• Non ci sono risultati.

Sistemi Informativi nelle Pubbliche Amministrazioni. Case study: Comune di Blera

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Sistemi Informativi nelle Pubbliche Amministrazioni. Case study: Comune di Blera"

Copied!
101
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 101 pagine )

Testo completo

(1)

SISTEMA INFORMATIVO NELLE PUBBLICHE

AMMINISTRAZIONI

Case Study: Comune di Blera

RELATORE CANDIDATO Prof. Gianpiero Renato Conti Gioia Galli

(2)

1 Sommario

INTRODUZIONE ... 2

1. STRUTTURA DEL SISTEMA INFORMATIVO ... 4

1.1 GLI ARCHIVI DEL SISTEMA INFORMATIVO ... 6

1.1.1 ARCHIVI TABELLE ... 9

1.1.2 ARCHIVI ANAGRAFICI... 11

1.1.3 INVENTARIO (ARCHIVIO CESPITI) ... 12

1.1.4 ARCHIVI FORNITORI/BENEFICIARI ... 16

1.2 CONSULTAZIONE DEGLI ARCHIVI ... 18

1.3 IL PIANO INTEGRATO DEI CONTI ... 21

1.3 CONTROLLI E AUTORIZZAZIONI ... 23

1.4 FRODE INFORMATICA ... 26

1.4.1 VULNERABILITA' DEL SISTEMA ... 28

1.4.2 POLITICA DELLA SICUREZZA INFORMATICA ... 29

1.5 LA VALUTAZIONE DEI SISTEMI INFORMATIVI GESTIONALI ... 33

1.5.1 LA VALUTAZIONE FUNZIONALE ... 34

1.5.2 LA VALUTAZIONE ECONOMICA ... 38

2. I NUOVI OBBLIGHI NORMATIVI ... 39

2.1 DECRETO LEGISLATIVO N. 118/2011: ARMONIZZAZIONE DEI SISTEMI CONTABILI ... 41

2.2 PRINCIPI CONTABILI... 46

2.3 COLLEGIO DEI REVISORI DEI CONTI ... 63

2.3.1 NOMINA DEL COLLEGIO DEI REVISORI DEI CONTI ... 63

2.3.2 I CONTROLLI NEGLI ENTI LOCALI ... 66

1.3.3 RESPONSABILITA’ DEL REVISOSRE NEGLI ENTI LOCALI ... 70

3. SISTEMA INFORMATIVO COMUNE DI BLERA ... 71

3.1 CONTROLLI DEI FLUSSI DOCUMENTALI ... 74

3.1.1 ATTI AMMINISTRATIVI COLLEGATI ALLA FUNZIONE FINANZIARIA ... 74

3.1.2 VERIFICA DI CASSA TRAMITE DOCUMENTI GENERATI DAL SISTEMA INFORMATIVO ... 77

3.1.3 CASE STUDY: VERIFICA DI CASSA COMUNE DI BLERA TERZO TRIMESTRE ... 79

3.2 CONTROLLO E MONITORAGGIO PATTO DI STABILITA’ INTERNO ... 84

3.2.1 CASE STUDY: SECONDO MONITORAGGIO PATTO DI STABILITA’ ... 85

3.3 CONTROLLO DEI BENI E SERVIZI ... 90

3.3.1 CASE STUDY: ACQUISTO STAMPANTI AD AGHI PER UFFICIO DEMOGRAFICO ... 93

(3)

2 INTRODUZIONE

Le tecnologie dell’informazione hanno cambiato il volto della nostra società introducendo nuove forme di comunicazione e penetrando in tutti i livelli e ambiti della nostra società non limitandosi ad influenzare i settori produttivi e commerciali. Questa rivoluzione non può non interessare anche le Pubbliche Amministrazioni per motivi sia di carattere interno alle stesse amministrazioni, che esterno, cioè relativi al rapporto tra pubbliche amministrazioni e società civile. Guardando all’interno degli enti locali, l’influenza delle tecnologie dell’informazione si concretizza in una serie di opportunità: 1. Snellimento dei procedimenti amministrativi e delle strutture organizzative, riduzione dei costi e destinazione delle risorse in eccesso per iniziative che oggi non possono essere portate avanti a causa della carenza di personale e degli investimenti necessari;

2. Riduzione dei tempi necessari all’espletamento dei servizi attraverso la rappresentazione, gestione e trasmissione elettronica delle informazioni;

3. Possibilità di integrare informazioni e servizi offerti da diverse pubbliche amministrazioni attraverso la Rete Unitaria della Pubblica Amministrazione (RUPA);

4. Possibilità di creare nuovi servizi non espletabili manualmente, quali, per esempio, i controlli integrati per la lotta all’evasione fiscale.

Lo sviluppo delle tecnologie informatiche e telematiche possono rendere possibile al singolo cittadino l’accesso ai servizi offerti da una pubblica amministrazione indipendentemente dalla sua localizzazione fisica e senza le limitazioni rappresentate dalla necessità di recarsi presso uffici pubblici negli orari previsti di apertura.

Il sistema informativo è lo strumento finalizzato all’utilizzo delle informazioni, allo scopo di una più consapevole e attenta gestione, interagisce con i processi, l’organizzazione e le procedure esistenti e con i soggetti – interni ed esterni - che operano, ai vari livelli, nell’attività dell’ente rappresentandone il tessuto connettivo. Tramite i suoi canali di comunicazione affluiscono tutte le informazioni indispensabili per una corretta attuazione dei processi decisionali, esecutivi e di controllo, così come dei relativi sottoprocessi. Il sistema informativo può essere definito come un insieme di elementi interconnessi che raccolgono, ricercano, elaborano, memorizzano e

(4)

3

distribuiscono dati trasformandoli in informazioni utili per supportare le attività decisionali e di controllo di un ente. L’efficacia di una decisione è condizionata dalla tempestività con la quale vengono rese disponibili le informazioni che alimentano il processo decisionale stesso ed è necessario evidenziare che le informazioni devono essere rese disponibili in un intervallo di tempo accettabile in relazione alla loro natura ed al livello decisionale interessato. Il sistema informativo, deve avere la massima flessibilità, al fine di adattarsi rapidamente al mutare delle esigenze informative e delle tecniche di produzione e distribuzione delle informazioni. Altra caratteristica estremamente importante di un sistema informativo è quella relativa all’affidabilità, ovvero la corrispondenza tra le informazioni sui fenomeni ed i fenomeni reali, dunque l’accuratezza dei dati forniti. Deve essere garantita l’accettabilità del sistema, nelle sue procedure e nei suoi flussi informativi, da parte degli utenti e di tutti i soggetti coinvolti nel trattamento e nella comunicazione delle informazioni: l’accettabilità da parte degli utenti, costituisce uno degli ostacoli principali da rimuovere per lo sviluppo dei sistemi informativi. Gli elementi costitutivi del sistema informativo sono:

 l’insieme delle informazioni predisposte per soddisfare le esigenze conoscitive interne ed esterne;

 il complesso delle procedure (metodologie e procedimenti) per la realizzazione e trasmissione di tali flussi informativi;

 l’insieme dei mezzi tecnici e delle risorse umane alla base del processo;

 l’insieme dei dati raccolti, organizzati e strutturati nei data-base, che descrivono in origine la realtà aziendale e ambientale.

Un sistema informativo deve pertanto essere costituito da elementi che interagiscono al fine di raggiungere l’obiettivo di rendere disponibili, ai soggetti destinatari, le informazioni giuste nel momento giusto.

(5)

4 1. STRUTTURA DEL SISTEMA INFORMATIVO

Un sistema informativo è una combinazione di risorse, umane e materiali, e di procedure organizzate per la raccolta, l’archiviazione, l’elaborazione e la trasmissione delle informazioni necessarie allo svolgimento delle attività.

Alla base della struttura del sistema informativo si trova un insieme di moduli integrati, ciascuno dei quali è dedicato ad una specifica funzione. Tali moduli tagliano trasversalmente i processi dell’ente ed al centro del sistema è collocato il modulo di contabilità generale. Per capire l'architettura del sistema informativo si deve immaginare un macrosistema dove vengono definiti gli elementi base che coordinano poi la gestione e l'integrazione dei vari moduli del software gestionale. Il modulo contabilità, oltre a gestire la stesura del bilancio, fornisce il supporto necessario per la tenuta dei registri IVA e la gestione delle partite aperte con fornitori e i beneficiari che sono fondamentali per il controllo. All'interno di ogni modulo i dati vengono memorizzati negli archivi e le interrogazioni, query, per la creazione delle informazioni avvengono utilizzando il sistema dei codici e delle causali. Ad ogni elemento di un archivio viene associato un codice che lo distingue da un altro e l'utilizzo della causale serve per la creazione di categorie omogenee all'interno delle quali viene effettuata la ricerca.

