Sommario 1. I presupposti di GRAM AUDIT... 4 2. I vantaggi di GRAM AUDIT... 4 3. Aspetti metodologici alla base del Modello... 5 3.1. La gestione degli utenti... 5 3.2. La composizione del Piano di Audit annuale o triennale... 6 3.3. Finestra sulla risk analysis del processo interessato dall audit... 7 3.4. Dati caratteristici di ciascun audit a Piano... 7 3.5. Composizione dell Audit Program... 9 3.5.1. Composizione dell Audit Program: dati caratteristici... 9 3.5.2. Avvio dell attività di audit: Funzioni e strutture...10 3.5.3. Composizione dell Audit Program: Macro obiettivi...11 3.5.4. Composizione dell Audit Program: Articolazione attività...12 3.5.5. Composizione dell Audit Program: Tempistiche...13 3.5.6. Composizione dell Audit Program: report...13 3.6. Lettera di avvio...13 3.7. Fase operativa sul campo: le Carte di Lavoro...14 3.7.1. L apertura delle Carte di Lavoro...14 3.7.2. La compilazione delle Carte di Lavoro : compilazione...16 3.7.3. La compilazione delle Carte di Lavoro : acquisizione allegati...17 3.7.4. La compilazione delle Carte di Lavoro: sintesi per Carta di Lavoro...17 3.8. Relazione analitica...18 3.8.1. La relazione analitica precompilata dal sistema...18 3.8.2. La relazione analitica: sintesi per macro obiettivo...20 3.9. Relazione sintetica...20 3.9.1. La relazione sintetica precompilata dal sistema...20 3.9.2. I provvedimenti richiesti...21 3.10. Il time sheet...21 3.11. Il drill down...23 4. Caratteristiche tecniche del Sistema...25 2
4.1. Requisiti di sistema...25 4.1.1. Hardware:...25 4.1.2. Software:...25 4.1.3. Ulteriori note:...25 4.2. Architettura del sistema...26 3
1. I presupposti di GRAM AUDIT L attività di Internal Audit finalizzata a verificare organicamente la bontà del sistema di controllo aziendale - è, nel tempo, divenuta fondamentale per le imprese, tanto che il Codice di Autodisciplina ne prevede (par. 8.C.7) l istituzione obbligatoria per le società quotate. In questo contesto è indispensabile che la Funzione svolga la propria attività istituzionale con rigore metodologico (in ossequio agli Standard della Professione) e con efficienza operativa, a partire dalla pianificazione degli interventi di audit, passando per la realizzazione degli interventi revisionali ed al monitoraggio dei provvedimenti preventivi/correttivi richiesti. GRAM AUDIT gestisce e supporta informaticamente l intero processo di audit, dalla formazione del Piano triennale di audit con i legami alla risk analysis, alla guida degli operatori nello svolgimento della propria attività, dal tracciamento delle attività con la generazione del repository documentale e con la predisposizione di idonei template documentali per la reportistica, al monitoraggio dei provvedimenti preventivi/correttivi richiesti con gli audit svolti. 2. I vantaggi di GRAM AUDIT Le modalità operative del Modello GRAM AUDIT consentono di acquisire i seguenti vantaggi: rigore metodologico, rispetto degli standard della professione IA e guida per gli addetti semplicità e rapidità di utilizzo, con contenimento dei tempi e dei costi necessari allo svolgimento delle attività possibilità di utilizzo in contemporanea da più auditors grazie alla profilazione utenti flessibilità e capacità di adattamento ad ogni tipologia di azienda/attività tracciabilità e documentabilità nel tempo delle carte di lavoro, relazioni, etc. tracciabilità e documentabilità, grazie ad un repository documentale, di tutto il materiale acquisito agli atti e collegato informaticamente alle corrispondenti carte di lavoro possibilità di effettuazione del drill down automatico tra le indicazioni di sintesi e le evidenze presenti nelle relative carte di lavoro e allegati uniformità del layout dei documenti prodotti, grazie a template presenti nel modello possibilità di controllare l aspetto temporale delle attività con la gestione di uno specifico time sheet. 4
3. Aspetti metodologici alla base del Modello 3.1. La gestione degli utenti Il modello GRAM AUDIT si rivolge alle Funzioni Internal Audit e quindi prevede accessi prestabiliti ad ognuna delle figure che sono chiamate ad operare, ovvero il Responsabile della Funzione (CAE), i singoli Supervisors e gli Auditors. Ognuna di tali figure svolge delle funzioni tipiche del proprio ruolo, che il sistema ha codificato, assegnando i profili di accesso e operativi, come appresso specificato: Ogni utente abilitato potrà operare nel sistema in relazione alle specifiche competenze indicate dagli Standard della professione di IA. Il sistema consente, con specifica autorizzazione, l utilizzo in contemporanea di più figure sullo stesso audit (es. più auditors che hanno l incarico di realizzare parti dello stesso audit), mentre consente solo la visualizzazione (e non la modifica) da parte di altri auditors non coinvolti nel progetto. L accesso al sistema avviene con la seguente Pagina di login. 5
