PIANO DELLE ATTIVITA DI AUDIT (ANNO 2019)

(1)

PIANO

PIANO DELLE ATTIVITA’

DI AUDIT

(A ^NNO 2019)

(2)

Fonte: Funzione di Internal Auditing

Oggetto: PIANO DELLE ATTIVITÀ DI AUDIT ANNO 2019 Revisione: 00

Validità: 01.01.2019 – 31.12.2019

2 INDICE

SEZIONE PRIMA: ... 3

LA FUNZIONE DI INTERNAL AUDITING IN ATS INSUBRIA ... 3

1.SCOPO E CAMPO DI APPLICAZIONE ... 3

2.OBIETTIVI ... 3

3.RIFERIMENTI NORMATIVI ... 4

4.TERMINI E DEFINIZIONI ... 5

5.RUOLI E RESPONSABILITÀ ... 5

6.IL SISTEMA DEI CONTROLLI INTERNI ... 7

7.RACCORDO CON ORGANISMI E STRUTTURE DI REGIONE LOMBARDIA ... 9

7.1UOSISTEMA DEI CONTROLLI E COORDINAMENTO ORGANISMI INDIPENDENTI ... 9

7.2ORGANISMO REGIONALE PER LE ATTIVITÀ DI CONTROLLO (ORAC)... 10

SEZIONE SECONDA: ... 12

METODOLOGIA PER L’ADOZIONE DEL PIANO ... 12

8. RISK ASSESSMENT ... 12

9. PIANIFICAZIONE ... 14

10.ESECUZIONE DEL PROGRAMMA ... 15

11.PIANO DELLE ATTIVITÀ DI AUDIT ANNO 2019 ... 16

12.REPORTING E FLUSSI INFORMATIVI ... 18

13.RISORSE IMPIEGATE ... 18

CRONOPROGRAMMA ... 19

(3)

Validità: 01.01.2019 – 31.12.2019

3

SEZIONE PRIMA:

LA FUNZIONE DI INTERNAL AUDITING IN ATS INSUBRIA

1.SCOPO E CAMPO DI APPLICAZIONE

Il PIANO DELLE ATTIVITÀ DI AUDIT è lo strumento con il quale viene definita la pianificazione annuale degli interventi di audit. Nel Piano sono individuati i processi e/o le procedure che saranno verificati nell’anno, i correlati centri responsabilità e le risorse da destinarsi per lo svolgimento delle attività di indagine, anche non programmabili, da effettuarsi in corso d’anno.

Il Piano dà evidenza, per singolo audit, delle seguenti informazioni:

Processo/Procedura oggetto dell’audit;

Direzione/Struttura auditata;

Ambito dell’audit;

Obiettivo dell’intervento;

Cronoprogramma delle attività.

La proposta di Piano viene formulata dal Responsabile della Funzione di Internal Auditing (RIA) e adottata dalla Direzione Strategica.

2.OBIETTIVI

La Funzione di Internal Auditing, funzione indipendente, che risponde direttamente al Direttore Generale, trova collocazione nell’ambito del sistema dei controlli interni. Fornisce il supporto per implementare interventi rivolti alla risoluzione di anomalie ed al miglioramento dei processi. Svolge un’attività di controllo intesa come qualsiasi azione in grado di ricondurre il rischio, dal suo livello originario, ad un livello coerente con l’organizzazione.

Sono ambiti di intervento della funzione:

l’efficacia ed efficienza della gestione;

l’aderenza alle normative;

la salvaguardia del patrimonio;

l’affidabilità delle informazioni e dei bilanci.

L’Internal Auditing, su input della Direzione Strategica, agevola altresì l’effettivo recepimento delle eventuali raccomandazioni formulate dalla Corte dei Conti nell’ambito della propria attività di controllo.

(4)

Validità: 01.01.2019 – 31.12.2019

4 3.RIFERIMENTI NORMATIVI

DISCIPLINA NAZIONALE

DECRETO LEGISLATIVO 30 LUGLIO 1999, N. 286“Riordino e potenziamento dei meccanismi e strumenti di monitoraggio e valutazione dei costi, dei rendimenti e dei risultati dell’attività svolta dalle amministrazioni pubbliche”;

DECRETO LEGISLATIVO 30 MARZO 2001, N. 165 “Norme generali sull’ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche”;

DECRETO LEGISLATIVO 27 OTTOBRE 2009, N. 150 “Attuazione della Legge 4 marzo 2009, n.

15, in materia di ottimizzazione della produttività del lavoro pubblico e di efficienza e trasparenza delle pubbliche amministrazioni”;

LEGGE 6 NOVEMBRE 2012, N. 190 “Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione”.