Nella fase di start up del sistema informativo vengono effettuate le seguenti operazioni:  Definizione struttura base, moduli attivi e poteri di accesso (anagrafica dell'ente);  (Definizione del piano dei conti)

 Caricamento anagrafiche c/c, prodotti, beneficiari, fornitori;  Creazioni di causali e modelli contabili predefiniti;

 Creazione registro beni ammortizzabili;

 Formazione del personale, al fine di formare adeguatamente gli utenti del sistema con i relativi manuali di riferimento.

All'interno del software sono sempre presenti nella toolbar, barra strumenti, gli help in linea, ovvero un insieme di aiuti che possono essere richiesti dagli utenti del sistema in presenza di diverse situazioni:

(6)

5

 Scarsa conoscenza del programma da parte dell'utente che necessita di una guida per una corretta applicazione delle procedure: il soggetto si trova di fronte a una schermata che non è in grado di compilare e cerca un esempio che lo aiuti nella risoluzione del problema;

 Modifica dei parametri fondamentali per l'esecuzione di determinate procedure. In questi casi l'ente desidera risposte precise e veloci, al fine di non richiedere l'intervento di un tecnico.

Per quanto concerne la compilazione dei campi errati, il software fornisce un messaggio di errore, esaustivo e dettagliato che permette all'utente di correggere immediatamente la digitazione errata. I gestionali generalmente propongono l'accesso agli aiuti dalla finestra dove si presenta il problema, facendo sì che l'utente trovi immediatamente la voce ricercata.

Per la modifica dei parametri fondamentali per l'esecuzione di determinate procedure, l'aiuto degli help in linea non è sufficiente e si deve, allora, ricorrere all'assistenza. Tali servizi si sviluppano generalmente su tre livelli:

1. Assistenza diretta con intervento del tecnico in sede; 2. Assistenza telefonica;

3. Assistenza via internet mediante il supporto della posta elettronica;

4. Assistenza mediante connessione remota al sistema informativo da parte della software house.

L'assistenza telefonica è fornita mediante l'ausilio di un call center, dove sono presenti tecnici in grado di fornire un supporto diretto all'utente. L'utilizzo di internet è solitamente riservato alla richiesta di informazioni e per l'invio di file o programmi di aggiornamento. Sia internet che il call center rappresentano il primo approccio all'insorgere del problema e nel caso non sia risolvibile dall'utente si procede con l’assistenza mediante connessione remota. Gli help in linea presentano solitamente due tipi di ricerca: uno per indice di argomenti e l'altro in base a chiavi di ricerca che vengono digitate dall'utente.

(7)

6 1.1 GLI ARCHIVI DEL SISTEMA INFORMATIVO

Un archivio viene definito come una raccolta organizzata di informazioni, che possono essere elaborate in modo manuale generando archivi cartacei, oppure automatico nel caso di elaborazione tramite calcolatori. Ogni record, insieme di elementi costituenti l’archivio, è identificato per mezzo della sua posizione che rappresenta il suo indirizzo logico. Gli archivi memorizzati su memoria di massa prendono il nome di FILE: struttura fisica di memoria in cui è possibile memorizzare informazioni sotto forma di sequenza di byte (file di byte) o sequenza di record (file di record).

Gli archivi svolgono principalmente una funzione di custodia dei dati al fine di renderli disponibili per le successive elaborazioni. Il dato elementare, ossia la descrizione che rappresenta oggettivamente il fenomeno osservato, viene assimilato e convertito dalle procedure del sistema in un dato sintetico, già finalizzato ad un determinato impiego decisionale. Il dato elementare descrive interamente il fenomeno che lo ha generato, è oggettivo, dotato della massima capacità informativa, mentre il dato sintetico è più facile da gestire, in quanto indirizzato specificatamente verso un determinato impiego decisionale, sebbene con un potenziale informativo ridotto rispetto al primo.

I dati sono memorizzati negli archivi dopo ogni fase di elaborazione e successivamente messi in relazione e interpretati nell'ambito di un contesto, in modo da avere un significato e generare l'informazione richiesta. L'informazione generata si fonda su un dato di sintesi e non è più oggettiva ma soggettiva, in quanto inserita in uno specifico processo decisionale.

La creazione di un archivio richiede la definizione iniziale delle seguenti specifiche:

 nome dell'archivio per identificarlo ricordandone il contenuto; per esempio "archivio clienti", "archivio anagrafico";

 tracciato record;

 supporto da usare per archiviare i dati;

 dimensione massima dell'archivio;

 il modo in cui i dati sono strutturati o collegati tra loro, ovvero l'organizzazione dell'archivio.

La fase di analisi è necessaria per la realizzazione di un'applicazione informatica ed è in questa fase che si definiscono le suddette specifiche, mentre nella seguente operazione

(8)

7

di realizzazione fisica dell'archivio, si possono sistemare le informazioni già esistenti in un archivio ben organizzato oppure si può predisporre il supporto per la registrazione delle nuove informazioni che verranno successivamente inserite.

La gestione di un archivio di dati viene realizzata attraverso le operazioni di manipolazione ed interrogazione. Tra le operazioni di manipolazione distinguiamo:

1. l’inserimento di nuovi dati dopo che l’archivio è stato creato, ad esempio la memorizzazione, nell’archivio fornitori di un ente, dei dati di una ditta che è diventata fornitrice.

2. La modifica o l’aggiornamento dei dati già presenti nell’archivio: ad esempio se un fornitore trasferisce la propria residenza verrà inserito il nuovo indirizzo. 3. La cancellazione di informazioni che non si vogliono più conservare perché non

esiste più un nesso logico: un fornitore che viene cancellato dall’archivio dei per cessata attività.

Una gestione ottimale degli archivi dovrebbe consentire la memorizzazione di tutti i dati al fine di sfruttare al massimo la capacità informativa degli elementi raccolti.

Gli archivi presenti nei software gestionali sono classificabili in base alle caratteristiche degli elementi in essi racchiusi. Si distinguono:

 Archivi tabelle: contengono due campi base: codice chiave e informazione di riferimento. La loro funzione è quella di codificare i dati presenti nel sistema in base ai codici di riferimento. Esempio: archivio causali contabili o gestionali. Ogni software presenta una diversa configurazione degli archivi tabelle in base alla sua struttura, ma sono tutti accomunati dalla presenza di archivi tabelle principali che servono per il funzionamento del gestionale;

 Archivi anagrafici: contiene dati descrittivi completi riferiti ad elementi tipici della gestione aziendale come clienti, fornitori, piano dei conti, banche, prodotti. Questo tipo di archivi contiene dati elementari delle entità di riferimento, che vengono inseriti ed aggiornati dall'utente periodicamente;

 Archivi dinamici: contengono sia dati elementari che sintetici di tipo quantitativo, sono aggiornati in tempo reale dalle transazioni svolte dal software. Esempio archivi di prima nota, incassi e pagamenti, partite aperte.

(9)

8

• programmi per la Creazione/Manutenzione (Inserimento, Modifica, Cancellazione) degli archivi nel tempo;

• programmi per ritrovare determinate informazioni in base alle specifiche richieste dell'utente (Interrogazione degli archivi).

Per le operazioni di aggiornamento (inserimento, modifica, cancellazione) si utilizzano maschere video (Data entry screen), mentre per le operazioni di interrogazione vengono prodotte visualizzazioni sul monitor o stampe cartacee.

(10)

9 1.1.1 ARCHIVI TABELLE

Quali esempi di archivi tabelle, si considerano l'archivio delle causali gestionali e quello delle causali contabili. All'interno di tali archivi ogni elemento viene individuato e memorizzato attraverso codici chiave che ne permettono la precisa individuazione. La regola generale che accomuna tutti gli archivi tabella, è la possibilità di classificare in ordine alfabetico o temporale in base all'esigenze dell'utente utilizzando delle query.

ARCHIVIO DELLE CAUSALI GESTIONALI

Nell’archivio delle causali gestionali gli elementi vengono distinti attraverso l'uso di un codice chiave (causale), permettendo così la loro riclassificazione in base ai criteri prestabiliti. Per ciascun codice chiave è associata una specifica informazione di riferimento. L'archivio delle condizioni di incasso e pagamento è un esempio di archivio di causali gestionali e permette la classificazione delle partite in scadenza e dei relativi flussi finanziari in entrata e in uscita dall'ente. Al suo interno sono elencate tutte le possibili scadenze ordinate per criteri temporali e in base ai metodi di transazione utilizzati.

Le causali sono parte integrante del software e risultano strettamente collegate con gli archivi dinamici, poiché vengono richiamate nelle procedure come dati fondamentali per l'esecuzione delle procedure di contabilità.