3.2. La composizione del Piano di Audit annuale o triennale GRAM AUDIT non prevede le modalità di formazione del Piano di Audit (es.: previa Risk Analysis, scoring ecc.), ma più semplicemente ne acquisisce e ne governa i risultati. In altre parole, una volta predisposto ed autorizzato ai livelli adeguati (es. Comitato di Controllo Interno, Consiglio di Amministrazione ecc) il Piano di Audit, nella sua configurazione annuale o triennale, viene inserito nel sistema. Analogamente, sono previste le modificazioni al piano (inserimenti di nuovi audit autorizzati o cancellazioni autorizzate di quelli esistenti). 6
GRAM AUDIT numera automaticamente ogni singolo progetto di audit, con una specifica codifica in cui le prime due cifre rappresentano l anno di competenza, le seconde due la tipologia di audit (01 audit di processo, 02 audit di compliance, 03 risk analysis, 04 follow up, 05 monitoraggio) e le ultime due il numero progressivo che contraddistingue lo specifico progetto. Tale numerazione assegnata contraddistinguerà automaticamente i singoli progetti di audit nel corso dell operatività. 3.3. Finestra sulla risk analysis del processo interessato dall audit GRAM AUDIT prevede la possibilità di consultazione (con un collegamento automatico a GRAM RISCHI) di rischi specifici del processo oggetto di audit. Le informazioni relative alle rischiosità inerenti e residue, nonché la loro valutazione in termini di severità e probabilità di accadimento, sono fondamentali per elaborare un progetto di audit che sia in grado di orientare al meglio ed ottimizzare l attività di verifica concentrandola nella fasi del processo maggiormente critiche. 3.4. Dati caratteristici di ciascun audit a Piano 7
GRAM AUDIT prevede l input di una serie di attributi caratteristici di ciascun audit a Piano che saranno richiamati automaticamente nel corso delle attività. Come si può rilevare il progetto è stato caratterizzato dalle seguenti informazioni iniziali, che rappresentano il bagaglio caratterizzante il progetto che sarà reso automaticamente disponibile in tutte le successive fasi di lavorazione: Titolo dell audit (richiamato cliccando sulla riga corrispondente della maschera del Piano di Audit. Tipologia e Codice. Date di inizio e fine presunta. Macro obiettivi (che rappresentano le attività fondamentali su cui l audit si deve sviluppare). Note eventuali a commento (es. approfondimenti richiesti dal Comitato di Controllo o dal Vertice Aziendale). Classificazione del progetto come variante o come annullamento di audit già approvato. 8
3.5. Composizione dell Audit Program Per la composizione dell Audit Program (progettualizzazione formale e sostanziale dell attività) GRAM AUDIT prevede le fasi qui appresso descritte. 3.5.1. Composizione dell Audit Program: dati caratteristici Per l avvio dell Audit Program, il modello richiede una serie di informazioni relative ai dati generali caratteristici del progetto, come di seguito indicato (ovviamente il titolo ed il relativo codice sono riportati automaticamente). Le sigle e gli acronimi riguardano le Funzioni alle quali sarà inviata la lettera di accompagno dell Audit Program. 9
3.5.2. Avvio dell attività di audit: Funzioni e strutture GRAM AUDIT richiede la lista delle Funzioni (auditee) che presumibilmente saranno coinvolte nella realizzazione del progetto. 10
3.5.3. Composizione dell Audit Program: Macro obiettivi GRAM AUDIT, in questa fase consente l eventuale aggiornamento dei macro obiettivi definiti a suo tempo in sede di Pianificazione di Audit. 11
3.5.4. Composizione dell Audit Program: Articolazione attività GRAM AUDIT, in questa fase prevede per ciascun macro obiettivo precedentemente definito lo sviluppo in attività, al fine di progettualizzare al meglio l intervento ed orientare conseguentemente l attività degli auditors. 12