DISCIPLINA REGIONALE

D.G.R. 24 NOVEMBRE 2011, N. IX/2524 “Vigilanza e controllo sugli enti del sistema regionale, ai sensi dell’art. 1, comma 1 bis e 5 quater L.R. 27 dicembre 2006 n. 30”;

DECRETO 3 APRILE 2013, N. 2822 “Approvazione del Manuale di Internal Auditing della UO Sistema dei Controlli e Coordinamento Organismi Indipendenti” di Regione Lombardia;

LEGGE REGIONALE 4 GIUGNO 2014, N. 17 “Disciplina dei controlli interni ai sensi dell’art. 58 dello Statuto d’autonomia”;

D.G.R. 23 DICEMBRE 2014, N. X/2989 “Determinazioni in ordine alla gestione del Servizio Socio Sanitario Regionale per l’esercizio 2015”, con la quale Regione Lombardia ha introdotto l’obbligo di costruzione della Rete di Internal Auditing (IA) negli Enti Sanitari e prevista la pianificazione annuale dell’attività;

D.G.R. 5 DICEMBRE 2016, N. X/5954 “Determinazione in ordine alla gestione del servizio sociosanitario per l’esercizio 2017”, che ha disposto l’invio da parte degli Enti Sanitari della pianificazione annuale dell’attività a Regione Lombardia.

CIRCOLARI,LINEE GUIDA,DELIBERE E DETERMINAZIONI

STANDARD INTERNAZIONALI PER LA PRATICA PROFESSIONALE DELL'I^NTERNALAUDITING -Institute of Internal Auditors (IIA);

DELIBERAZIONE 15 MARZO 2018, N. 129 “Adozione del nuovo Codice di Comportamento dell’ATS dell’Insubria”;

DELIBERAZIONE 18 GENNAIO 2018, N. 23 “Adozione del Manuale Operativo di Internal Auditing dell’ATS dell’Insubria”;

DELIBERAZIONE 30 GENNAIO 2019, N. 28 “Adozione del Piano Triennale di Prevenzione della Corruzione 2019-2021”.

(5)

Validità: 01.01.2019 – 31.12.2019

5 4.TERMINI E DEFINIZIONI

Ai fini del presente Piano, si applicano i termini e le definizioni seguenti:

INTERNAL AUDITING

Attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione (cfr. Associazione Italiana Internal Audit - AIIA)

PROCESSO Insieme di attività correlate o interagenti che trasformano un elemento di ingresso in un prodotto/servizio/prestazione finale

RISCHIO Effetto dell’incertezza. Il rischio è espresso in termini di combinazione delle conseguenze dell’evento e della probabilità associata al suo verificarsi

EFFETTO Per effetto si intende “lo scostamento positivo o negativo rispetto alla situazione attesa prevista”

AUDIT Processo sistematico, indipendente e documentato, che ha come scopo quello di verificare la conformità ai requisiti espressi. Gli audit possono essere operativi (o di processo) o di conformità alle procedure, ai regolamenti e alla normativa di riferimento

STRUTTURA AUDITATA

Struttura destinataria dell’attività di audit

5.RUOLI E RESPONSABILITÀ

ORGANI DI INDIRIZZO E DI VERTICE (DIRETTORE GENERALE,DIREZIONE STRATEGICA):

Definisce la strategia e gli obiettivi di Internal Auditing;

Adotta il Piano delle attività di Audit;

Acquisiscono i rapporti di Audit, verificando il funzionamento del sistema dei controlli e delle procedure operative;

RESPONSABILE DELLA FUNZIONE DI INTERNAL AUDIT (RIA):

Assiste la Direzione Strategica nella definizione della strategia e degli obiettivi di Internal Auditing;

Collabora con la Direzione Strategica nel valutare il funzionamento del sistema dei controlli e delle procedure operative;

Predispone il Piano delle attività di Audit;

Regola lo svolgimento delle attività programmate all’interno del Piano delle attività di Audit annuale approvato, garantendone l’esecuzione e coordinandone le iniziative di follow-up;

Garantisce il supporto alle operazioni di controllo svolte degli Auditor;

Attiva consulenze esterne per la pianificazione ed esecuzione degli interventi di audit, qualora lo ritenga necessario per la mancanza di competenze adeguate o di risorse

(6)

Validità: 01.01.2019 – 31.12.2019

6 all’interno della funzione, fatti salvi i vincoli di budget;

Revisiona i piani degli interventi e dei rapporti finali, garantendo la sostenibilità delle conclusioni tratte e delle eventuali osservazioni proposte;

Assicura la gestione efficace delle risorse umane, strumentali e finanziarie assegnate alla Struttura, garantendo un’idonea formazione del personale;

Assicura idonea formazione dei componenti il Gruppo Operativo;

Aggiorna il Manuale Operativo qualora se ne verifichino i presupposti;

Mappa i rischi e la pianificazione degli audit, verifica le procedure di gestione e di controllo;

Implementa, aggiorna e valuta il modello di “Risk Assessment” sulla base dei risultati degli audit.