ARCHIVIO DELLE CAUSALI CONTABILI

L’archivio delle causali contabili contiene le causali necessarie per la tenuta della contabilità e per la generazione degli output fiscali richiesti dalla normativa vigente (esempio tenuta registri IVA obbligatori).

Il codice chiave per le causali IVA è rappresentato da numeri o lettere che individuano le diverse aliquote applicabili, mentre l'informazione di riferimento è l'aliquota individuata dal codice stesso. L'inserimento del codice e della descrizione, nonché la percentuale di detraibilità o indetraibilità dell'imposta sono dati bloccanti, mentre gli altri campi verranno attivati o meno a seconda delle caratteristiche dell'aliquota.

Un esempio di utilizzo dell'archivio causali contabili si ha al momento della registrazione di una fattura di vendita. Il sistema informativo richiede quale tipo di

(11)

10

fatturazione deve essere effettuata, offrendo una lista di appropriate causali contabili. Dopo che l'utente ha selezionato la causale idonea il sistema propone una schermata coerente con la scelta fatta contenente i vari campi necessari per la registrazione.

(12)

11 1.1.2 ARCHIVI ANAGRAFICI

Gli archivi anagrafici contengono dati descrittivi degli elementi di riferimento e devono essere impostati prima di iniziare ad inserire qualsiasi altro movimento contabile o amministrativo. Sono creati ed aggiornati periodicamente dall'utente e interagiscono direttamente con le procedure. Ad ogni archivio è collegata una schermata di riferimento che funziona da interfaccia tra procedura ed utente. All'interno di queste videate si possono distinguere due tipi di dati:

 Dati obbligatori, definiti anche bloccanti poiché il loro inserimento è fondamentale per il corretto svolgimento della procedura. La mancata o non corretta compilazione di tali campi non permette all'utente il salvataggio dei dati, per evitare di inserire all'interno degli archivi elementi non congruenti che possono generare errori di sistema;

 Dati facoltativi, tipicamente descrittivi che forniscono informazioni aggiuntive degli elementi di riferimento, con funzione di completamento delle informazioni contenute nei campi obbligatori.

La prima anagrafica da compilare per lo start up del sistema informativo è la definizione dell'azienda/ente. L'installatore procede con l'inserimento dei dati elementari e con la configurazione del programma, in base alle caratteristiche peculiari dell'ente. Oltre ad inserire i dati anagrafici si forniscono al software tutta una serie di dati elementari, necessari per l'avvio degli archivi contabili, quali i tipi di contabilità gestita, il tipo di gestione IVA e i dati utili per la compilazione delle dichiarazioni fiscali. Fra i dati anagrafici, oltre alla ragione sociale e all'indirizzo, è obbligatorio inserire il numero di partita IVA o il codice fiscale, mentre i numeri telefonici di riferimento o l'e-mail sono dati di completamento che aggiungono capacità informativa ai dati fondamentali.

(13)

12 1.1.3 INVENTARIO (ARCHIVIO CESPITI)

Il modulo per la gestione integrata dei cespiti risponde all'esigenza di fornire in tempi reali i dati relativi ai cespiti in forma adeguata per soddisfare le diverse esigenze informative interne ed esterne all'ente. Al fine dell'applicazione dei nuovi criteri di valutazione, l'ente locale deve dotarsi di uno strumento che permetta l'individuazione analitica di ogni bene sui cui adottare tali criteri. I passi operativi necessari per la piena attuazione della messa a regime del sistema di reporting economico patrimoniale previsto dal D.lgs 118/11 sono due così riassumibili:

• «riclassificazione delle voci dello stato patrimoniale chiuso il 31 dicembre dell'anno precedente nel rispetto del DPR 194/1996, secondo l'articolazione prevista dallo stato patrimoniale»;

• «applicazione dei criteri di valutazione dell'attivo e del passivo previsti dal principio applicato della contabilità economico patrimoniale all'inventario e allo stato patrimoniale riclassificato».

Lo strumento necessario è l'inventario, quale lista di carico aggiornata e quanto più coerente con la realtà dei fatti, volta a permettere di individuare univocamente il bene oggetto di valutazione, la sua posizione fisica e a quale soggetto esso sia affidato. La finalità generale dell'inventario consistente nell'individuazione, descrizione, classificazione, e valutazione di tutti gli elementi attivi e passivi del patrimonio dell'ente al fine di permettere, in sede di rendiconto, di quantificare il netto patrimoniale dell'ente. Le tipologie di inventario adottabili sono così classificate:

1. inventario dei beni immobili di uso pubblico per natura o destinazione; 2. inventario dei beni immobili patrimoniali disponibili;

3. inventario dei beni mobili di uso pubblico;

4. inventario dei crediti, dei debiti e di altre passività;

5. inventario di tutti i titoli e atti che si riferiscono al patrimonio e alla sua amministrazione;

6. riepilogo generale degli interventi.

Data l'importanza strategica del documento, il legislatore ne obbliga almeno l'aggiornamento annuale propedeutico alla stesura dell'allora conto del patrimonio, oggi

(14)

13

sostituito dallo stato patrimoniale armonizzato. L'onere di revisione annuale si desume dal dettato dell'articolo 230, comma 7, del Tuel che testualmente recita: «gli enti locali provvedono annualmente all'aggiornamento degli inventari». Non a caso tale disposizione è collocata nel Titolo IV del Dlgs 267/2000 dedicato alla «rilevazione e dimostrazione dei risultati di gestione».

Al fine di determinare in maniera rigorosa il patrimonio dell’Ente locale e con l’obiettivo di consentire una corretta gestione dello stesso, l’inventario deve essere costituito:

• Inventario del Patrimonio Immobiliare; • Inventario del Patrimonio Mobiliare;

• Classificazione di ogni singolo cespite del patrimonio comunale secondo il Nuovo Conto del Bilancio;

• Applicazione dei criteri di valutazione previsti dall’Allegato 4/3 del D. Lgs. 118/1. L’ente quindi dovrà predisporre una tabella che ponga a confronto gli importi di chiusura del precedente esercizio con i nuovi, evidenziandone la differenza.

• Codifica delle voci che compongono l’inventario secondo lo schema del PIANO DEI CONTI INTEGRATO (Allegato 6 del D. Lgs. 118/2011).

• Predisposizione dei dati ed eventuale caricamento, in apposito software o archivi elettronici, di tutti i beni inventariati;

• Redazione e stampa dei modelli di inventario previsti dalla norma;

• Predisposizione di una relazione apposita, contenente le eventuali indicazioni ritenute necessarie ad una corretta regolamentazione giuridica del patrimonio dell’Ente.

Inventario del Patrimonio Immobiliare

Le operazioni necessarie per la creazione dell’inventario riguardano: 1. Reperimento documentazione

Tale fase consiste nella raccolta dei dati necessari per la stesura del piano di lavoro dell’inventario dei beni immobili. I dati e gli elementi raccolti permettono l’identificazione e la successiva valutazione dei fabbricati, dei terreni e di quant’altro di proprietà dell’Ente.

(15)

14

L’elaborazione dei dati raccolti da luogo ad un elenco completo dei dati quantitativi, qualitativi e qualificativi di ogni bene immobile. Con essa sono individuate:

• Denominazione dell’immobile; • Ubicazione;

• Stato di conservazione; • Estremi catastali;

• Titoli, atti ed eventuale altra documentazione d’ogni immobile messa a disposizione dall’ente.

3. Classificazione

L’operazione è volta a classificare i beni per tipologie raggruppandoli secondo il sistema di classificazione stabilito dal D.Lgs. 118/2011.

4. Valutazione

È la fase d’attribuzione del valore monetario ai singoli cespiti costituenti il patrimonio immobiliare dell’Ente. In base all’Allegato 4/3 del Decreto Legislativo 118/2011, che modifica l’art. 230 del TUEL, le immobilizzazioni materiali sono iscritte nello Stato Patrimoniale al costo di acquisizione dei beni o di produzione, se realizzato in economia (inclusivo di eventuali oneri accessori d’acquisto, quali le spese notarili, le tasse di registrazione dell’atto, gli onorari per la progettazione, ecc) al netto delle quote di ammortamento. Qualora, alla data di chiusura dell’esercizio, il valore sia durevolmente inferiore al costo iscritto, tale costo è rettificato, nell’ambito delle scritture di assestamento, mediante apposita svalutazione.

