2006 - Vengono registrati i dati anagrafici delle operazioni richiesti dall’Allegato III Sezione A Reg. 1828/2006 (Dati sulle operazioni)? - I dati anagrafici sono registrati in modo completo ed esaustivo? - Vengono registrati i dati contabili delle operazioni richiesti dall’Allegato III Sezione B Reg. 1828/2006 (Spese dichiarate per l’operazione)? - I dati contabili sono registrati in modo completo ed esaustivo? Su
4. Classificazioni e codifiche All’interno del sistema informatico sono presenti le seguenti classificazioni? Tipologia di operazione Codifica univoca dei microdati (operazioni) CUP Codice univoco interno al sistema Altro: ________________________________ Tipologia di aiuti Obiettivo specifico QSN Codice settore prevalente Temi prioritari Classificazione ATECO per operazioni non di aiuti Classificazione ATECO per operazioni Aiuti Attività economica Dimensione territoriale Codifica territoriale ISTAT Tipo Finanziamento Codici ORFEO (solo FSE) Su
5. Registrazione dati di monitoraggio All’interno del sistema informatico vengono registrati dati di monitoraggio per? Impegni Pagamenti Indicatori fisici (risultato, realizzazione) - Previsti N._________ - Realizzati N._________ Indicatori procedurali Su
6. Tracciabilità delle informazioni contabili e finanziarie All’interno del sistema informatico vengono registrati dati di monitoraggio per: PAGAMENTI - Estremi documenti giustificativi contabili - Archiviazione ottica dei documenti giustificativi contabili - P.IVA/CF del Destinatario - Importo - Importo suddiviso per quote di finanziamento - Importo suddiviso per quote di ammissibilità Dati informativi quietanza Riferimento univoco all’operazione Riferimento univoco alla domanda di pagamento relativa - Riferimento univoco al periodo di certificazione - Riferimento all’atto di impegno relativo Registrazione dei recuperi, dei tagli e delle sospensioni IMPEGNI - giuridicamente vincolanti - Riferimento univoco all’operazione - giuridicamente vincolanti - Estremi dell’Atto (Data, Numero, Tipo) - giuridicamente vincolanti - Importo giuridicamente vincolanti - Importo suddiviso per quote di finanziamento OPERAZIONE registrazione dell’eventuale revoca e relativa motivazione indicazione informazioni OLAF Su
Se SI alla modalità 2, indicare quali altri controlli 7. Registrazione controlli sulle operazioni Il sistema informatico registra la check list dei controlli? Il sistema informatico registra gli esiti dei seguenti controlli? - controlli di primo livello - altri controlli Se SI alla modalità 2, indicare quali altri controlli __________________________________________________________________________________________ Il sistema informatico registra le irregolarità rilevate: - da tutti i soggetti con potere di controllo - solo da: _________________________________________________________________________________ Su
8. Controlli previsti nel sistema informativo Nel sistema informativo gestionale sono previsti i seguenti controlli? Controlli automatici sui dati anagrafici del progetto Controlli automatici sui dati finanziari del progetto Controlli automatici sui dati fisici del progetto Controlli automatici sui dati procedurali del progetto Altri controlli di coerenza tra i dati Controlli sui dati aggregati (per misura, per asse, ecc.) Il sistema informativo prevede il mantenimento dei seguenti controlli di qualità? Variazioni di stato anagrafico dell’unità rilevata Numero schede pervenute Numero schede compilate parzialmente Se NO, tali informazioni vengono comunque registrate su altro supporto? Cartaceo Altro Su
9. Modello logico procedurale di rilevazione dei dati Il sistema informatico, prevede che : - il processo di rilevazione avvenga ad intervalli predefiniti? - sia presente un sistema di validazione/consolidamento dei dati? - sia impossibile modificare/eliminare dati consolidati? - sia possibile l’accodamento dei dati in aggiornamento? - sia possibile la conservazione dei dati storici? - sia possibile la rielaborazione di dati storici? Su
10. Caratterizzazione dei dati Il sistema informatico correda i dati raccolti delle seguenti informazioni? Utente che ha inserito il dato Data e ora di inserimento Data di aggiornamento Stato di validazione/consolidamento Utente che ha validato/consolidato Data e ora di validazione/consolidamento Periodo di rilevazione relativo Su
11. Sicurezza Il sistema informatico è adeguatamente protetto dagli accessi indesiderati? Codice di accesso e password personalizzata per ciascun utente Autenticazione basata su firma digitale Protezione della trasmissione al sistema delle credenziali di accesso e della comunicazione dei dati mediante l’adozione di protocolli standard di sicurezza (ad es. SSL, HTTPS)? Assegnazione delle credenziali di accesso mediante identificazione certa dell’utente Archiviazione sicura dei codici di accesso per ciascun utente Registro (log) degli accessi Impossibilità di effettuare più accessi al sistema in contemporanea con la stessa utenza Test di verifica di sicurezza nelle procedure di collaudo del sistema Procedure pianificate di backup e recovery dei dati Registro (log) delle procedure di recovery effettuate I locali dove sono ospitati i server prevedono un sistema di sicurezza contro gli accessi indesiderati? L’archivio informatico dei dati gode di un sistema di sicurezza contro gli accessi indesiderati? Su
12. Prestazione del sistema Il sistema è sempre disponibile per l’inserimento e la lettura delle informazioni? Su
13. Manualistica È presente un sistema di manualistica a supporto dell’utilizzo del sistema da parte dei vari utenti? Se SI, esso prevede: Informazioni sul dominio delle risposte (insieme delle risposte possibili) Istruzioni procedurali Esempi di utilizzo Glossario Indicazioni sui controlli effettuati sulle informazioni inserite Indicazioni sull’impiego delle informazioni inserite per scopi predefiniti (Report, indicatori, ecc) Su
14. Modalità di individuazione progetti critici attraverso indicatori del sistema informatico Per individuare i progetti critici esiste una procedura di generazione automatica di indicatori di criticità? Quali sono i criteri utilizzati per giudicare critico un progetto? Mancato invio della scheda di monitoraggio Incompletezze ripetute nella scheda di monitoraggio Ritardi ripetuti nell’invio della scheda di monitoraggio Mancata rendicontazione di spesa Indicatori finanziari di realizzazione Indicatori fisici di realizzazione Indicatori procedurali (cronoprogramma) Risultati di precedenti controlli Segnalazione del beneficiario finale Altro (indicare) Su