3.5.5. Composizione dell Audit Program: Tempistiche GRAM AUDIT, in questa fase prevede per ciascun macro obiettivo precedentemente definito l indicazione delle giornate di lavoro necessarie allo sviluppo del progetto, suddivise per Funzioni aziendali. Le suddette indicazioni temporali costituiranno il riferimento per le analoghe rilevazioni a consuntivo che il sistema gestisce. 3.5.6. Composizione dell Audit Program: report GRAM AUDIT, in questa fase prevede un template (che può essere sostituito con un altra forma a discrezione dell utilizzatore) nel quale sono riportati tutti gli elementi finora inseriti nel sistema e che costituiscono il documento Audit Program vero e proprio. 3.6. Lettera di avvio GRAM AUDIT consente la stesura della lettera di avvio dell audit, proponendo un template (che può essere sostituito con un altra forma a discrezione dell utilizzatore) nel quale sono riportati gli elementi essenziali del progetto. La suddetta lettera a descrizione dell utilizzatore potrà essere esportata su Office Automation per consentire eventuali caratterizzazioni estetiche. In tal caso però dovrà poi essere reimportata nel sistema per garantire la documentabilità di tutto il processo. 13
La lettera dovrà essere firmata per il suo invio formale secondo le regole che ogni azienda si è data. 3.7. Fase operativa sul campo: le Carte di Lavoro 3.7.1. L apertura delle Carte di Lavoro Ogni auditor, richiamando dal Piano di Audit la verifica su cui sta operando, richiede l apertura di una o più carte di lavoro. GRAM AUDIT, oltre a numerare progressivamente la Carte di Lavoro e proporre un template (che può essere sostituito con un altra forma a discrezione dell utilizzatore), richiede una serie di informazioni preliminari prima della sua compilazione. 14
Come si può rilevare, nella maschera di apertura di ogni carta di lavoro, GRAM AUDIT riporta automaticamente il titolo e il codice dell audit in argomento. L auditor è quindi chiamato ad inserire le informazioni sotto indicate, riferite ad un attività indicata nell Audit Program, nell ambito dei macro obiettivi predefiniti. La carta di lavoro viene numerata automaticamente e progressivamente dal sistema con un codice che stabilisce univocamente la relazione con l attività scelta e quindi con l audit di riferimento. Il modello richiede altresì altre informazioni caratterizzanti l attività svolta (es. data e ora dell incontro con l auditee, nome cognome, argomento ecc.). Tali indicazioni generali sono utilizzate per l intestazione del template della carta di lavoro. 15
3.7.2. La compilazione delle Carte di Lavoro: compilazione La compilazione delle Carte di lavoro è guidata dallo specifico template presente in GRAM AUDIT. L auditor descriverà le tematiche che ritiene di rappresentare secono lo schema appresso riportato. 16
3.7.3. La compilazione delle Carte di Lavoro: acquisizione allegati Nel caso in cui fosse necessario allegare alla Carta di Lavoro alcuni file (documentazione recuperabile in formato elettronico direttamente da Office Automation, o, se necessario, da scannerizzare) GRAM AUDIT consente di ricoverare tale documentazione, abbinandola univocamente alla carta di Lavoro suddetta. In particolare, tale operazione è svolta come appresso indicato. 3.7.4. La compilazione delle Carte di Lavoro: sintesi per Carta di Lavoro Una volta compilata la Carta di Lavoro, GRAM AUDIT richiede all auditor la predisposizione di una sintesi delle criticità evidenziate e della relativa proposta di provvedimenti correttivi. 17
La sintesi viene controllata dal supervisor che ne approva sia i contenuti e sia i provvedimenti proposti. 3.8. Relazione analitica 3.8.1. La relazione analitica precompilata dal sistema GRAM AUDIT acquisisce via via le CdL, secondo la logica di drill down rappresentata dallo schema di seguito riportato, precompila automaticamente una bozza di relazione analitica nella quale per ciascun obiettivo/attività sono riportate le relative sintesi ed i correlati provvedimenti. Tale bozza risponde ad un template di relazione analitica che può essere facilmente modificato o esportato in Office Automation. 18
In particolare, il template di relazione analitica di GRAM AUDIT si presenta come appresso indicato. La relazione potrà essere esportata in Office Automation per la sua ottimizzazione estetica. 19
3.8.2. La relazione analitica: sintesi per macro obiettivo Una volta analizzata, modificata e approvata dal supervisor la bozza di relazione analitica, l auditor ed il supervisor predispongono per ciascun macro obiettivo la sintesi delle considerazioni effettuate. Tale sintesi verrà utilizzata dal sistema per la composizione in bozza della successiva relazione sintetica. 3.9. Relazione sintetica 3.9.1. La relazione sintetica precompilata dal sistema GRAM AUDIT acquisisce via via le sintesi per macro obiettivo derivanti dalla relazione analitica e secondo la logica di drill down rappresentata dallo schema precedentemente riportato, precompila automaticamente una bozza di relazione sintetica nella quale per ciascun macro obiettivo sono riportate le relative sintesi ed i correlati provvedimenti. Tale bozza risponde ad un template di relazione analitica che può essere facilmente modificato o esportato in Office Automation. 20