In base all’Allegato 4/3 del Decreto Legislativo 118/2011, che modifica l’art. 230 del TUEL, le immobilizzazioni materiali sono iscritte nello Stato Patrimoniale al costo di acquisizione dei beni o di produzione, se realizzato in economia (inclusivo di eventuali oneri accessori d’acquisto, quali le spese notarili, le tasse di registrazione dell’atto, gli onorari per la progettazione, ecc) al netto delle quote di ammortamento. Qualora, alla data di chiusura dell’esercizio, il valore sia durevolmente inferiore al costo iscritto, tale costo è rettificato, nell’ambito delle scritture di assestamento, mediante apposita svalutazione.

(16)

15

Al termine delle operazioni e previo controllo della completezza e correttezza dei dati raccolti si procederà all’inserimento degli stessi su software gestionale.

Inventario del Patrimonio Mobiliare Le operazioni:

1. Reperimento documentazione.

Tale fase consiste nella raccolta dei dati necessari per la stesura del piano di lavoro dei beni mobili. L’analisi della documentazione e dalle sue indicazioni permette l’identificazione dei plessi presso cui operare per la rilevazione dei beni mobili e la successiva valutazione degli stessi.

2. Rilevazione ed etichettatura.

È la fase d’identificazione dei beni costituenti il Patrimonio mobiliare dell’Ente. In tale si procede alla rilevazione con contestuale etichettatura dei beni mobili di proprietà dell’Ente.

3. Caricamento e classificazione dati.

In questa fase avviene il caricamento su un software gestionale di tutti i dati identificativi dei beni costituenti il Patrimonio mobiliare dell’Ente. La fase di caricamento permetterà di:

• Classificare i beni per tipologia;

• Raggruppare per categorie omogenee tutti i beni mobili o per ubicazione; • Assegnare eventuali:

- Centro di costo e/o Funzione / Servizio; - Consegnatari;

4. Valutazione del patrimonio.

La valutazione del patrimonio mobiliare dell’Ente avviene secondo la distinzione: beni da inventariare ed acquisizione beni dell’ente. L’ordinamento consente alcune semplificazioni, quali:

• I beni di modesto valore e di facile consumo possono essere considerati non inventariabili o iscritti con valore attuale stimato in funzione delle condizioni; • I beni già ammortizzati possono essere inventariati a valore zero o residuale.

(17)

16 1.1.4 ARCHIVI FORNITORI/BENEFICIARI

Gli archivi fornitori/beneficiari racchiudono tutte le informazioni di cui un ente necessita per intrattenere rapporti di acquisto/vendita. I dati in essi raccolti vengono utilizzati sia per la gestione della contabilità generale, sia per le funzioni ad esse collegate. Gli archivi anagrafici sono costituiti da record, elemento in relazione al quale sono descritte le diverse caratteristiche, che permettono:

 Un accesso flessibile, veloce e completo ai singoli dati contenuti;

 La creazione di un database personalizzato in base alle esigenze dell'impresa;  La generazione di output su diversi supporti.

Negli archivi fornitori i soggetti sono classificati utilizzando codici identificativi, che a seconda del software possono essere alfabetici, numerici o alfanumerici. I dati contenuti in ciascun record possono essere classificati in:

 Dati generali, consistono generalmente in dati anagrafici che hanno la caratteristica della staticità in quanto non vengono aggiornati dai flussi gestionali;  Dati statistici, vengono aggiornati in tempo reale;

 Dati commerciali, variano a seconda delle politiche di acquisto.

Nella anagrafica del fornitore si nota come i campi bloccanti sono rappresentati dai dati anagrafici del fornitore, dal numero di partita IVA o dal codice fiscale e la modalità di pagamento, mentre i dati facoltativi sono inseriti per aumentare la capacità informativa dell'archivio. Nel campo saldi il programma riporta il saldo delle operazioni effettuate con quel determinato fornitore al momento della consultazione.

Tali archivi disegnano un quadro completo dei soggetti che operano con l'ente, fornendo informazioni utili al controllo operativo, quali:

 Dati anagrafici, luogo del domicilio fiscale e dell'attività dei soggetti, numeri di telefono, ecc.;

 Dati contabili, valuta di riferimento delle operazioni, sottoconti collegati ai soggetti;

 Dati inerenti le condizioni di pagamento, metodo di pagamento accordato al fornitore, ammontare del fido disponibile e di quello accordato;

(18)

17

 Dati tecnici e commerciali;

 Informazioni circa le persone di riferimento da contattare in caso di necessità. Gli archivi fornitori/beneficiari rappresentano uno dei punti di riferimento di tutto il sistema informativo non solo per la loro stretta interrelazione con gli archivi dinamici ma anche per l'immensa quantità di dati gestiti.

(19)

18 1.2 CONSULTAZIONE DEGLI ARCHIVI

L’obiettivo di ogni azione della Pubblica Amministrazione è fornire un servizio al cittadino, pertanto anche l’archivio di un Ente locale non ha significato se non nella misura in cui viene consultato e utilizzato, assolvendo alla sua reale funzione e vocazione di “servizio archivistico”. Nel contempo però, proprio in virtù della centralità dei diritti del cittadino, deve essere parimenti assicurata la giusta tutela dei dati riservati custoditi nell’archivio. Il bilanciamento di questi diversi e contrapposti interessi è il perno su cui si realizza un democratico ed efficiente accesso alla documentazione degli Enti Locali. Il tema della consultabilità dell’archivio è rilevante sotto tre aspetti: il primo, quello giuridico, deve stabilire i giusti ed equilibrati confini tra accesso e riservatezza, oltre a individuare le aree riservate dell’archivio e definire chi ha accesso a tali aree; il secondo, quello tecnico-scientifico, deve determinare come sia possibile raggiungere ciò che si cerca all’interno di un archivio; il terzo, quello deontologico, indica quale atteggiamento e comportamento deve tenere l’archivista nei confronti dei suoi compiti istituzionali e dell’utenza interna ed esterna. Senza l’uso corretto, regolamentato e governato del patrimonio archivistico, dal punto di vista sia amministrativo sia scientifico, non ha senso la conservazione. Diventa, quindi, essenziale definire le modalità e le procedure con le quali regolamentare e governare l’uso dell’archivio. Per inquadrare il tema va precisato che esistono vari tipi di consultazione: quella interna all’ente produttore, effettuata per esigenze di servizio; quella di terzi, privati o amministrazioni pubbliche, per fini cosiddetti amministrativi; quella, infine, di terzi per fini di ricerca scientifica.

Un aspetto discriminante del sistema informativo è la capacità di rappresentare i dati presenti negli archivi in base alle esigenze di consultazione dell'utente del sistema. I dati una volta immessi nel sistema devono essere consultabili facilmente e velocemente da ogni utente, per questo motivi gli archivi gestionali sono concepiti in modo da poter fornire rappresentazioni diversificate dei dati in essi contenuti, adattandosi alle molteplici esigenze amministrativo-gestionali.

Gli archivi contabili, quali custodi di dati elementari e sintetici, possono generare una molteplicità di report in base a interrogazioni, query, prestabilite consentendo la rappresentazione dei dati su diversi supporti e in diversi formati utilizzabili dai comuni

(20)

19

programmi di office automation. Le informazioni generate assumono due forme: la stampa a video e l'invio delle stesse ad una periferica. Le stampe a video sono le più utilizzate per l'immediatezza dell'informazione fornita e per la possibilità di interrogare più archivi simultaneamente, mentre la generazione di stampe su supporti materiali viene usata per l'invio delle informazioni a rilevanza esterna.

Il diritto di accesso e la copia dei documenti amministrativi sono disciplinati da un insieme di norme:

- gli artt. 22 e seguenti della legge 7 agosto 1990, n. 241 (così come modificati dalle leggi 15 febbraio 2005, n. 15, e 18 giugno 2009, n. 69) in materia di procedimento amministrativo e diritto di accesso ai documenti amministrativi;

- il DPR 12 aprile 2006, n. 184, Regolamento recante disciplina in materia di accesso ai documenti amministrativi; - il DPR 28 dicembre 2000, n. 445 in materia di documentazione amministrativa;

- il DPR 26 ottobre 1972, n. 642 in materia di imposta di bollo.

Nell’ambito della disciplina imposta da tali norme, che comprendono anche le prescrizioni relative all’accesso ai documenti amministrativi, l’ambito di regolamentazione autonoma degli enti è limitato alla disciplina di casi particolari, come ad esempio i casi di esclusione o differimento dell’accesso o la disciplina dell’accesso in relazione alla tutela dei dati personali e sensibili.

