La Pubblica Amministrazione ha subito a partire dagli anni Novanta un lento e faticoso processo di “aziendalizzazione”, che si è protratto fino ai giorni nostri e che pare ancora non essersi concluso del tutto.
Nell’ambito di questo processo, è andato delineandosi anche in ambito pubblico il tema dell’implementazione di adeguati sistemi di controllo, e, tra di essi, di un modello applicabile di identificazione, valutazione e gestione dei rischi.
In questo senso, nell’impianto normativo che regola il funzionamento della Pubblica Amministrazione italiana, la necessità di rinnovamento, in termini di miglioramento dell’efficienza e dell’efficacia della macchina amministrativa, impone una sempre maggiore attenzione verso le tematiche della governance, ed, in particolare, sul sistema di controllo interno. In questo senso, con il Decreto Legislativo 150 del 2009, si è posta all’attenzione della Pubblica Amministrazione la necessità di realizzare un deciso cambiamento nelle modalità e nella cultura di governo. Tale decreto, infatti, introduce il concetto di “performance”, e più in particolare di “piano delle performance”, un sistema di misurazione delle attività e di fissazione degli obiettivi che si basa sul raggiungimento di determinati livelli di risultato, e non, come avveniva in precedenza, sulla meccanica osservazione delle procedure stabilite dalla legge. Questo cambiamento di focus ha introdotto la necessità di creare un sistema di controllo interno della Pubblica Amministrazione che consentisse anche una accurata gestione dei rischi che, andando ad impattare sul raggiungimento degli obiettivi, inficerebbero il conseguimento dei livelli di performance predeterminati. Tra i principali rischi che caratterizzano la Pubblica Amministrazione vi sono sicuramente i rischi di frode e di corruzione. A tal proposito, la riforma comprende la redazione di piani triennali di trasparenza ed integrità, per la cui predisposizione è assolutamente fondamentale la determinazione del rischio di non trasparenza, un elemento dalle numerose sfaccettature che può essere considerato sotto una molteplicità di dimensioni:
• trasparenza sui risultati, intesa come accountability/rendicontazione;
• trasparenza sulle procedure, a sua volta declinabile in accessibilità, intesa come diffusione proattiva delle procedure e delle attività non collegate alla performance, e condizione necessaria per l’integrità, intesa come prevenzione della corruzione, in particolare nelle procedure di gare e appalti;
• trasparenza sui processi decisionali, quindi nei rapporti con le lobbies e nella definizione di eventuali conflitti di interesse che dovessero esistere;
• trasparenza intesa come definizione partecipativa delle polizie e degli obiettivi di performance attraverso lo stakeholder engagement33.
La nuova visione dell’Internal Auditing, quindi, come accennato in precedenza, è certamente legata al presidio dei controlli, ma sempre con un’attenzione precisa alle esigenze e non soltanto alle norme, con un approccio flessibile, che consenta di tenere alta la guardia sui rischi potenziali, quelli che si intuiscono, che non sono ancora in catalogo e dei quali non si conoscono bene né gli elementi scatenanti né le possibili conseguenze. Tali rischi possono essere i più diversi: da quelli, come già detto, di non trasparenza, a quelli di scarsa qualità dei servizi, dalla lentezza nella capacità di rispondere alle esigenze dei “clienti” (nel nostro caso sono 60 milioni di cittadini) alla loro insoddisfazione, dalla non semplificazione dei processi alla non riduzione dei costi fino alla non efficacia degli interventi34.
L’applicazione di un sistema di risk management ad una Pubblica Amministrazione incontra tuttavia numerose problematiche.
Per le organizzazioni private l’obiettivo da perseguire è la sopravvivenza: pertanto in queste realtà, a dominare l’attività di gestione del rischio è l’impellente ed inderogabile necessità di perseguire gli obiettivi stabiliti in sede di definizione delle strategie, perché il loro mancato raggiungimento compromette le possibilità di sopravvivenza. Gestire il rischio in modo corretto, in altre parole, significa in qualche maniera mettere un’ipoteca sulla realizzazione degli obiettivi che l’ente si è prefissato in sede di determinazione delle strategie. Quindi nel caso di un’impresa privata, la conseguenza dell’incapacità di realizzare gli obiettivi prefissati può determinarne la sua scomparsa dal mercato.
Nel caso di un’azienda pubblica, invece, l’ammenda è, in un certo senso, attenuata: pur essendo inefficace e tradendo la sua missione, l’azienda pubblica inefficace non sparisce. Questa considerazione è evidentemente uno dei motivi per cui l’attività di risk management stenta a decollare nel settore pubblico35.
