PIANO ANNUALE DI CONTROLLO INTERNO anno 2016 Allegato alla deliberazione n. 556 del 15.12.2015 Responsabile del Procedimento: Dott.ssa Valentina Berni Pagina 1 di 8
PREMESSA Con D.G.R. 2989 del 23.12.2014, All. B, Regole di Sistema 2015 ambito sanitario, par 2.3.6.4. Regione Lombardia ha inteso concludere il percorso della costruzione della rete di Internal Audit (IA), con l'ingresso, in tale rete, di tutti gli Enti Sanitari. A tali fini e in attuazione della L.r. n. 17/2014, è stata fornita ai responsabili della funzione IA, come individuati dai rispettivi Enti, la formazione di base per l ingresso nella Rete e l utilizzo di strumenti e metodologie di audit standardizzate. L'Azienda Ospedaliera Fatebenefratelli e Oftalmico ha provveduto ad adottare, con provvedimento n. 214 del 8.05.2015, il Manuale di Internal Auditing di Regione Lombardia, recependo i principi e i criteri in esso contenuti. Il Manuale rappresenta il documento di riferimento per l'effettuazione di una attività di revisione interna delle procedure di maggiore importanza e criticità della gestione aziendale. Il presente Piano intende pianificare l'attività di Internal Auditing per l'anno 2016 ed è stato predisposto tenendo conto delle seguenti finalità: - rispondere alle aspettative della Direzione Strategica in termini di mitigazione dei rischi delle attività e dei processi; - verificare l efficacia del sistema dei controlli e la conformità delle procedure e dei processi alla normativa di riferimento; - accertare, attraverso interventi di follow-up, l effettiva implementazione delle raccomandazioni e dei piani d azione relativi agli audit effettuati; Il controllo può essere collocato in un percorso di miglioramento della qualità dell'azione amministrativa ( intesa in senso ampio) che presenta indubbi vantaggi quali: - contribuisce ad assicurare la legittimità e la correttezza dell'attività, attraverso la revisione delle procedure attuate, la verifica delle scelte interpretative di leggi e di regolamenti, la valutazione e la correzione di difformità eventualmente emerse, prevenendo i rilevi formali da parte degli organi di controllo deputati. -aumenta la motivazione dei dirigenti e degli operatori verso una condotta efficiente ed ordinata della propria attività e ne valorizza la responsabilizzazione attraverso l'esplicitazione, nella definizione delle aree di responsabilità proprie, delle procedure di controllo (affiancate, rispettivamente a quelle di direzione, coordinamento od operative normalmente svolte); Responsabile del Procedimento: Dott.ssa Valentina Berni Pagina 2 di 8
- determina una maggiore affidabilità delle strutture aziendali sia nei confronti dei clienti interni che dei cittadini che accedono ai servizi; - facilita la omogeneità delle procedure tra le diverse strutture aziendali e la condivisione delle soluzioni a fronte della complessità organizzativa propria di questa Azienda che porta, al contrario, ad assumere comportamenti autonomi e, a volte, contraddittori; - costituisce l'occasione per individuare interventi di semplificazione e di miglioramento dell'efficienza, sia nell'ambito degli adempimenti da compiere che delle risorse da utilizzare; ART.1- IDENTIFICAZIONE DEI RISCHI E LORO VALUTAZIONE Le tipologie di rischio che la funzione di Internal Audit in Azienda ha provveduto a rilevare sono quelle previste nel manuale di Regione Lombardia e significatamente: - Rischio Strategico: rischio derivante dal manifestarsi di eventi che possono condizionare e/o modificare in modo rilevante le strategie ed il raggiungimento degli obiettivi aziendali. Possono avere origine esterna ma anche interna - Rischio di processo: rischio connesso alla normale operatività dei processi aziendali, che possono pregiudicare il raggiungimento di obiettivi di efficienza/efficacia, di qualità dei servizi erogati, di salvaguardia del patrimonio pubblico e di conformità normativa - Rischio di informativa:rischio connesso alla possibile inadeguatezza dei flussi informativi interni all'azienda e che possono impedire una adeguata analisi e valutazione delle diverse problematiche e pregiudicare la correttezza dell'informativa prodotta nonché l'efficacia delle decisioni strategiche e operative Sulla base di quanto sopra e per ogni Area di interesse si è provveduto a rilevare la tipologia del rischio e a valutarne la probabilità e l'impatto secondo le modalità previste nel manuale di Regione Lombardia, che qui di seguito si riportano: QUASI CERTO MOLTO PROBABILE POCO PROBABILE RARO VALUTAZIONE DELLE PROBABILITA' E' presumibile che l'evento si manifesti sistematicamente o ripetutamente nell'arco di un periodo definito La probabilità di accadimento dell'evento è da considerarsi reale, anche se non con caratteristiche di sistematicità L'evento ha qualche probabilità di manifestarsi nel nel periodo La probabilità di accadimento dell'evento è da considerarsi remota Responsabile del Procedimento: Dott.ssa Valentina Berni Pagina 3 di 8
