Una prima ipotesi di programmazione degli audit basata sull’analisi dei rischi dei processi interni a cura di Alessandro Manetti - Vittorio Batistini Struttura di controllo interno dell’ARTEA 16/02/2019

I principi e le tecniche descritte non esauriscono quelle esistenti. Premessa Questa presentazione ha l’obiettivo di illustrare la metodologia seguita dal Servizio di Controllo interno dell’Artea per l’analisi dei rischi dei processi interni e per la programmazione degli audit. I principi e le tecniche descritte non esauriscono quelle esistenti. 16/02/2019

Cosa dobbiamo conoscere per programmare gli audit ? disponibilità di risorse umane, di beni strumentali e di tempo; indirizzi della Direzione; le attività svolte (processi interni); i rischi connessi allo svolgimento di tali attività (analisi dei rischi). 16/02/2019

Lo sviluppo dell’attività ANALISI DEI PROCESSI INTERNI ANALISI DEI RISCHI PROGRAMMAZIONE DEGLI AUDIT (obiettivo finale) 16/02/2019

L’analisi dei processi interni 16/02/2019

Analisi dei processi interni (1/5) Ha come obiettivo quello di approfondire la coscienza delle attività svolte dall’ente. Con essa si individuano: i processi interni; le fasi in cui sono scomponibili (WBS); i responsabili delle singole fasi; il process owner; le caratteristiche dei processi. 16/02/2019

Analisi dei processi interni (2/5) individuazione delle attività/processi (normativa, manuali operativi, mansionari, colloqui, ecc.); individuazione delle fasi di ciascun processo e del relativo responsabile (WBS); elaborazione della c.d. matrice dei processi interni. 16/02/2019

Analisi dei processi interni (3/5) La matrice dei processi interni 16/02/2019

Analisi dei processi interni (4/5) Per motivi di carattere organizzativo non è stato individuato il c.d. “process owner”. Inoltre, i processi interni sono stati distinti in 2 gruppi: “processi principali” (P); “processi di supporto” (S). 16/02/2019

Analisi dei processi interni (5/5) L’individuazione dei processi, delle rispettive fasi e dei responsabili di ciascuna fase è stata effettuata dal Servizio di Controllo interno in stretta collaborazione con il personale delle altre strutture dell’Agenzia. Per il momento sono stati individuati 34 processi (10 principali e 24 di supporto) 16/02/2019

L’analisi dei rischi 16/02/2019

Analisi dei rischi (1/19) E’ un processo che ha come obiettivo quello di: identificare delle potenziali minacce; quantificare i loro effetti; in modo da definire un livello di rischio per ciascun processo interno, anche al fine di supportare adeguatamente la programmazione dell’attività di auditing. 16/02/2019

Analisi dei rischi (2/19) È un’attività: autonoma; propedeutica; continua; che si affina nel corso del tempo; (obbligatoria). 16/02/2019

Analisi dei rischi (3/19) E’ un’attività AUTONOMA in quanto l’auditor DEVE mantenere una propria autonomia di giudizio. Ciò non esclude che si avvalga della collaborazione delle altre strutture dell’OPR, dalle quali ottiene importanti informazioni di carattere operativo. 16/02/2019

Analisi dei rischi (4/19) E’ un’attività PROPEDEUTICA allo svolgimento della funzione di revisione interna in quanto per massimizzare l’efficacia di un audit è necessario conoscere almeno: il livello di rischio dell’attività sottoposta a verifica; i fattori che ne minacciano il corretto svolgimento. 16/02/2019

Analisi dei rischi (5/19) E’ un’attività CONTINUA nel tempo in quanto sia i processi interni che le potenziali minacce sono in continua evoluzione. 16/02/2019

Analisi dei rischi (6/19) E’ un’attività che si AFFINA nel corso del tempo per effetto della crescente conoscenza dei processi e delle minacce da parte dell’auditor. 16/02/2019

Analisi dei rischi (7/19) E’ un’attività che può essere considerata OBBLIGATORIA per una corretta programmazione dell’attività del Servizio di Controllo interno. I risultati di tale analisi permettono di ottimizzare l’utilizzo delle risorse e di massimizzare l’efficacia dell’azione di revisione interna. 16/02/2019