GRUPPO OPERATIVO DI INTERNAL AUDITING (GOIA):

Collabora con il Responsabile della Funzione di Internal Audit alla predisposizione del Piano delle attività di Audit, alla sua esecuzione e relativo monitoraggio;

Collabora alla revisione del Manuale Operativo;

Supporta la Funzione di Internal Auditing nell’implementazione, aggiornamento e valutazione del modello di “Risk Assessment” sulla base dei risultati degli audit.

AUDITOR:

Eseguono gli audit programmati;

Assistono i Responsabili delle aree auditate nell’identificazione e nella valutazione degli ambiti maggiormente esposti ai rischi nonché nella predisposizione di nuovi sistemi gestionali;

Redigono i rapporti di audit;

Individuano e propongono azioni migliorative;

Aggiornano le tavole di follow-up al termine di ciascun intervento di audit;

Raccolgono, ordinano ed archiviano tutta la documentazione e le evidenze necessarie a supportare le conclusioni tratte nel corso degli interventi di audit;

Predispongono i report destinati alla Direzione strategica;

Partecipano agli specifici percorsi di formazione.

NUCLEO DI VALUTAZIONE DELLE PERFORMANCE/PRESTAZIONI DEL PERSONALE:

Collabora con la funzione aziendale di internal auditing al fine di perseguire il miglioramento dell’efficacia e dell’efficienza dell’Agenzia.

(7)

Validità: 01.01.2019 – 31.12.2019

7 6.IL SISTEMA DEI CONTROLLI INTERNI

Il Sistema dei Controlli Interni è configurabile come un insieme di strumenti operativi e gestionali, finalizzato a garantire il raggiungimento efficace ed efficiente degli obiettivi dell’organizzazione nonché prestazioni e servizi sociosanitari appropriati.

L’Agenzia ha avviato un percorso per dare una risposta sistemica alla prevenzione dei fattori di rischio e attuare in forma coordinata il complesso degli interventi volti a garantire imparzialità e buon andamento dell’Amministrazione.

Con il Piano di Organizzazione Aziendale Strategico (POAS) è stata istituita l’UOC Sistema dei Controlli Interni, unità organizzativa complessa, in “staff” alla Direzione Generale, cui sono affidati i seguenti compiti:

-

assicurare che l’insieme delle regole, delle procedure, dei processi organizzativi e dei meccanismi operativi volti a consentire il conseguimento degli obiettivi aziendali sia coerente con il livello di rischio scelto/accettato dal vertice aziendale;

-

integrare e sviluppare gli strumenti operativi e le tecniche di controllo massimizzando il valore prodotto dall’attività di misurazione e verifica;

-

coordinare le funzioni preventive secondo una logica sostanziale, evitando sovrapposizioni o duplicazioni che potrebbero presentare il rischio di una ridondanza di attività;

-

assicurare il monitoraggio dei costi legati al sistema dei controlli interni in una logica sia di efficacia che di efficienza del sistema.

Ad assicurare le funzioni concorrono le Unità Organizzative Semplici (UOS) Controllo di Gestione e Qualità e Risk Management.

In tale assetto organizzativo si colloca la FUNZIONE DI INTERNAL AUDITING prevista dalla L.R. n.

17/2014.

Il Piano triennale di prevenzione della corruzione 2019-2021 dà evidenza dello sviluppo di tale percorso. Il Piano affina l’approccio metodologico integrato della gestione del rischio sperimentato, fin dal 2018, dal Responsabile della Prevenzione della Corruzione in sinergia con il Responsabile IA.

Accanto al primo e tradizionale livello di controllo interno, affidato ai responsabili dei diversi processi, volto a valutare che l’azione amministrativa si svolga conformemente alle disposizioni di riferimento, si è avvertita la necessità di valorizzare e collegare le specifiche e autonome funzioni preposte alla gestione dei rischi (strategici, di processo e/o informativi) e contribuire, in definitiva, al buon andamento dell’azione amministrativa.

Di seguito si rappresenta l’ambiente di controllo interno che completa le tipologie di controllo interno tradizionalmente previste nella Pubblica Amministrazione (CONTROLLO DI REGOLARITÀ AMMINISTRATIVA E CONTABILE; CONTROLLO DI GESTIONE; CONTROLLO STRATEGICO, CONTROLLO E VALUTAZIONE DELLE PERFORMANCE/PRESTAZIONI).