Difficoltà nell’applicazione del sistema di risk management al settore pubblico possono derivare anche dall’ampia eterogeneità delle organizzazioni pubbliche. Possiamo distinguere in base a:
33
Cfr. Hinna,Valotti, Barbieri, Mameli, Monteduro, Gestire e valutare le performance nella PA, Maggioli, 2010
34
Cfr. Landolfi, (a cura di), Dipendenti pubblici a scuola di Risk Management, in Internal Audit, n. 65, settembre-dicembre 2009, pp. 12 e segg.
35
• tipologia di ente: amministrazioni centrali che operano con altre strutture pubbliche, enti pubblici economici, enti pubblici non economici, enti locali, società di capitali miste, fondazioni di partecipazione, aziende sanitarie, enti museali, ecc;
• settore di operatività: beni culturali, sanità, ricerca, pubblica istruzione, governo del territorio, ecc;
• tipologia di soggetto al quale l’azienda pubblica si rivolge: cittadino, imprese, altre strutture della PA;
• momento storico che sta attraversando, in particolare a quale fase del processo di aziendalizzazione si pone36.
A ciò dobbiamo aggiungere le difficoltà legate alla scarsa conoscenza delle tecniche di gestione del rischio da parte del personale. Non esiste nella Pubblica Amministrazione una cultura economico-aziendale diffusa: tra i dirigenti della PA, oltre il 70% possiede una laurea in giurisprudenza, e certi temi, nell’ambito della formazione universitaria, non sono quindi stati affrontati in alcun modo.
Esistono poi nel settore pubblico una serie di ulteriori elementi che storicamente hanno ostacolato l’affermazione di logiche improntate alla gestione del rischio.
In primis, manca quasi totalmente la cultura della “tollerabilità del rischio”: in altre parole non si accetta il fatto che qualche rischio vada necessariamente corso. Per evitare la consapevolezza che si stanno correndo rischi, quindi, si preferisce ignorare il problema, fingendo che esso non esista.
In secondo luogo, la PA è soggetta a categorie di rischi molto particolari: rischi che non possono essere evitati, o ancora, che non possono essere trasferiti (è il caso ad esempio del rischio di corruzione). Queste difficoltà, evidentemente, sono di intralcio all’affermarsi delle logiche di risk management, dal momento che ne mettono in discussione l’efficacia.
A differenza delle imprese poi, nelle quali gli obiettivi sono chiari e facilmente identificabili (incremento del ROE, acquisizione di nuove quote di mercato, ecc.), nel caso delle aziende pubbliche sussiste una certa difficoltà nell’individuazione degli obiettivi e dei risultati. Questi ultimi, inoltre, il più delle volte si sostanziano in outcome, ossia nella ricaduta sociale di determinate azioni: in un simile ambito,
36
Monteduro, Principi e requisiti di base del risk management. Obiettivi, standard e framework di riferimento, CISPA-Università di Roma Tor Vergata, corso di formazione per la dirigenza ISTAT, Roma, 25 novembre 2010
evidentemente, anche la verifica del livello di realizzazione degli obiettivi presenta qualche criticità.
Da ultimo non bisogna dimenticare che, come già accennato in precedenza, nel settore pubblico la cultura dell’adempimento è, purtroppo, ancora dura a morire; permane una sostanziale rigidità della struttura dei controlli, ancorata alla norma piuttosto che all’esigenza. Una tale mancanza di flessibilità non può che essere di ostacolo alla corretta esecuzione dell’attività di gestione del rischio.
Il decreto 150 cerca di dare un incipit al cambiamento di tale situazione: per il management pubblico si pone oggi il problema di individuare e gestire i rischi che potrebbero mettere in forse il raggiungimento degli obiettivi strategici intesi come performance, tra cui particolare attenzione viene posta sul rischio di non trasparenza e di non integrità, intesa come corruzione37.
Alcune amministrazioni pubbliche, fungendo da vere e proprie pioniere, hanno adottato già da tempo modelli di risk management nello svolgimento delle attività di auditing e controllo, applicando prevalentemente la metodologia del control risk self assestment38. Per attivare efficacemente questo processo di cambiamento, queste PA hanno quindi adottato metodologie operative rigorose e condivise, secondo una logica di governo delle priorità, dei processi e delle attività di routine. Seguendo questi esempi, tutta la Pubblica Amministrazione deve assumere la logica imprenditoriale della gestione per priorità, che nel rispetto delle politiche poliennali traduce i piani strategici in coerenti azioni sul medio e sul breve termine. La gestione dei rischi rappresenta un elemento chiave per realizzare questa dimensione manageriale, che è in grado di definire priorità e obiettivi e al tempo stesso di coinvolgere l’intera azienda nel loro raggiungimento. Un’altra condizione per un reale cambiamento è la piena affermazione della gestione per processi. Gestire per processi consente di avere la consapevolezza dei rischi che possono avere un impatto sugli obiettivi aziendali e permette di tracciare una mappatura dei fattori chiave di successo – e dei processi interni ad essi correlati – con un significativo impatto sul loro raggiungimento. Questa attività di mappatura, quasi sconosciuta o addirittura snobbata nella PA, è fondamentale per valutare come effettivamente il processo operi: grazie a questa analisi è possibile individuare i rischi a cui si è realmente esposti e misurare l’adeguatezza del sistema di controllo nella sua
37
Cfr. Hinna,Valotti, Barbieri, Mameli, Monteduro, Gestire e valutare le performance nella PA, op. cit.