Analisi dei rischi (8/19) Fasi operative dell’analisi dei rischi: individuazione delle minacce; valutazione delle minacce; valutazione del rischio. 16/02/2019

Analisi dei rischi (9/19) Nella fase di individuazione delle minacce si è cercato di capire come i seguenti fattori possono influenzare lo svolgimento dei processi: ambiente esterno; organizzazione interna; risorse umane; sistema dei controlli; (segue) 16/02/2019

Analisi dei rischi (10/19) carico di lavoro; manualistica; rilevanza delle operazioni; programmazione. In tal modo il Servizio di Controllo interno ha individuato e concordato con la Direzione dell’Agenzia 39 potenziali minacce. 16/02/2019

Analisi dei rischi (11/19) Alcuni esempi di minacce: 16/02/2019

Analisi dei rischi (12/19) Le minacce individuate, salvo rare eccezioni, hanno un’importanza diversa a seconda dei processi che ci si trova ad analizzare. Per questo motivo si è reso necessario “pesare” ciascuna minaccia in relazione a ciascun processo, attribuendo pesi compresi fra 1 e 2,5. 16/02/2019

Analisi dei rischi (13/19) Alcuni esempi: 16/02/2019

Analisi dei rischi (14/19) Al termine della “pesatura” delle minacce le informazioni a disposizione erano sufficienti per elaborare la c.d. “matrice dei rischi”, dove ciascun processo è stato abbinato alle rispettive minacce potenziali. 16/02/2019

Analisi dei rischi (15/19) La matrice dei rischi: 16/02/2019

Analisi dei rischi (16/19) Una volta “pesate” le minacce in relazione ad ogni singolo processo, si è cercato di valutarne l’intensità, attribuendo a ciascuna un valore compreso fra 1 e 4. 16/02/2019

Analisi dei rischi (17/19) La matrice dei rischi: 16/02/2019

Analisi dei rischi (18/19) Ultimata la fase precedente abbiamo potuto calcolare il rischio medio ponderato (RMP) di ciascun processo (facendo la media ponderata delle intensità delle minacce che lo riguardano). 16/02/2019

Analisi dei rischi (19/19) La matrice dei rischi completa: 16/02/2019

La programmazione 16/02/2019

Programmazione (1/3) Una volta determinato il RMP di ciascun processo è stato possibile abbinare a tale rischio una frequenza degli audit. Esempio: 16/02/2019

Programmazione (2/3) In questo modo abbiamo definito un primo programma degli audit da effettuare nel corso del 2003. Attualmente, il Servizio di Controllo interno sta verificando la fattibilità di tale programma in rapporto alle risorse disponibili e agli indirizzi della Direzione. Al termine della verifica il programma, opportunamente integrato, prenderà il nome di “Agenda annuale dei controlli” 16/02/2019

dell’Agenda pluriennale dei controlli. Programmazione (3/3) Seguendo lo stesso iter, nei prossimi mesi sarà possibile definire un programma quinquennale degli audit che porterà all’adozione dell’Agenda pluriennale dei controlli. 16/02/2019

Una raccomandazione: Gli strumenti di programmazione devono essere flessibili, quindi deve essere possibile apportare loro tutte le variazioni ritenute necessarie in base ai risultati delle analisi dei rischi successive alla prima. 16/02/2019

Alcuni vantaggi del metodo adottato adozione della logica per processi, anziché di quella per funzioni; approfondimento della conoscenza dell’attività dell’OPR; ordinamento dei processi in base al RMP; documentazione dell’attività; impostazione dell’auditing per processi; punto di partenza per l’analisi dei rischi nei singoli audit. 16/02/2019

Alcuni svantaggi del metodo adottato necessità iniziale di almeno 6 mesi di lavoro; necessità di continui aggiornamenti; l’auditor deve avere una visione a 360° dell’attività dell’OPR; si basa su delle “valutazioni” e su nessun elemento oggettivo (vero solo in fase di start-up). 16/02/2019

Per ulteriori chiarimenti: Alessandro MANETTI Agenzia Regionale Toscana per le Erogazioni in Agricoltura (ARTEA) Tel. 055 324 18 22 alessandro.manetti@artea.toscana.it 16/02/2019