Di fronte ad una richiesta di accesso ai documenti d’archivio l’operatore dovrà tenere in considerazione:

A) Le regole generali in materia di accesso. In particolare:

- verificare che la richiesta provenga da un soggetto interessato, vale a dire portatore di un interesse diretto, concreto e attuale (cfr. art. 22, comma 1, lettera b della legge 241/1990);

- accertarsi che la richiesta di accesso sia motivata e, in caso contrario, invitare l’utente ad integrare in questo senso la propria istanza (cfr. art. 25, comma 2, legge 241/1990);

- verificare che non esista una norma che sottrae o limita l’accesso alla documentazione richiesta (cfr. art. 22, commi 2 e 3, e 24 della legge 241/1990);

(21)

20

- osservare tutte le altre disposizioni contenute nelle norme sopra citate e in eventuali regolamenti dell’Ente di appartenenza in materia di accesso.

B) Le regole previste dal Codice di deontologia e buona condotta (cfr. allegato A2 al d.lgs. 196/2003). Dovrà, infatti:

- osservare regole di correttezza e non discriminazione dell’utenza;

- favorire il più ampio accesso agli archivi e l’agevole consultazione e reperimento delle informazioni;

- informare l’utenza su documenti temporaneamente esclusi dalla consultazione; - tutelare l’integrità degli archivi, l’autenticità dei documenti nonché curare il proprio aggiornamento professionale.

Dal combinato disposto delle norme generali in materia di accesso ai documenti amministrativi e delle norme di settore in materia di deontologia nella professione archivistica derivano alcune buone prassi in materia di accesso agli archivi:

- prima di dare in consultazione i documenti amministrativi è bene registrare l'istanza formale o informale dell'accesso, da cui risulti l'identità del richiedente e il suo diritto ad accedere alla documentazione; pur essendo in linea generale consentita la produzione di una istanza informale, è comunque fatto obbligo alle pubbliche amministrazioni di annotare e verificare l’identità del richiedente e il suo diritto ad accedere alla documentazione, ed è per questo motivo opportuno redigere e mettere a disposizione un modulo per la richiesta di accesso; la richiesta deve essere sempre formale in presenza di controinteressati;

- le richieste di accesso devono essere evase immediatamente. Solo in casi particolari o che comportino una ricerca complessa le richieste possono essere rinviate a giorni successivi;

- l’esclusione o il differimento di accesso per determinati documenti o categorie di documenti possono avvenire solo con provvedimento preventivo, generale, adeguatamente motivato;

- le limitazioni alla consultazione per ragioni organizzative o di tutela dell’integrità dei documenti possono avvenire solo con provvedimento generale e motivato del Responsabile del Servizio archivistico.

(22)

21 1.3 IL PIANO INTEGRATO DEI CONTI

Il piano dei conti integrato rientra, unitamente all’introduzione di comuni schemi di bilancio, di regole contabili uniformi e del bilancio consolidato, tra gli strumenti cardine dell’armonizzazione dei sistemi contabili previsti dal Dlgs. N. 118/2011. In particolare, l’art. 4 della norma prevede che le amministrazioni pubbliche adottino il piano integrato dei conti costituito da:

 Piano dei conti finanziario degli Enti locali;  Piano dei conti economico degli Enti locali;  Piano dei conti patrimoniale degli Enti locali.

Il piano dei conti integrato risponde all’obiettivo di garantire l’armonizzazione dei sistemi contabili delle amministrazioni pubbliche in contabilità finanziaria diverse dalle Regioni e dagli enti locali - disciplinate in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio dal decreto legislativo 23 giugno 2011, n. 118 nonché dalle Amministrazioni centrali dello Stato, per le quali si applicano le disposizioni di cui all’articolo 40 della legge 31 dicembre 2009, n.196. Lo scopo principale della codifica contabile è la realizzazione di una struttura più significativa dei dati per l'elaborazione documenti contabili e di finanza pubblica. Mediante un sistema integrato di scritturazione contabile finalizzato alla classificazione delle operazioni effettuate dalle amministrazioni pubbliche il comune piano dei conti integrato consente:  l'integrazione e la coerenza tra le rilevazioni contabili di natura finanziaria e di

natura economica;

 una maggiore tracciabilità delle informazioni nelle varie fasi di rappresentazione della manifestazione contabile in termini di competenza finanziaria, economica, cassa e patrimonio;

 una maggiore attendibilità e trasparenza dei dati contabili, valutabili anche in sede di gestione dei bilanci pubblici.

Il piano dei conti, strutturato gerarchicamente secondo vari livelli di dettaglio, realizza uno schema classificatorio comune a tutte le amministrazioni pubbliche, rilevando le entrate e le spese in termini di contabilità finanziaria e in conti economico-patrimoniali, predisposti sulla base di comuni criteri di contabilizzazione. È formato dall’elenco delle

(23)

22

unità elementari del bilancio finanziario gestionale e dei conti economico-patrimoniale, al fine di garantire la rilevazione unitaria dei fatti gestionali in termini di impatto finanziario ed economico nonché in termini di contabilità patrimoniale, registrando le variazioni patrimoniali e il raccordo con i flussi finanziari che le hanno prodotte. Ogni conto del piano è contraddistinto univocamente dal suo codice o chiave di codifica, coding block. A livello gestionale, ossia in fase di accertamento/impegno, è necessario attribuire il codice declinato sino all’ultimo livello previsto dal piano dei conti finanziario, il quinto livello. Quest’ultimo consente il raccordo con l’ultimo livello del piano dei conti economico e patrimoniale, permettendo degli automatismi che alimentano la contabilità economico-patrimoniale. I codici del piano dei conti finanziario sono codici parlanti, vale a dire che dalla lettura del codice stesso si possono desumere anche informazioni sulla classificazione di bilancio.

Il piano dei conti integrato è uno strumento di grandi potenzialità e da cui il sistema della pubblica amministrazione nel suo complesso potrà trarne necessariamente beneficio e potrà soddisfare in modo esaustivo le necessità informative che oggi sono richieste a gran voce dai diversi stakeholder, alla sola condizione che gli attori chiamati a utilizzarlo si adoperino fattivamente per conseguire una concreta ed effettiva trasparenza dell'azione amministrativa-contabile atta a permettere un controllo sociale fattivo ed esaustivo.

(24)

23 1.3 CONTROLLI E AUTORIZZAZIONI

I vantaggi e le nuove opportunità apportate dall'introduzione dei software gestionali all’interno dell’ente comportano l'assunzione di alcuni rischi, in termini di sicurezza della gestione dei dati e delle informazioni contenute negli archivi che deve essere intesa non solo in termini di sicurezza, ma deve anche garantire l'integrità, l'accuratezza e la significatività dei dati in relazione alla complessità ambientale in cui è collocato il sistema informativo.

Le variabili da considerare in fase di start up e di aggiornamento continuo della sicurezza del sistema informativo devono considerare la continua evoluzione dei sistemi e della tecnologia presente sul mercato. Occorre tenere presente che:

a) La molteplicità degli utenti che accedono alle diverse funzioni crea problemi in termini di sicurezza di gestione e accesso ai dati;

b) Può mancare una chiara identificazione dei soggetti responsabili in termini di immissione e correttezza dei dati inseriti, poiché vi è un utilizzo ripetuto degli stessi dati presenti negli archivi da parte di più utenti;

c) Gli accessi alle banche dati spesso avvengono simultaneamente ed è complesso gestire la mappatura degli accessi ai diversi archivi;

d) Utenti non autorizzati potrebbero facilmente accedere ai database, alterando i contenuti dei dati, qualora le persone autorizzate non si attenessero alle procedure di sicurezza predisposte;

e) L'IT apporta continue modifiche e occorre aggiornare i database in modo da mantenere la stessa capacità informativa dei dati in essi contenuti;

Ai software si richiede un duplice controllo:

1. Interno, per garantire la completezza, accuratezza dei dati e la segnalazione di errori ed incongruenze degli archivi;

2. Esterno, in termini di sicurezza al fine di impedire di accessi ai database non autorizzati.

I controlli interni possono essere suddivisi in:

 Controlli sull'integrità del sistema al fine di rilevare problemi hardware e software che possono portare ad errori di elaborazione;

(25)

24

 Controlli sulle elaborazioni per garantire l'integrità dei dati;

 Controlli sull'inserimento dei dati, assicurano l'integrità e la coerenza dei dati a livello utente. I software realizzano questo controllo attraverso l'inserimento di check nelle procedure di immissione dati, verificando la validità dei dati inseriti con le caratteristiche delle strutture dei dati assegnate al programma, come la validità dei campi numerici. Sono essenzialmente controlli di correlazione e ammissibilità dei dati; correlazione intesa come congruità tra due o più dati immessi e ammissibilità quale rispetto di specifici valori.

I controlli più frequenti che vengono effettuati dai programmi a livello contabile riguardano:

 L'esistenza dei dati obbligatori cosiddetti bloccanti;  La quadratura dei movimenti contabili;

 Il rispetto del principio cronologico delle registrazioni contabili;

 La progressività dei protocolli IVA inseriti nelle registrazioni di prima nota;  L'ammissibilità di alcuni quali: formato date, numero dei giorni.