(8)

Validità: 01.01.2019 – 31.12.2019

8

A

MBIENTE DI CONTROLLO INTERNO

Nell’ambito del Dipartimento Amministrativo di Controllo e degli Affari Generali e Legali e del Dipartimento Cure Primarie trovano inoltre collocazione le funzioni di controllo tipiche, in particolare:

controllo presenza in servizio del personale dipendente;

procedimenti in materia di esercizio di attività extra-istituzionali;

controllo sul rispetto della disciplina delle incompatibilità, come prevista dalle disposizioni di legge e contrattuali da parte del personale dipendente;

controllo sul rispetto, da parte del personale convenzionato, della disciplina delle incompatibilità previste da norme di legge e accordi collettivi;

verifica del rispetto delle disposizioni vigenti in materia di esercizio della libera professione intra ed extramoenia;

controlli sulle autocertificazioni, con particolare riguardo a quelle presentate ai fini dell’esenzione dal pagamento delle quote di compartecipazione alla spesa sanitaria;

controllo atti;

vigilanza e controllo sulle persone giuridiche private iscritte nel relativo registro regionale operanti nel territorio di competenza;

tutte le altre funzioni di verifica e controllo su mandato della Direzione aziendale.

(9)

Validità: 01.01.2019 – 31.12.2019

9 LA PIRAMIDE DEI CONTROLLI

7.RACCORDO CON ORGANISMI E STRUTTURE DI REGIONE LOMBARDIA

7.1UOSISTEMA DEI CONTROLLI E COORDINAMENTO ORGANISMI INDIPENDENTI

Con Deliberazioni di Giunta Regionale del 26 maggio 2010, n. 48 “II Provvedimento organizzativo 2010” e del 22 dicembre 2010 n. 1029 “V Provvedimento organizzativo 2010”

sono state determinate le competenze della U.O. Sistema dei Controlli e Coordinamento Organismi Indipendenti. L’Unità Organizzativa esplica le seguenti funzioni:

coordinamento del sistema dei controlli della Giunta Regionale e del SIREG;

impostazione attività di Audit interno e SIREG anche in raccordo con l’Organismo Indipendente di Valutazione della Performance (OIPV);

raccordo e collegamento con consigli di sorveglianza, collegi sindacali, revisori e organismi di vigilanza e OPR;

referente nei confronti della Corte dei Conti.

L’U.O. è stata a sua volta articolata in due Strutture:

Audit Interno Regione e supporto al Comitato dei Controlli;

Audit Sistema Regionale (SIREG).

(10)

Validità: 01.01.2019 – 31.12.2019

10 Il raccordo con il livello regionale è garantito, in conformità alle Regole annuali di Sistema, attraverso adeguati flussi informativi:

entro il 28 febbraio, il RIA dovrà inviare la Pianificazione annuale dell’attività di audit che dovrà essere eseguita nell'anno;

entro il 28 marzo, il RIA dovrà trasmettere la Relazione di monitoraggio sullo stato di attuazione delle attività di audit effettuate nell’anno precedente;

entro il 31 luglio, il RIA dovrà inoltre procedere all’invio di una Relazione semestrale di monitoraggio delle attività di audit effettuate al 30 giugno dell’anno di riferimento.

Il RIA trasmette inoltre tempestivamente, alla struttura di audit regionale, gli aggiornamenti relativi a collocazione organizzativa, procedure, dotazione della funzione Internal Auditing.

7.2ORGANISMO REGIONALE PER LE ATTIVITÀ DI CONTROLLO (ORAC)

La Legge Regionale 28 settembre 2018, n. 13 ha istituito l’Organismo Regionale per le Attività di Controllo (ORAC). Tale Organismo sostituisce:

l’Agenzia Regionale Anti Corruzione (ARAC), istituita con Legge Regionale 17 marzo 2016, n. 5;

il Comitato Regionale per la Legalità e la Trasparenza dei Contratti Pubblici, di cui all'art. 13 della L.R. n. 17/2015;

il Comitato dei Controlli, di cui all'art. 20 della L.R. n. 20/2008.

Sono componenti dell'Organismo Regionale per le Attività di Controllo il Responsabile della struttura organizzativa preposta all'attività di controllo successivo di regolarità amministrativa degli atti dirigenziali della Giunta regionale e il RESPONSABILE DELLA STRUTTURA ORGANIZZATIVA PREPOSTA ALLA FUNZIONE DI AUDIT di cui all'articolo 6 della l.r. 17/2014.