38
Un esempio è riportato in Sofia, Battistella, (a cura di), Chi semina controlli raccoglie risparmi, in Internal Audit, n. 65, settembre-dicembre 2009, pp. 24 e segg.
operatività. Infine, nella Pubblica Amministrazione, che deve avere al centro della propria dimensione operativa il cittadino e i suoi bisogni, è decisiva anche la gestione delle attività routinarie, attraverso il presidio, il controllo e il miglioramento dei processi interni.
Una corretta gestione dei rischi non può prescindere dalla consapevolezza del legame dinamico che deve esistere tra strategie, processi e comportamenti operativi.
Per favorire questa acquisizione manageriale, è necessario introdurre, anche nel settore pubblico, tecniche di gestione basate sull’identificazione, misurazione e valutazione dei rischi, allo scopo di rilevare e gestire i fattori critici che possono pregiudicare il raggiungimento degli obiettivi aziendali. La realizzazione di un progetto di risk assessment consente:
• la creazione di un risk model specifico della singola Pubblica Amministrazione, caratterizzato dai rischi tipici del settore, individuati sulla base dell’esperienza professionale del top management;
• un processo di autovalutazione dei rischi identificati da parte del management coinvolto nell’analisi;
• lo sviluppo di metodologie di pianificazione integrata degli interventi di audit in un’ottica risk-based.
In quest’ottica, è sicuramente utile, come primo passo, così come mostrato dalle Amministrazioni “virtuose”, uno strumento di analisi strutturato per l’autovalutazione dei principali rischi aziendali da parte del management, focalizzando l’attenzione sui processi di core business. L’autovalutazione dei rischi dovrà prevedere il coinvolgimento, mediante interviste conoscitive, degli organi responsabili delle strategie e delle politiche di governance e la successiva elaborazione di un questionario di Control Risk Self Assessment da sottoporre al management.
Ai fini della definizione di una metodologia di analisi coerente con le diverse realtà pubbliche, si deve partire dalla considerazione che la gestione del rischio è fortemente correlata alla natura e alle caratteristiche di alcune variabili:
• le variabili organizzative, connesse alle caratteristiche del modello organizzativo e comportamentale adottato e all’organizzazione dei flussi di lavoro nelle singole aree;
• le variabili di contenuto, connesse alle caratteristiche degli ambiti tematici di azione e alle specificità dei programmi, progetti e azioni che definiscono l’operare dell’organizzazione;
• le variabili di contesto, connesse agli aspetti tipici del contesto nell’ambito del quale viene sviluppata l’azione amministrativa.
Proprio per cogliere tutte le dimensioni indicate, è opportuno orientare l’analisi dei rischi in base all’osservazione delle politiche perseguite dalle diverse realtà pubbliche. Tale approccio consentirà di cogliere la complessità di un’organizzazione in cui aree con attività differenti convergono alla realizzazione di un obiettivo comune, da cui dipende la realizzazione della strategia aziendale. Nell’ambito di tale progetto, ogni Direzione che interviene nella realizzazione delle politiche deve essere chiamata a esprimere una valutazione su ciascuna tipologia di minaccia al raggiungimento degli obiettivi aziendali. Tale valutazione sarà condotta con riferimento sia all’individuazione e quantificazione dei rischi intrinsecamente connessi al contenuto delle attività, sia all’analisi dei controlli interni posti in essere dal management per la riduzione di tali rischi, al fine di poter determinare il correlato livello di rischio residuo.
L’aggiornamento continuo del risk assessment e la contestuale implementazione di modelli e strumenti di valutazione dei rischi aziendali permetterà alle diverse Pubbliche Amministrazioni di monitorare l’andamento dei rischi emersi e di rivedere periodicamente il piano di Internal Audit in funzione di nuove priorità dettate da mutate condizioni organizzative, da aggiornati indirizzi strategici o da nuove valutazioni circa le condizioni di rischio emerse durante gli interventi di revisione interna39.
39
Marchi, (a cura di), Tanto risk, poco management, in Internal Audit, n. 65, settembre-dicembre 2009, pp. 20 e segg.