La relazione di sintesi viene approvata dal Responsabile IA. 3.9.2. I provvedimenti richiesti GRAM AUDIT acquisisce dalle carte di lavoro e dalle relazioni i provvedimenti proposti e secondo lo schema seguente. 3.10. Il time sheet Per tutti i passaggi dell intera attività, GRAM AUDIT prevede la rilevazione delle ore di lavoro impiegate per la sua realizzazione, sulla base dello schema di input riportato. 21
Sulla base degli input effettuati lungo tutto il percorso del progetto, GRAM AUDIT fornisce una reportistica relativa alle ore impiegate per ciascuna verifica svolta. 22
3.11. Il drill down Secondo le logiche precedentemente indicate, GRAM AUDIT prevede l attività di drill down tra la relazione di sintesi e le varie carte di lavoro, per conseguire l obiettivo di rendere trasparenti e facilmente rilevabili e documentabili le motivazioni che stanno alla base delle indicazioni di natura direzionale. 23
24
4. Caratteristiche tecniche del Sistema 4.1. Requisiti di sistema Per l'installazione di GRAM RISCHI i requisiti hardware/software necessari sono: 4.1.1. Hardware: - Computer Pentium 4 (o equivalente) 2GHZ con 1 GB di RAM o superiore, con lettore CD, video con risoluzione 1024*800. 4.1.2. Software: - Sistema Operativo Windows 2000 / XP / Vista / 2003 / 2008 server, browser web come Internet Explorer 6 o Netscape, Firefox. - Sul computer non devono essere installati altri server WEB che utilizzino il servizio HTTP (porta 80 o 8080), ad esempio Microsoft IIS o Apache. - Eventuali Firewall devono consentire l'accesso al server, o al computer locale, sul servizio HTTP (porta 80 o 8080) - Il programma necessita dell'installazione dell'ambiente Java, sia sul server che sul client: sul server, sarà necessario installare il JDK 1.4, mentre sul client si dovrà installare il JRE 1.4.2 o successivo (come illustrato nel seguito). E' consigliabile non avere installato sul computer nessuna versione precedente di Java. - L'installazione prevede l'uso del programma MySQL; nel caso fosse già installato non è quindi necessario reinstallarlo, ma è sufficiente caricare il DB, come indicato sul manuale di installazione. 4.1.3. Ulteriori note: L'installazione ha una architettura client / server, quindi il GRAM può essere installato su un server centralizzato e utilizzato da vari client collegati in rete, oppure può essere installato e utilizzato su un singolo computer in locale. In ogni caso sul client è sufficiente avere installato il Java Run Time versione 1.4.2 o successive (JRE, presente sul disco di installazione). 25
4.2. Architettura del sistema Il sistema GRAM è basato sull architettura client/server a tre livelli rappresentata nella figura sottostante e costituita in particolare dal Presentation Layer, che si occupa della presentazione dei dati all utente finale, dal Business Layer, che elabora le informazioni fornite dal cliente ed applica la logica del sistema, e dal Database Layer, che rappresenta il livello di accesso ai dati persistenti. Presentation Layer Business Layer Database Layer HTML Java Applet Java Servlet MySQL L interazione dell utente con il sistema avviene attraverso l utilizzo di un comune browser (ad es. Internet Explorer). L interfaccia grafica è costituita da Applet Java e da pagine HTML sia statiche sia generate dinamicamente (mediante l utilizzo delle Servlet Java). La base dati del sistema è attualmente realizzata con il DMBS MySQL. L'utilizzo del linguaggio di programmazione Java garantisce la completa indipendenza dalla piattaforma utilizzata nonché dal DBMS scelto per la gestione della base dati. GRAM può quindi essere installato sia su piattaforma Microsoft sia su piattaforma Linux ed il tipo di database può essere scelto tra i vari DB relazionali presenti sul mercato (Oracle, Postgres,...). Il passaggio da un database all'altro a sistema avviato può essere facilmente gestito con una procedura di export/import che consenta il travaso dei dati. Ritornando all'attuale implementazione, le soluzioni tecnologiche adottate sono tutte open source e sono riassunte nella seguente tabella: DataBase Management System MySQL 5.0.1 Servlet container Tomcat 5.0.28 Java Virtual Machine J2SDK 1.4.0 26