L’ORAC, connotato da indipendenza funzionale, di giudizio e di valutazione, svolge tra l’altro le seguenti funzioni:

a) DEFINISCE GLI INDIRIZZI E LE LINEE GUIDA dei sistemi di controllo interno e delle funzioni di audit della Giunta Regionale e degli Enti del Sistema Regionale, fornendo altresì indicazioni in merito alle metodologie e alle procedure adottate, secondo modalità finalizzate a semplificare, migliorare e rendere trasparenti le attività delle stazioni appaltanti regionali e degli operatori del settore, con l'obiettivo di prevenire, individuare e contrastare i rischi di corruzione, illegalità e infiltrazioni criminali;

b) VALUTA, sulla base dell'individuazione e valutazione dei rischi di corruzione effettuati nei Piani Triennali di Prevenzione della Corruzione e della Trasparenza (PTPCT) e sulla base del monitoraggio degli ulteriori rischi effettuato con l'ausilio dei Responsabili della Funzione di Audit, l'incidenza dei rischi sistemici per il corretto funzionamento dei sistemi di controllo interno della Giunta Regionale e degli Enti del Sistema Regionale, favorendo il necessario coordinamento tra le diverse attività di controllo e realizzando una più efficiente

(11)

Validità: 01.01.2019 – 31.12.2019

11 integrazione tra i sistemi di prevenzione della corruzione, di gestione dei rischi e di controllo interno della Giunta Regionale e degli Enti del Sistema Regionale;

h) COORDINA LA RETE DEGLI UFFICI DEGLI ENTI DEL SISTEMA REGIONALE CHE SVOLGONO ATTIVITÀ DI AUDIT INTERNO, assicurando adeguate forme di coordinamento, impulso, condivisione di buone pratiche e dotazione di strumenti finalizzati a rafforzare il ruolo e a sostenere l'attività degli organi di controllo decentrati negli enti del sistema regionale, garantendone l'indipendenza e la terzietà e favorendo l'integrazione tra organismi, attività e strumenti di controllo centrali e decentrati.

(12)

Validità: 01.01.2019 – 31.12.2019

12

SEZIONE SECONDA:

METODOLOGIA PER L’ADOZIONE DEL PIANO

8. RISK ASSESSMENT

Il Risk Assessment rappresenta l’attività preliminare alla predisposizione del Piano delle Attività di Audit.

Per Risk Assessment, si intende il processo sistematico di identificazione e valorizzazione dei rischi, finalizzato ad individuare i processi maggiormente esposti a rischio.

Le principali fasi in cui si articola il processo sono la DEFINIZIONE dell’Universo di Audit, l’IDENTIFICAZIONE dei rischi dei processi e la loro VALUTAZIONE.

A) DEFINIZIONE DELL’UNIVERSO DI AUDIT

Nel biennio 2017-2018 si è sviluppata e conclusa la mappatura dei processi coerentemente al cronoprogramma di attuazione del Piano di Organizzazione Aziendale Strategico (POAS) approvato con DGR n. X/6357 del 20 marzo 2017.

La mappatura ha interessato i processi rientranti nelle aree di responsabilità delle nuove articolazioni organizzative, così come derivati dai funzionigrammi. Attraverso tale intervento l’Agenzia ha inteso assicurare funzionalità al nuovo assetto strutturale, nonché piena attuazione alla sua mission.

Il progetto è stato curato nella fase attuativa dall’UOS Controllo di Gestione, struttura di supporto al R.PCT, e dall’UOS Qualità e Risk Management. È stato collegato con il Ciclo di Gestione della Performance (processo di budget) ed ha coinvolto tutto il personale (Dirigenza e Comparto) in relazione alle rispettive competenze e responsabilità.

La mappatura completa dei processi (N. 287) è rappresentata in sintesi nell’ALLEGATO 2 AL PTPC 2019-2021 (CATALOGO DEI PROCESSI). Questi ultimi sono stati, successivamente, ricondotti a MACRO AREE DI ATTIVITÀ (N.64).

Nella figura sotto riportata è rappresentata la mappa, articolata tra PROCESSI “CORE”e PROCESSI DI SUPPORTO.