GRAVE SIGNIFICATIVO MODERATO IRRILEVANTE VALUTAZIONE DELL'IMPATTO Impatto rilevante sul raggiungimento degli obiettivi strategici dell'azienda. Casi di frode o malversazioni, inefficacia dei sistemi informatici Impatto rilevante sulla strategia o sulle attività operative dell'organizzazione Impatto contenuto sul raggiungimento degli obiettivi strategici dell'azienda. Inefficienze o interruzioni nell'operatività, nei pagamenti, problemi temporanei di erogazione del servizio Nessun impatto concreto sul raggiungimento degli obiettivi ma situazioni anomale che, a giudizio del management possono richiedere interventi correttivi sui controlli a presidio di tali rischi La valutazione complessiva del rischio in termini di probabilità e impatto è stata effettuata utilizzando la seguente matrice: 4 QUASI CERTO 3 MOLTO PROBABILE 2 POCO PROBABILE 1 RARO IRRILEVANTE 1 MODERATO 2 SIGNIFICATIVO 3 ELEVATO 4 Medio Alto Elevato Elevato Medio Medio Alto Elevato Basso Medio Medio Alto Basso Basso Medio Alto Sulla base di quanto sopra descritto, si esplicitano qui di seguito, per ogni area sottoposta a valutazione nell'anno 2015, le tipologie di rischio da sottoporre ad Audit nell'anno 2016: Responsabile del Procedimento: Dott.ssa Valentina Berni Pagina 4 di 8
A) AREA DEL PERSONALE PROCESSO DESCRIZIONE DEL CONTROLLO Valutazione complessiva del rischio orario di lavoro ( ordinario e straordinario) assenze dal servizio Controllo del rispetto da parte dei dipendenti del profilo orario assegnato, del debito orario contrattualmente previsto, delle pause giornaliere, dei riposi, verifica del corretto esercizio dell'istituto dello straordinario e della pronta disponibilità Controllo del rispetto delle tipologie, delle causali e dei limiti temporali previsti dalle vigenti disposizioni di legge Molto Probabile Impatto significativo RISCHIO ALTO Poco probabile Impatto significativo RISCHIO MEDIO B) AREA DEGLI ACQUISTI PROCESSO DESCRIZIONE Valutazione complessiva del rischio Servizi Economali appaltati Controllo del rispetto della corretta esecuzione dei servizi appaltati, al fine di pervenire ad una regolare esecuzione degli addebiti corrispondenti Molto Probabile Impatto significativo RISCHIO ALTO Responsabile del Procedimento: Dott.ssa Valentina Berni Pagina 5 di 8
C) AREA SPEDALITA' PROCESSO DESCRIZIONE Valutazione complessiva del rischio Riscossione incassi CUP Controllo gestione rimborsi, storni, note di credito, differenze di cassa Molto Probabile Impatto grave RISCHIO ELEVATO Riscossione incassi CUP Controllo quadratura fatturato/incassato Molto Probabile Impatto grave RISCHIO ELEVATO D) AREA LIBERA PROFESSIONE PROCESSO DESCRIZIONE Valutazione complessiva del rischio Orari Libera Professione Controllo che la LP sia esercitata negli orari autorizzati e al di fuori dell'orario di lavoro istituzionale Molto Probabile Impatto grave RISCHIO ELEVATO Riscossione incassi CUP Controllo quadratura fatturato/incassato Molto Probabile Impatto grave RISCHIO ELEVATO Responsabile del Procedimento: Dott.ssa Valentina Berni Pagina 6 di 8