Tali tipi di controlli generano come output dei messaggi di errore e/o richiesta di validazione da parte dell'utente, per poter completare la procedura. Stabilite le caratteristiche dei dati ammessi, le software house hanno creato sistemi di segnalazione e correzione automatica degli errori riscontrati, che possono prevedere una duplice possibilità di azione:

 Manuale;

 Autorizzata, gestita direttamente dalla procedura.

Le procedure automatizzate sono preferibili poiché riducono i tempi di trattamento e aggiornamento dei dati offrendo maggiore omogeneità agli archivi, riducendo così la discrezionalità dell'utente.

La procedura manuale è richiesta qualora vi sia completa incongruità del formato dei dati e il programma non sia in grado di correggere autonomamente l'errore.

Il controllo esterno, inteso come supervisione di tutte le procedure, è volto ad incrementare la sicurezza di tutto il sistema, impendendo sia con controlli tecnici

(26)

25

dall'interno che con mezzi di protezione dall'esterno l'accesso non autorizzato alle diverse procedure.

Gli utenti accedono al database e prelevano i dati di cui necessitano per l'elaborazione degli output. La sicurezza viene garantita attraverso un complesso sistema di autorizzazioni e controlli basati su una struttura di tipo piramidale o ad albero di tipo gerarchico, a capo del quale si trova l'utente administrator. In qualità di supervisione del sistema ha pieni poteri avendo accesso a tutti i moduli del gestionale e potendo distribuire le autorizzazioni di accesso agli utenti subordinati.

Ciascun utente avrà maggiori o minori poteri a seconda della sua collocazione all'interno della struttura piramidale; per l'accesso utilizzerà una chiave solitamente di carattere alfanumerico con la quale avviene il riconoscimento. I sistemi poi possono prevedere diverse password per accedere ai vari moduli del gestionale a seconda dell'importanza dei dati contenuti negli archivi.

Le password sono modificate periodicamente e conservate in luoghi sicuri, mentre giornalmente vengono memorizzati tutti gli accessi ai server per ridurre al minimo i rischi connessi agli accessi non autorizzati.

Per ogni modulo del gestionale è possibile prevedere l'accesso con pieni poteri per l'inserimento e la modifica dei dati oppure prevedere la sola lettura degli elementi contenuti negli archivi.

La facilità di utilizzo e la sua flessibilità permette la modifica dei poteri anche dopo la fase di implementazione dei software senza richiedere cambiamenti strutturali al programma.

Durante la fase di implementazione del sistema informativo è necessario stabilire quali soggetti possono accedere al sistema e con quali poteri, in modo da configurare una struttura base sulla quale poi apportare le eventuali modifiche.

È presente un utente definito administrator al quale vengono conferiti tutti i poteri di accesso ai vari moduli del gestionale e gli atri utenti che in base ad un criterio gerarchico hanno determinati vincoli di accesso. Alcuni gestionali tramite la personalizzazione dell'accesso riconoscono l'utente e sono in grado di modificare la lingua nelle videate del sistema.

(27)

26 1.4 FRODE INFORMATICA

La frode informatica, introdotta dalla legge n. 547/1993 e disciplinata dall'art. 640 ter del c.p, consiste nel penetrare in un elaboratore elettronico al fine di trarre profitto da un'elaborazione alterata o da un'alterazione del funzionamento del sistema, intervenendo senza diritto sul contenuto stesso della memoria dell'elaboratore. Al riguardo, si è ormai soliti parlare di ‘reati informatici’ (o computer crimes) per indicare quegli illeciti penali caratterizzati dall’utilizzo della tecnologia informatica e, in particolare, dei sistemi informatici o telematici, quale oggetto materiale del reato ovvero quale mezzo per la sua commissione. La norma individua due precise condotte criminose:

 il fatto di chi alteri in qualunque modo il funzionamento di un sistema informatico/telematico, procurando a se o ad altri un ingiusto profitto con danno per il soggetto passivo;

 il fatto di chi, intervenendo senza diritto in qualunque modo su dati, informazioni o programmi contenuti in un sistema informatico/telematico, procura a sé o ad altri un ingiusto profitto con danno altrui.

Le condotte fraudolenti poste in essere attraverso tale reato sono tre:

1. la prima consiste nell'alterazione del funzionamento del sistema informatico o telematico, ossia in una modifica del regolare svolgimento di un processo di elaborazione o di trasmissione dati; l'alterazione provoca i suoi effetti materiali sul sistema informatico o telematico.

2. la seconda coincide con l'intervento, senza diritto, con qualsiasi modalità, su dati, informazioni o programmi contenuti nel sistema, e pertanto ogni forma di interferenza diversa dall'alterazione del funzionamento del sistema. L'intervento senza diritto ha per oggetto i dati, le informazioni o i programmi.

3. intervento sulle informazioni, ovvero sulle correlazioni fra i dati contenuti in un elaboratore o in un sistema.

L'ipotesi di reato si potrebbe inoltre ricondurre all'alterazione di registri informatici della Pubblica Amministrazione per far risultare esistenti condizioni essenziali per la partecipazione a gare (iscrizione in albi, ecc.) ovvero per la successiva produzione di documenti attestanti fatti e circostanze inesistenti o, ancora, per modificare dati fiscali/previdenziali di interesse dell'azienda (ad esempio, Modello 770), già trasmessi

(28)

27

all'Amministrazione. Il reato in esame potrebbe anche configurarsi qualora, una volta ottenuto un finanziamento, venisse violato il sistema informatico della Pubblica Amministrazione al fine di inserire un importo superiore a quello legittimamente ottenuto. La prevenzione del reato di frode informatica richiede un'adeguata politica di sicurezza informatica che, nel caso di commissione da parte di un dipendente del reato in esame, evidenzi la presenza di un chiaro comportamento di elusione fraudolenta del Modello Organizzativo al fine della commissione del reato.

(29)

28 1.4.1 VULNERABILITA' DEL SISTEMA

Il crimine informatico fa leva sulle vulnerabilità di un sistema informativo. La vulnerabilità non è solo un fattore di rischio ma dà anche la possibilità al criminale informatico di intervenire. Esempi di vulnerabilità nel sistema informativo:

 Assenza di controlli su chi accede e usa le risorse: la mancata restrizione all'accesso di risorse informatiche crea la possibilità di intervenire. La chiusura di certi moduli ad utenti non autorizzati serve per prevenire questo problema;

 Più errori di input vengono eseguiti, più è facile nascondere la frode o farla passare come un errore. Minimizzare l'errore a livello di input può essere utile per ovviare al problema, sarà quindi opportuno effettuare un incrocio tra sistema informativo e sistema di controllo interno. Il sistema di controllo interno dovrà valutare a campione gli inserimenti per monitorare il tasso di frequenza degli errori e se questo dovesse raggiungere livelli eccessivi occorre intervenire;

 Criteri di definizione degli accessi autorizzati scarsi e non conosciuti dagli utenti;

 Assenza di procedure di registrazione di accessi ai dati;  Errori nei programmi;

(30)

29 1.4.2 POLITICA DELLA SICUREZZA INFORMATICA

La Politica della Sicurezza Informatica concerne l'insieme organico delle regole formali che definiscono la modalità di gestione degli strumenti informatici e dei dati dell'azienda o dell'ente in esame. La sicurezza non deve essere vista come uno stato da raggiungere, ma piuttosto come un processo che coinvolga costantemente tutte le azioni in ambito IT, che diventi parte integrante dei processi e che possa svilupparsi, modificarsi e implementarsi nel tempo, in base agli sviluppi delle minacce. La cultura aziendale pubblica si incrementa solo se si incrementa la cultura individuale di ogni singolo dipendente. Principi:

 Confidentiality (riservatezza): le informazioni inserite per una transazione devono essere accessibili soltanto da chi ha le necessarie autorizzazioni;

 Integrity (integrità): le informazioni non possono essere modificate se non dalle parti che sono coinvolte nella transazione stessa;

 Availability (disponibilità): le informazioni devono sempre essere disponibili al legittimo proprietario;

 Authentication (identificazione): la possibilità di identificare il soggetto con cui stiamo interagendo;

 Non repudation (verificabilità): la certezza che nessuna delle parti coinvolte possa liberamente affermare che la transazione non è mai avvenuta. Ciò viene assicurato dalla firma elettronica, ovvero una firma apposta ad un file che non può più essere modificato poichè la modifica rende nullo il documento.