Per i processi “core”:

AREE A RISCHIO

GOVERNO DELL’OFFERTA (inclusi: rapporti contrattuali di prestazioni sanitarie con privati accreditati e controlli, verifiche, ispezioni, sanzioni)

GOVERNO DELLA DOMANDA (inclusi: rapporti contrattuali con le unità d’offerta per prestazioni sociosanitarie e concessione contributi/sussidi/vantaggi economici)

GOVERNO DELLE CURE PRIMARIE (inclusi: controlli, verifiche, ispezioni, sanzioni) IGIENE E PREVENZIONE SANITARIA (controlli, verifiche, ispezioni, sanzioni) PREVENZIONE VETERINARIA (controlli, verifiche, ispezioni, sanzioni)

(13)

Validità: 01.01.2019 – 31.12.2019

13 per i processi di supporto:

AREE A RISCHIO

SISTEMA DEI CONTROLLI INTERNI

AFFARI GENERALI E LEGALI

GESTIONE ECONOMICO FINANZIARIA (inclusa la gestione delle entrate e delle spese) GESTIONE DELLE RISORSE UMANE (inclusi incarichi e nomine e attività libero professionale) GESTIONE DEGLI ACQUISTI E DELLA LOGISTICA (area contratti)

GESTIONE TECNICO PATRIMONIALE (inclusa: gestione del patrimonio)

L’ALLEGATO 5 AL PTPC2019-2021(SCHEDE DI PROCESSO)identifica l’UNIVERSO DEGLI AUDIT,ai fini della predisposizione del presente Piano.

B)IDENTIFICAZIONE DEI RISCHI

Il REGISTRO DEI RISCHI è stato elaborato avendo come base quello di Regione Lombardia. Lo sforzo è stato quello di definire uno strumento integrato, funzionale alla valutazione dei rischi legati anche alla corruzione ed alle eventuali segnalazioni di non conformità (Sistema di Qualità Aziendale).

I rischi potenziali sono stati ricondotti alle seguenti tipologie:

TIPOLOGIA RISCHIO CODICE DESCRIZIONE

RISCHI STRATEGICI Stra

Rischi derivanti dal manifestarsi di eventi che possono condizionare e/o modificare in modo rilevante le strategie e il raggiungimento degli obiettivi dell’Azienda. Possono avere origine esterna ma anche interna.

RISCHI DI

PROCESSO Pro

Rischi connessi alla normale operatività dei processi dell’ATS che possono pregiudicare il raggiungimento di obiettivi di efficienza/efficacia.

RISCHI DI

INFORMATIVA Inf

Rischi connessi alla possibile inadeguatezza dei flussi informativi interni alla ATS, che possono impedire un’adeguata analisi e valutazione delle diverse problematiche e pregiudicare la correttezza dell'informativa prodotta nonché l'efficacia delle decisioni strategiche e operative.

C) VALUTAZIONE DEI RISCHI

Per quantificare il rischio è stata utilizzata la metrica prevista dal Manuale Operativo di Internal Auditing (delibera n. 26 del 18 gennaio 2018).

La Matrice R.A.C.M. (Risk Assessment Criteria Matrix) ha consentito di rendere oggettivabili i parametri che nel loro complesso costituiscono l’indice di rischio. Questi parametri sono rappresentati dal prodotto tra PROBABILITÀ e IMPATTO.

La PROBABILITÀ misura la frequenza di accadimento dell’evento ed è quindi correlata anche ai volumi dell’attività per la quale stiamo valutando il rischio.

(14)

Validità: 01.01.2019 – 31.12.2019

14 L’IMPATTO è inteso come la valutazione quantitativa del danno che potrebbe derivare nel caso di accadimento del rischio identificato ed è espresso in aumento costi, riduzione ricavi o danno di immagine.

Il risultato della valorizzazione dei rischi è effettuato al “LORDO” del controllo ossia non tenendo conto dei sistemi di controllo interni esistenti e dell’effetto del controllo di linea realizzato dal responsabile di processo per presidiare quel rischio e ridurne gli impatti negativi sul raggiungimento degli obiettivi.

Nel triennio di valenza del PTPC (2019-2021) è prevista, prendendo come spunto le proposte innovative, la bibliografia e la letteratura di settore, la sperimentazione di due nuovi strumenti finalizzati alla prevenzione dei fattori che rendono vulnerabili i processi:

la mappatura degli interessi, come evoluzione della mappatura dei processi;

l’applicazione di metodi statistici per la classificazione dei rischi in base alle priorità di intervento.

9. PIANIFICAZIONE

La pianificazione degli interventi di audit e l’individuazione dei processi/procedure da auditare, si sviluppano sui seguenti elementi di ingresso:

obiettivi di interesse regionale, declinati nelle c.d. Regole annuali di Sistema;

esiti degli attività di audit degli anni precedenti;

rischi sui processi/procedure (Risk Assessment);

volumi di attività generati dai processi in termini di output, o di volumi economici in termini di costi/ricavo o per numero di persone coinvolte;

aree sensibili o processi coinvolti nelle politiche di contenimento della spesa oggetto, tra l’altro, di specifica attenzione da parte della Corte dei Conti;

rotazione delle strutture, affinchè le articolazioni organizzative siano egualmente auditate.

