Quaderno del 28 giugno 2013

Per quanto riguarda gli audit di revisione e ri-esecuzione del lavoro svolto dall'AdA, l’obiettivo è quello di ottenere una ragionevole garanzia che il lavoro effettuato dall’AdA sia conforme ai requisiti del Regolamento e di valutare il grado di affidabilità che la CE può attribuire ai risultati del lavoro dell'AdA presentati nel RAC e nel relativo parere annuale.
In questo tipo di audit, che ha interessato complessivamente sette amministrazioni, è coinvolta direttamente l’AdA e i lavori si svolgono in due fasi, di una settimana ciascuna. La prima fase è di revisione presso l’AdA delle attività svolte, mentre la seconda fase è di ri-esecuzione dei controlli sulle operazioni, in loco presso il beneficiario, alla quale normalmente Tecnostruttura non prende parte.

Nella prima settimana, due o tre giornate sono generalmente dedicate all’esame della struttura dell’AdA, al RAC e alle modalità dell’audit di sistema, mentre il tempo restante è dedicato all’audit delle operazioni.
In particolare, primo tema di audit è la struttura di controllo, in particolare l’organico, le responsabilità, il rispetto degli standard di indipendenza, le competenze e la diligenza professionale. Oggetto di particolare interesse è il confronto con quanto indicato nella Strategia di Audit e gli eventuali cambiamenti organizzativi intervenuti, come ad esempio l’ulteriore assegnazione di personale in determinate funzioni o nuovi assetti amministrativi della Regione.
Se presente, è oggetto di audit anche l’assistenza tecnica dell’AdA, in particolare le modalità di affidamento, l’indipendenza, l’organizzazione interna e rispetto all’AdA, le diverse competenze e le attività.
Normalmente la CE chiede poi la presentazione delle attività svolte dopo l'invio dell’ultimo RAC ed il calendario per l’anno in corso e gli anni seguenti, ad esempio il piano delle attività dei mesi immediatamente successivi, il campionamento, gli audit delle operazioni, gli audit di sistema, la tempistica dei follow-up, le attività finalizzate al RAC.
Un ultimo tema di questa prima fase è la presentazione e la verifica del sistema informativo per la parte delle attività dell'AdA. tema che viene controllato anche in diverse fasi dell’audit, ad esempio anche attraverso la visione dei fascicoli di progetto. Oltre a prendere visione della struttura generale, della profilatura degli utenti, delle applicazioni e delle informazioni disponibili, soprattutto sui controlli di I livello e dell’AdC, la CE in alcuni casi ha preso visione anche dei manuali e dei possibili sviluppi del sistema.

Un secondo tema di audit è il RAC e il relativo parere, attraverso l’analisi delle eventuali raccomandazioni/osservazioni formulate dalla CE al RAC precedente, con attenzione alla tempistica, alle modalità operative, alle attività svolte a seguito delle osservazioni, e all’eventuale coinvolgimento con le altre Autorità.
Nel corso di alcuni audit, la CE, prendendo a riferimento una raccomandazione formulata dall’AdA, ha verificato attraverso la documentazione a disposizione il rispetto della tempistica seguita per i follow up; così ad esempio, se una raccomandazione nel RAC sul Sistema informativo richiedeva di essere seguita entro il mese di marzo, è stato importante potere trovare riscontro nei verbali e nei rapporti dell’AdA come tale raccomandazione fosse stata effettivamente seguita entro tale data.

Per quanto riguarda i temi successivi, audit di sistema e audit delle operazioni, il controllo verte sostanzialmente su due ambiti, il primo più teorico, dove la CE approfondisce le procedure, e il secondo più pratico dove la CE prende visione dell’effettiva realizzazione delle attività, verificando il riscontro tra le procedure ed i dossier di audit.