All'interno delle politiche di sicurezza occorre affrontare diverse problematiche:

● Documento Programmatico sulla Sicurezza (DPS): chiunque gestisce dati personali e sensibili altrui è tenuto a produrre un documento programmatico sulla sicurezza in cui descrive le misure adottate per proteggere l'accesso ai dati sensibili. Questo documento può essere un punto di partenza per la definizione delle Politiche di Sicurezza.

● L'analisi del rischio: specificare come si quantifica il rischio associato a violazione della sicurezza nell’ambiente informatico di riferimento.

● Gestione del ciclo di vita dei progetti: nei progetti vengono comunemente utilizzate informazioni riservate sia dell'ente sia di eventuali beneficiari o partner.

(31)

30

Per questa ragione i progetti, se non gestiti correttamente possono diventare dei buchi di sicurezza. Si deve, quindi, analizzare il ciclo di vita dei progetti, focalizzando l'attenzione sulle relative problematiche di sicurezza e sulle contromisure da adottare in caso di attacco al sistema.

● Test del livello di sicurezza dell'ambiente informatico: si verifica periodicamente le misure di sicurezza adottate effettuando dei “penetration test” o simulazioni di intrusioni. Questi test permettono di verificare il reale livello di sicurezza di un ambiente informatico.

● Politiche di ripristino: si definiscono i piani di salvataggio dei sistemi e delle informazioni trattate in caso di alterazioni informatiche. L’ente deve saper raccogliere le prove per un'eventuale denuncia.

L’ente deve attivare dei meccanismi automatici di sicurezza per attuare le regole stabilite nelle politiche di sicurezza. I settori dell’ambiente informatico su cui si può lavorare, per aumentare il livello di sicurezza dell'ambiente, riguardano:

 Identificazione dell'utente: si associano ad ogni utente la sua identità;

 Autenticazione: si verifica l'identità dichiarata da ogni utente. Esempi: i sistemi di autenticazione basati sulle password (con le problematiche di scelta di una password non debole), sistemi di autenticazione robusta, autenticazione biometrica;

 Autorizzazione: si associa ad ogni utente l'insieme di operazioni lecite per tale utente;

 Protezione dei sistemi e degli applicativi: si basa su un'accurata installazione e configurazione finalizzata a costruire il sistema intorno al servizio erogato e ad innalzare il suo livello di sicurezza. I sistemi devono poi essere aggiornati periodicamente per rimuovere le nuove vulnerabilità.

 Codici robusti: la produzione e la scelta di codice robusto, ovvero capace di gestire dati errati in ingresso, riduce le vulnerabilità dell'ambiente;

 Antivirus: strumenti che proteggono i sistemi dalle minacce costituite da virus, malware, spyware;

 Antispam: strumenti che proteggono le caselle di posta dalla ricezione di mail indesiderate;

(32)

31

 Riservatezza dei dati: la crittografia fornisce strumenti per codificare i dati inviati ed archiviati e garantire la loro riservatezza. È possibile creare canali crittografici sicuri tra due sistemi su cui inviare i dati. La firma digitale fornisce uno strumento di autenticazione delle informazioni scambiate.

 Disegno della rete: una progettazione oculata della rete può ridurre il campo d'azione di un possibile intruso e quindi limita i danni.

 Connessioni crittate: connessioni IPSEC, VPN o SSL creano un canale sicuro sopra una rete insicura su cui scambiare i dati riservati.

 Firewall: sono la prima barriera di protezione di un ambiente informatico. Essi difendono i punti di accesso all’ambiente poiché controllare il traffico in transito ed eliminano tutti i flussi non autorizzati. I Firewall possono proteggere un gruppo di reti o un singolo sistema.

 Intrusion Detection System (IDS): controllano il traffico di rete e distinguere i flussi autorizzati dagli attacchi. Essi permettono di individuare tempestivamente un intruso all'opera. Una risposta veloce dei gestori dell'ambiente limita i danni del pirata, permette di individuarlo e perseguirlo penalmente. Gli IDS supervisionano il traffico di una rete o gli eventi di un singolo sistema.

 L'archiviazione dei log: i file di log contengono l'elenco delle operazioni particolarmente rilevati e di quelle anomale. La loro archiviazione permette di ricostruire cosa è successo su un sistema: un guasto, un errore o un attacco.  Correlazione degli eventi: se i file di log delle varie componenti di rete (server,

Firewall, IDS, Router) vengono convogliati su un singolo server, allora possono essere usati strumenti di correlazione degli eventi per avere un quadro generale degli avvenimenti e rilevare comportamenti sospetti.

Vi sono diversi approcci per affrontare il crimine informatico:

 Approccio statico: realizzare e implementare misure tecniche il cui obiettivo è la difesa del patrimonio informativo;

 Approccio attivo: si cerca di individuare le criticità e le vulnerabilità e permette di implementare una protezione adeguata;

(33)

32

 Approccio proattivo: consiste nell'andare a individuare le minacce esterne nel tentativo di individuare anche le potenziali minacce, oltre a quelle note. Sono misure che spesso precedono l'atto criminale.

(34)

33 1.5 LA VALUTAZIONE DEI SISTEMI INFORMATIVI GESTIONALI

La decisione di implementare un nuovo sistema informativo gestionale si delinea una scelta critica per l'azienda o l’ente. Le scelte di questo tipo hanno impatto sia di tipo economico che funzionale. Tale distinzione permette di individuare due linee lungo le quali si definisce il processo di valutazione dei sistemi informativi:

 Impatto funzionale riguarda l'operatività dei sistemi, in quanto vengono acquisiti per svolgere operazioni e funzioni ben definite per migliorare lo svolgimento dei processi grazie all'automazione delle attività ripetitive, alla gestione e alla divulgazione delle informazioni. Un tale impatto può esplicarsi secondo due differenti modalità:

1. La modalità operativa: per cui un sistema gestionale è tanto più funzionale quanto più è in grado di rispondere alle esigenze operative dell'azienda/ente; 2. La modalità tecnica: che riguarda le prestazioni offerte dall'infrastruttura

tecnica sulla quale il sistema poggia.

 Impatto economico valuta il rapporto tra costi che l'ente deve destinare allo sviluppo di un determinato progetto di implementazione e i benefici attesi difficilmente misurabili.

La valutazione di impatto tecnico e quella di impatto economico hanno finalità ed oggetti differenti vengono effettuate utilizzando strumenti diversi, ma sono complementari tra loro. La prima vuole giudicare l'adeguatezza della soluzione informatica rispetto a un determinato obiettivo, la seconda intende giudicare l'economicità delle scelte di implementazione rispetto agli investimenti tenendo presenti gli specifici obiettivi.

(35)

34 1.5.1 LA VALUTAZIONE FUNZIONALE

La valutazione tecnico funzionale dei sistemi informativi gestionali riguarda sia la copertura delle operazioni che il monitoraggio delle prestazioni tecniche.

La valutazione della funzionalità ha come obiettivo quello di stabilire se e in che misura un determinato software risponde alle esigenze operative dell'ente. Questo tipo di analisi va effettuato soprattutto nella fase di selezione del software considerando più alternative, poiché la scelta dell'applicazione è fortemente vincolante per la dinamica. Vi sono dei requisiti fondamentali che dovrebbero essere accertati nel confrontare le diverse alternative del sistema gestionale:

 Affidabilità: rappresenta la capacità del sistema di mantenere un certo livello di prestazioni, evitando malfunzionamenti o facendo fronte efficacemente al verificarsi di errori o guasti temporanei. Questa proprietà del sistema si misura in termini di tolleranza ai guasti, controllo degli inserimenti errati, salvaguardia dell'integrità dei database, controllo degli accessi autorizzati; funzioni cruciali per la correttezza dei dati contabili risultanti;

 Sicurezza: si intende giudicare se il sistema è protetto da errori, omissioni, intrusioni da parte di soggetti non autorizzati, nonché azioni esplicitamente dirette a manometterne il funzionamento. Parte di queste verifiche vengono compiute dall'azienda produttrice del software, ma è bene che l’ente effettui alcuni controlli in proprio, utilizzando una versione demo del software;

 Portabilità: indica la capacità di un software adattarsi a differenti piattaforme hardware e a diversi sistemi operativi o di scambiare dati con altre procedure, senza richiedere pesanti interventi di manutenzione. Si tratta di una proprietà molto importante per gli enti che si trovano ad avere un insieme eterogeneo di macchine e di ambienti con i quali il sistema informativo deve comunicare e scambiare dati. La portabilità è un importantissimo elemento di giudizio, perché influenza fortemente la possibilità di integrare le diverse parti del sistema informativo, senza generare costi elevati;

 Manutenibilità: l'attitudine di un software ad essere facilmente adeguato, in un breve periodo di tempo al mutare della normativa civile e fiscale di riferimento.