In particolar modo, coerentemente con quanto previsto dalle Regole annuali di Sistema, la pianificazione tiene conto dei processi a rischio di corruzione. A tal fine attivo è stato il contributo del Responsabile della Prevenzione della Corruzione e della Trasparenza che, in continuità con gli anni passati, ha collaborato nell’individuazione dei processi da auditare.

Si considerano inoltre elementi di ingresso le osservazioni, eventualmente pervenute, dal livello regionale e/o da Organi/Organismi di controllo (es. Collegio Sindacale, Nucleo di Valutazione delle Performance/Prestazioni, Corte dei Conti, etc.).

(15)

Validità: 01.01.2019 – 31.12.2019

15 10.ESECUZIONE DEL PROGRAMMA

Le attività di audit verranno svolte conformemente agli Standard Internazionali Professionali, secondo le seguenti fasi:

Programmazione e definizione dell’audit (definizione degli obiettivi, individuazione del team, stesura del cronoprogramma);

Apertura formale delle attività (notifica alla struttura auditata del calendario di audit);

Analisi documentazione agli atti, studio dei controlli interni, predisposizione strumenti di audit, elaborazione di elementi di verifica e controllo, individuazione del campione da cui estrarre le aree soggette a indagine;

Incontri tecnici intermedi con gli owner di processo per validare gli strumenti e per eventuali modifiche/chiarimenti;

Stesura definitiva degli strumenti ed estrazione del campione;

Reporting (predisposizione di rapporto di audit);

Chiusura delle attività di audit e riunione conclusiva;

Eventuale follow up.

(16)

Validità: 01.01.2019 – 31.12.2019

16 11.PIANO DELLE ATTIVITÀ DI AUDIT ANNO 2019

I processi/procedure individuati per l’anno 2019 sono:

CODICE AUDIT:INS.01.19

ATTIVITÀ/PROCESSO:PROCESSO SANZIONATORIO

TIPOLOGIA DI RISCHIO:Rischio di Compliance e Rischio Amministrativo-Contabile

OBIETTIVO DELL’AUDIT:verranno valutati i rischi di mancata conformità alla Legge n. 689/1981 nonché al Regolamento interno e la possibilità che il processo di gestione delle riscossioni non sia adeguatamente presidiato e agito, con possibili conseguenze in termini di perdita di risorse

DIREZIONE/STRUTTURA AUDITATA:UOC CHE GESTISCONO CONTESTAZIONI DI ILLECITI AMMINISTRATIVI EX LEGGE 689/81 (=>1 STRUTTURA)

TEAM DI AUDIT:

TEAM LEADER:Professionista specialista nel processo/procedura

AUDITOR:Funzione di Internal Auditing / P.O. Referente Internal Auditing

AUDITOR:Responsabile della Prevenzione della Corruzione e della Trasparenza (o suo delegato)

ATTIVITÀ/PROCESSO:ACQUISTO DI PRESTAZIONI DI PSICHIATRIA

TIPOLOGIA DI RISCHIO:Rischio di Compliance e Rischio Amministrativo-Contabile

OBIETTIVO DELL’AUDIT:verranno valutati i rischi di mancato rispetto della disciplina regionale che regola i rapporti con gli erogatori pubblici e privati accreditati a contratto di prestazioni di psichiatria (omissioni di adempimenti contrattuali, rendicontazioni di flussi informativi, pagamenti e controlli di appropriatezza), con possibili conseguenze in termini di perdite di risorse

DIREZIONE/STRUTTURA AUDITATA:UOSD Coordinamento Area Salute Mentale

TEAM DI AUDIT:

AUDITOR:Responsabile della Prevenzione della Corruzione e della Trasparenza (o suo delegato)

ATTIVITÀ/PROCESSO:MONITORAGGIO DEI TEMPI DI ATTESA PER LE PRESTAZIONI AMBULATORIALI

TIPOLOGIA DI RISCHIO:Rischio di Compliance e Rischio di informativa

OBIETTIVO DELL’AUDIT: verranno valutati i rischi legati a un controllo non efficace del processo di monitoraggio (obiettivi dichiarati, modalità di raccolta dei dati, verifiche condotte, confronto tra fonti diverse, risultati raggiunti, azioni migliorative eseguite) con pregiudizio della correttezza dell’informativa prodotta nonché dell’efficacia delle decisioni strategiche e operative