In particolare, rispetto al terzo tema, audit di sistema, l’esame verte sulle procedure per l'esecuzione degli audit di sistema (es. manualistica e strumenti adottati, fasi della verifica, pianificazione, avvio, esecuzione, contraddittorio e chiusura). Dopo una presentazione più teorica delle procedure, l’audit della CE prosegue con l’esame di alcuni dossier dei rapporti degli audit di sistema effettuati, sia sull’AdG che sull’AdC e in alcuni casi anche sugli Organismi intermedi, ed il follow up dato alle irregolarità identificate.
Nel corso degli audit, si è osservata una forte attenzione da parte della CE al rispetto dei tempi prefissati, alle procedure di supervisione del lavoro (quality review) sia interna sia dell’operato dell’assistenza tecnica ed è stata apprezzata la buona ed ordinata tenuta dei fascicoli.
In generale la CE raccoglie una serie di documenti (dalla lettera di notifica di annuncio dell’audit fino alla lettera di trasmissione del rapporto finale) da cui è possibile verificare le modalità e i tempi di gestione delle irregolarità e delle raccomandazioni a livello di Sigeco, verificando quindi sia le note in uscita dall’AdA sia le note prodotte dall’AdG e dall’AdC, nonché dagli Organismi intermedi.

Quarto tema di audit sono gli audit delle operazioni, in particolare le procedure per l’estrazione del campione (la CE prende in esame il modello di riferimento indicato nella Strategia di audit aggiornata, alcuni elementi di dettaglio ovvero il livello di confidenza e di affidabilità, tasso di errore previsto, numerosità campionaria, ecc. e alcuni elementi più procedurali come il verbale di campionamento) e le procedure per l’esecuzione degli audit sulle operazioni (la CE verifica il rispetto delle previsioni contenute nella manualistica dell’AdA ripercorrendo le fasi della verifica delle operazioni, le procedura previste per il follow up, con attenzione all’eventuale funzioni assegnate al soggetto esterno, assistenza tecnica).
La CE prende visione inoltre delle procedure per il trattamento delle irregolarità, ad esempio modalità e tempi di gestione e controllo delle irregolarità, presso il Sistema informativo, strumenti a supporto dell’AdA.
Prima di passare all’esame di alcuni dossier dei controlli delle operazioni estratte, la CE verifica inoltre i dati inclusi nel RAC relativi al campione delle operazioni, alle irregolarità, al calcolo del tasso di errore e alla relativa proiezione, e ripercorre le modalità seguite dall’AdA per la loro determinazione.
L’audit della CE prosegue con l’esame di alcuni dossier dei rapporti degli audit delle operazioni sia a livello di Sistema informativo sia a livello di gestione dei dossier presso l’AdA.
Così come per gli audit sui sistemi, anche in questo caso la CE raccoglie una serie di informazioni con relativa evidenza documentale sul buon funzionamento del Sigeco e quindi dei rapporti fra le tre autorità, i beneficiari, gli Organismi intermedi.
Normalmente la CE richiede anche in questo caso una serie di documenti quali ad esempio la lettera di notifica di annuncio dell’audit, il verbale di verifica in loco firmato dall’organismo controllato e dall’auditor, la documentazione raccolta dall’AdA presso l’organismo controllato a supporto della verifica condotta, il rapporto provvisorio con lettera di trasmissione dello stesso all’organismo controllato, la check list compilata, le eventuali osservazioni formulate dall’organismo controllato in fase di contraddittorio, la lettera di richiamo (se applicabile), il rapporto finale con relativa lettera di trasmissione, ecc.

Nella seconda settimana degli audit di revisione e ri-esecuzione del lavoro svolto dall'AdA, la CE ri-esegue gli audit sulle operazioni presso i beneficiari e si fa accompagnare dalla propria assistenza tecnica, che viene scelta tra alcune società di revisione contabile, precedentemente selezionate, sulla base dell’indipendenza e alla terzietà nei confronti della Regione controllata.
Le operazioni oggetto di controllo (generalmente otto) sono estratte in maniera casuale dall’elenco delle operazioni che sono state oggetto di controllo dell’AdA e che sono riportate nell’ultimo RAC. Così ad esempio, se la CE effettua questo tipo di controllo nel marzo del 2012, il RAC preso a riferimento per la ri-esecuzione è quello trasmesso alla CE nel dicembre del 2011, e il periodo di audit va dal 1° luglio 2010 al 30 giugno 2011. Le operazioni controllate saranno quindi quelle estratte dalla certificazione al 31 dicembre 2010.
Una volta presso il beneficiario, il team di audit, solitamente composto da un rappresentante della CE e un revisore dell’assistenza tecnica, verifica sia le procedure seguite (ad esempio la selezione degli allievi e i relativi tempi, i controlli effettuati dal I livello, l’avanzamento delle attività, ecc.) che le spese effettivamente sostenute e la relativa documentazione a supporto.