Art. 2 SVOLGIMENTO DELL'AUDIT Il seguente Piano definisce le azioni e/o procedure che saranno verificate nel corso dell'anno 2016 ed individua i correlati centri di responsabilità. L'Internal Audit predispone un calendario dei lavori e individua, con il supporto della Direzione Strategica,il team di audit che dovrà supportare l'internal Audit nella sua attività che comprende i seguenti step: Preparazione dell'audit Presa di contatto iniziale con l'area/struttura oggetto di audit attraverso una comunicazione scritta ( all.1) al Responsabile dell'area da sottoporre ad audit interno con richiesta di invio della documentazione di cui verificare l'applicazione ( regolamenti, protocolli,procedure ecc) Predisposizione di una lista di riscontro ad hoc con i punti da verificare individuazione ed esame dei documenti di riferimento necessari per l'audit assegnazione dei compiti di lavoro al team di audit Conduzione dell'attività di audit L'audit è condotto dal team di audit, individuato come sopra descritto e comprende le seguenti attività: riunione ad hoc con i responsabili dell'area aziendale sottoposta ad audit per verificare l'ordine del giorno e gli obiettivi dell'audit interno e durante la quale vengono raccolte tutte le informazioni necessarie, vengono campionate alcune attività relative al processo auditato e vengono raccolte eventuali altre informazioni non contenute nei documenti consegnati. Della riunione viene readatto apposito verbale esame della documentazione consegnata produzione delle risultanze dell'audit. Queste ultime possono indicare conformità o non conformità ai criteri di audit e comprendono conformità e buone prassi con le relative evidenze a supporto, opportunità di miglioramento ed ogni eventuale raccomandazione per l'organizzazione della struttura oggetto di audit riunione del gruppo di audit per esame delle risultanze, concordare le conclusioni, elaborare raccomandazioni,discutere azioni conseguenti. I risultati dell'audit sono registrati sul rapporto di Audit, il cui schema è allegato al presente Piano ( all.2). Qualora siano state riscontrate delle non conformità l'auditor provvederà a compilare un ulteriore scheda ( all.3), annotando nella medesima le irregolarità riscontrate e le azioni correttive ritenute idonee. La suddetta sche verrà inoltre compilata anche qualora si ravvisino eventuali aspetti migliorativi che possono essere adottati per la gestione del processo, pur in presenza di conformità nell'analisi. In entrambi questi due ultimi casi le schede andranno condivise con Responsabile del Procedimento: Dott.ssa Valentina Berni Pagina 7 di 8
il Responsabile interessato. riunione conclusiva con i responsabili delle aree aziendali esaminate per presentare le risultanze e le conclusioni dell'audit. Chiusura dell'audit Gli originali dei rapporti di Audit sono archiviati presso l'ufficio di Staff Internal Auditing e copia degli stessi viene inviata alla Direzione Strategica ART. 3 DENUNCIA DI DANNO ERARIALE Qualora dall'attività di audit emergano fatti che possano dar luogo a responsabilità per danni causati alla finanza pubblica ( responsabilità erariale) deve essere presentata denuncia alla procura regionale presso la sezione giurisdizionale della Corte dei Conti. La denuncia va redatta dal dirigente responsabile dell'audit e deve contenere tutti gli elementi raccolti per l'accertamento della responsabilità e la determinazione del danno. L'obbligo di denuncia sussiste qualora il danno sia concreto ed attuale e non quando i fatti abbiano slo una mera potenzialità lesiva. In quest'ultima ipotesi, il dirigente responsabile dell'audit informerà le direzioni ed i vertici degli enti interessati dell'obbligo di operare affinché il danno sia evitato e, nel caso si verifichi, dell'obbligo di denunciare il fatto alla Corte dei Conti. ART. 4 DENUNCIA PENALE Qualora nel corso dell'attività di audit venga acquisita notizia di un reato perseguibile d'ufficio, deve esserne fatta denuncia senza ritardo. La denuncia, redatta dal /i componente/i del team di audit che ne ha/hanno preso notizia del reato, è inviata dall'interna Audit al Pubblico Ministero o ad un Ufficiale di Polizia Giudiziaria. La denuncia contiene l'esposizione degli elementi essenziali del fatto e indica il giorno dell'acquisizione della notizia nonché le fonti di prova già note. Contiene, inoltre, quando è possibile le generalità, il domicilio e quanto altro valga all'identificazione della persona alla quale il fatto è attribuito, della persona offesa e di coloro che siano in grado di riferire su circostanze rilevanti per la ricostruzione dei fatti (art. 332 c.p.p.). Qualora gli elementi emersi, pur non integrando una notizia di reato, possano comunque ritenersi rilevanti per l'applicazione della legge penale, l'internal Auditor invierà una segnalazione al Pubblico Ministero o ad un Ufficiale di Polizia Giudiziaria Responsabile del Procedimento: Dott.ssa Valentina Berni Pagina 8 di 8