DIREZIONE/STRUTTURA AUDITATA: Dipartimento di Programmazione, Accreditamento, Acquisto delle Prestazioni Sanitarie e Sociosanitarie (PAAPSS)

TEAM DI AUDIT:

(17)

Validità: 01.01.2019 – 31.12.2019

17 CODICE AUDIT:INS.04.19

ATTIVITÀ/PROCESSO:GESTIONE DEL CICLO ATTIVO

TIPOLOGIA DI RISCHIO:Rischio di Compliance e Rischio Amministrativo-Contabile

OBIETTIVO DELL’AUDIT:verranno valutati i rischi che i processi interni e/o quello di riscossione non siano adeguatamente agiti e gestiti, con possibili conseguenze in termini di perdita di risorse e/o maggiori oneri per il sistema

DIREZIONE/STRUTTURA AUDITATA:UOC Economico Finanziario

TEAM DI AUDIT:

MODIFICHE ED INTEGRAZIONI

Il Piano degli Interventi di Audit potrà essere variato ed integrato in base a:

specifiche richieste formulate della Direzione Strategica;

specifiche richieste formulate da Regione Lombardia;

segnalazioni da parte della UOC Sistema dei Controlli Interni;

valutazioni in merito allo stato di avanzamento delle azioni;

eventuali esigenze di carattere straordinario.

Gli scostamenti rispetto al presente Piano saranno motivati nella relazione consuntiva annuale.

(18)

Validità: 01.01.2019 – 31.12.2019

18 12.REPORTING E FLUSSI INFORMATIVI

Le comunicazioni della funzione di Internal Auditing saranno rivolte ai seguenti soggetti:

SOGGETTI AUDITATI: destinatari delle comunicazioni previste nelle diverse fasi degli interventi di audit;

DIREZIONE STRATEGICA: destinataria dei rapporti di audit e delle relazioni periodiche sullo stato di attuazione del Piano;

RESPONSABILI DELLE FUNZIONI COINTERESSATE alla specifica procedura/azione esaminata:

destinatari dei rapporti di audit per gli aspetti di loro competenza;

FUNZIONI AZIENDALI PREPOSTE, a diverso titolo, alla gestione dei rischi: destinatari delle eventuali segnalazioni rispetto ai rischi presidiati.

13.RISORSE IMPIEGATE

Le risorse a disposizione per la realizzazione del Piano delle Attività di Audit anno 2019 sono le seguenti:

Responsabile della Funzione di Internal Auditing;

Collaboratore Amministrativo Professionale titolare di Posizione Organizzativa;

Dirigenti/Professionisti specialisti nei processi/procedure;

Responsabile della Prevenzione della Corruzione e della Trasparenza.

Il RIA si avvale inoltre, sia nella fase di individuazione dei processi/procedure da auditare, che nella fase di valutazione del rischio, del supporto del Gruppo Operativo di Internal Auditing (GOIA).

(19)

Validità: 01.01.2019 – 31.12.2019

C

RONOPROGRAMMA

ATTIVITÀ

PIANO DELLE ATTIVITÀ DI AUDIT - ANNO 2019

RENDICONTAZIONE PIANO DELLE ATTIVITÀ DI AUDIT - ANNO 2018 FOLLOW UP INS.01.18-ATTIVITÀ DI CONTROLLO DIPARTIMENTO CURE

PRIMARIE

FOLLOW UP INS.02.18-ATTIVITÀ INTEGRATE DI CONTROLLO -MANUALE

OPERATIVO DELLA AUTORITÀ COMPETENTE LOCALE (REG.CE N.882/04) FOLLOW UP INS.03.18-ATTIVITÀ DI CONTROLLO –DIPARTIMENTO PAAPSS FOLLOW UP INS.04.18-GESTIONE DEL CICLO PASSIVO

FOLLOW UP INS.05.18-ATTIVITÀ EXTRA ISTITUZIONALE

INS01.19-PROCESSO SANZIONATORIO

RELAZIONE SEMESTRALE -PIANO DELLE ATTIVITÀ DI AUDIT - ANNO 2018 INS02.19-ACQUISTO DI PRESTAZIONI DI PSICHIATRIA

INS 03.19 - MONITORAGGIO DEI TEMPI DI ATTESA PER LE

PRESTAZIONI AMBULATORIALI

INS04.19-GESTIONE DEL CICLO ATTIVO

2019

GEN FEB MAR APR MAG GIU LUG

X

URE X

ANUALE

882/04) X

PAAPSS X

X

2018 X

TTESA PER LE

19 AGO SET OTT NOV DIC

X

PIANO DELLE ATTIVITA DI AUDIT (ANNO 2019)

PIANO