(36)

35

Il concetto di manutenibilità comprende anche l'analisi della chiarezza della documentazione e della disponibilità di assistenza;

 Scalabilità: si tratta della capacità di supportare aumenti nel carico di lavoro derivanti dall'estensione delle funzioni;

 Copertura: riguarda l'estensione dei processi coperti dall'applicazione. L'ente deve verificare che il software preveda tutte o la maggior parte delle attività che intende coprire e controllare che siano possibili eventuali modifiche per rispondere a esigenze particolari;

 Flessibilità: concerne la caratteristica per cui il sistema permette il suo utilizzo prescindendo da procedure standardizzate e rigorose. È importante che il sistema non imponga modalità predefinite che non possono essere modificate. La flessibilità viene valutata anche in termini di tolleranza all'inserimento di certi formati di dati. Si consideri che il livello di flessibilità deve essere equilibrato, ovvero non deve essere eccessivo perché una forte variabilità di comportamento determina situazioni di incertezza che possono ripercuotersi sulla qualità dei flussi informativi e potrebbe richiedere più tempo per l'apprendimento del suo funzionamento. Ai fini dell'accertamento della flessibilità è valutata positivamente la caratteristica della parametrizzazione intesa come la capacità del software di adattarsi ai mutamenti interni o esterni senza dover intervenire sul codice del programma;

 Usabilità (o facilità d'uso): si tratta di valutare l'attitudine del sistema di essere utilizzato con semplicità, necessitando di brevi tempi di apprendimento. Ciò comprende la facilità, l'immediatezza delle funzioni, la possibilità di personalizzare menù e finestre, di attivare percorsi rapidi per accedere alle operazioni svolte più frequentemente, di correggere gli errori più ricorrenti. L'usabilità va valutata sia sugli aspetti generali, facilità di installazione, di apprendimento da parte degli utenti, completezza della documentazione, ma anche su aspetti specifici: chiarezza delle voci di menù ed effettiva corrispondenza con le operazioni svolte, help in linea. Particolare attenzione deve essere posta all'esame delle strutture degli archivi e delle tabelle di parametrizzazione, che devono prevedere tutti i dati contabili ed extracontabili

(37)

36

rilevanti. Per queste valutazioni, sono disponibili strumenti e test sul demo ad un campione di dipendenti che, dopo aver svolto le operazioni indicate dal test, potranno dare un giudizio sul software messi a confronto. Un altro elemento cruciale che influenza l'usabilità dei software è l'interfaccia utente. Questa comprende tutti gli elementi tramite i quali l'utente può interagire con il sistema. Molte applicazioni sono create in una modalità internet based, presentando la stessa facilità di spostamento tra le diverse aree di attività del browser. L'utente pone maggiore attenzione nella fase di inserimento dati a scapito della fase di verifica, con conseguente aumento della presenza di errori e con l'allungamento dei tempi e l'esecuzione corretta dei processi.

Ci sono poi dei requisiti, soprattutto dal punto di vista funzionale, che devono essere accertati nello specifico. Questi riguardano:

 La multiutenza: la capacità del sistema di concedere l'accesso al database centrale da parte più utenti contemporaneamente;

 Il multitasking: la possibilità di gestire simultaneamente più applicazioni;

 La multicurrency: la possibilità di gestire i valori monetari in più valute contemporaneamente in modo automatico;

 La multilingua: che permette di visualizzare menù e messaggi in diverse lingue in funzione delle esigenze;

 La navigazione drill down: importante a livello operativo per agevolare la fase di inserimento dati e per rendere più accessibili le informazioni;

 La presenza di una reportistica avanzata che presenti una serie di report standard ma con la possibilità di personalizzarli e di crearne di nuovi. I report devono essere strutturati al fine di soddisfare non solo l'automazione delle attività di tipo operativo, ma anche le necessità informative dettate dalla normativa fiscale e civile;

 La possibilità di personalizzare i campi di stampa dei documenti elaborati dal gestionale: possibilità di poter mantenere inalterata la presentazione dei documenti pur cambiando sistema.

Alla valutazione funzionale, segue quella tecnica delle prestazioni per determinare la potenza elaborativa complessivamente fornita, derivante sia dai dispositivi hardware che

(38)

37

dalla dotazione software. Per ciò che concerne le prestazioni dei dispositivi, queste comprendono aspetti quali: la capacità di calcolo e di elaborazione dei dati alfanumerici nell'unità di tempo, la capacità di memoria dei supporti, la velocità di trasmissione dei dati sulle reti locali e via internet.

(39)

38 1.5.2 LA VALUTAZIONE ECONOMICA

Il processo di valutazione dei sistemi informativi gestionali si completa di un'analisi finalizzata al confronto fra costi sostenuti e i benefici derivanti dall'inserimento dello stesso all’interno dell’ente.

L'implementazione di un nuovo sistema informativo coincide con un investimento notevole, in termini di ammontare, ma anche complesso in quanto di non facile reversibilità. Un primo punto critico per l'analisi è rappresentato dal calcolo del costo di implementazione, normalmente troppo elevato. Il costo complessivo si compone di due categorie di costi: da una parte i costi palesi e dall'altra i costi impliciti. I costi palesi sono quelli imputabili con relativa certezza all'utilizzo di un sistema informativo gestionale, fra questi vi è il costo della licenza del pacchetto e i costi hardware. I costi di questo tipo possono essere considerati tendenzialmente fissi, poichè non crescono proporzionalmente al crescere delle utenze.

Ai costi palesi fanno poi da completamento i costi impliciti, che riguardano alcuni costi di gestione, fra cui quelli di organizzazione IT, di infrastruttura della rete e quelli relativi alla formazione degli utenti. Sono indispensabili consulenze esterne, le quali possono arrivare anche a tre-cinque volte il costo della licenza stessa.

Dopo l'implementazione l'ente dovrà occuparsi della manutenzione, della progettazione, ma anche dell'upgrading, hardware e/o software del sistema, sostenendo ulteriori spese. I costi di un progetto di implementazione vengono spesso classificati anche in funzione di un altro criterio: la loro imputabilità diretta al progetto. Sono da considerarsi diretti tutti quei costi imputabili in modo immediato all'acquisizione del software e cioè il costo della licenza, i costi di installazione nonché gli studi di fattibilità, la formazione del personale e le manutenzioni. Si annoverano fra i costi indiretti tutti quegli oneri imputabili in modo mediato all'introduzione del nuovo sistema derivanti dai rischi di malfunzionamenti ed inefficienze d'uso. La misurazione in questo caso diventa difficile e scarsamente prevedibile. Gran parte dei costi vengono sostenuti in fase di start up: si tratta soprattutto di costi diretti e determinabili nel loro ammontare.

Riferimenti

Scarica adesso ( PDF - 101 pagine - 5.09 MB )

Outline

NOMINA DEL COLLEGIO DEI REVISORI DEI CONT

Documenti correlati

Strumenti di tutela per il cittadino nei confronti della Pubblica Amministrazione

Nei confronti del provvedimento di rifiuto dell'Ufficiale d'Anagrafe, per richieste di cambio di abitazione, rilascio di certificati, e più in generale per l'Anagrafe della

Amministrazioni pubbliche"

gestibili secondo criteri di efficienza da soggetti privati (lettera c)); il trasferimento al Ministero dello sviluppo economico delle competenze relative al registro delle imprese,

pubbliche amministrazioni

▪ Entro i successivi novanta giorni, il Governo, con decreto del Presidente del Consiglio dei Ministri, d’intesa con la Conferenza unificata di cui all’articolo

Ambito PUBBLICA AMMINISTRAZIONE Possono aderire alla Coalizione le amministrazioni pubbliche di seguito elencate

AgID si riserva di valutare – attraverso la collaborazione del Comitato Tecnico Scientifico – l’ammissibilità della candidatura sulla base

per le Pubbliche Amministrazioni

laptop, server e workstation utilizzando una gestione della configurazione e una procedura di controllo delle variazioni rigorose, allo scopo di evitare che gli attacchi

PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO DELLA FUNZIONE PUBBLICA UFFICIO PERSONALE PUBBLICHE AMMINISTRAZIONI SERVIZIO TRATTAMENTO PERSONALE

La normativa stabilisce il trattamento economico spettante al dipendente in caso di assenza per malattia (comma 1), definisce le modalità per la presentazione della

Pubblica Amministrazione Ente Locale

• Principali mansioni e responsabilità Responsabile e coordinatore delle procedure ed attività necessarie per la “messa in marcia” e collaudo funzionale del

Città di Asti Settore Risorse Umane e Sistemi Informativi Servizio Software e Archivio / Protocollo

Dopo la terza applicazione della suddetta penale, l’Amministrazione comunale potrà procedere alla risoluzione del contratto per inadempimento contrattuale, secondo