L'individuazione delle aree di rischio è il risultato di un processo complesso, che presuppone la valutazione del rischio, da realizzarsi attraverso la verifica “sul campo” dell'impatto del fenomeno corruttivo sui singoli processi svolti nell'Istituto.
Per rischio si intende l'effetto dell'incertezza sul corretto perseguimento dell'interesse pubblico e, quindi, sull'obiettivo istituzionale dell'IRCCS CROB, dovuto alla possibilità che si verifichi un dato evento.
Per evento si intende il verificarsi o il modificarsi di un insieme di circostanze che si frappongono o si oppongono al perseguimento dell'obiettivo istituzionale dell'IRCCS CROB.
Le aree di rischio variano a seconda del contesto esterno ed interno e della tipologia di attività istituzionale svolta dalla specifica amministrazione.
La legge n. 190/2012 ha già individuato delle particolari aree di rischio, ritenendole comuni a tutte le amministrazioni.
Queste aree sono elencate nell'art. 1, comma 16, e si riferiscono ai procedimenti di:
1. Autorizzazione o concessione;
2. Scelta del contraente per l'affidamento dei lavori, forniture e servizi, anche con riferimento alla modalità di selezione prescelta ai sensi del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al d.lgs. n. 50/2016;
3. Concessione ed erogazione di sovvenzioni, contributi, sussidi, ausili finanziari, nonché attribuzione di vantaggi economici di qualunque genere a persone ed enti pubblici e privati;
4. Concorsi e prove selettive per l'assunzione del personale e progressioni di carriera di cui all'art. 24 del d.lgs. n. 150/2009.
3. MODALITÀ, RESPONSABILI, TEMPI D'ATTUAZIONE E INDICATORI PER CIASCUNA AREA DI RISCHIO
Il P.T.P.C.T. dell'IRCCS CROB indica le misure di prevenzione da implementare per ridurre la possibilità che il rischio si verifichi.
Le misure si classificano come:
· Misure obbligatorie, sono quelle la cui applicazione discende obbligatoriamente dalla legge o da altre fonti normative;
48
· Misure ulteriori, sono quelle che, pur non essendo obbligatorie per legge, sono rese obbligatorie dal loro inserimento nel presente P.T.P.C.T.
Il P.T.P.C.T. contiene tutte le misure obbligatorie per trattare il rischio e le misure ulteriori ritenute necessarie o utili, tenuto conto del contesto di riferimento dell'Istituto.
L'individuazione e la scelta delle misure ulteriori è effettuata mediante il confronto con il coinvolgimento dei titolari del rischio. Per “titolare del rischio” si intende la persona con la responsabilità e l'autorità per gestire
il rischio.
La tempistica per l'introduzione e per l'implementazione delle misure può essere differenziata, a seconda che si tratti di misure obbligatorie o di misure ulteriori, ma in ogni caso il termine relativo è definito perentoriamente nel presente P.T.P.C.T.
a. MISURE DI PREVENZIONE DI CARATTERE TRASVERSALE
Il presente P.T.P.C.T. Individua ed implementa anche delle misure di carattere trasversale. Anche queste sono obbligatorie e ulteriori.
Sono misure di carattere trasversale:
· La trasparenza (P.T.T.I.): gli adempimenti di trasparenza possono essere misure obbligatorie o ulteriori; le misure ulteriori di trasparenza sono indicate nel P.T.T.I.;
· L'informatizzazione nei processi che consente per tutte le attività dell'Istituto la tracciabilità dello sviluppo del processo e riduce quindi il rischio di “blocchi” non controllabili con emersione delle responsabilità per ciascuna fase;
· L’accesso telematico dei dati, documenti e procedimenti e il riutilizzo dei dati, documenti e procedimenti (d.lgs. n. 82/2005) che consentono l'apertura dell'Istituto verso l'esterno e, quindi, la diffusione del patrimonio pubblico e il controllo sull'attività da parte dell'utenza;
· Il monitoraggio sul rispetto dei termini procedimentali, in quanto attraverso il monitoraggio emergono eventuali omissioni o ritardi che possono essere sintomo di fenomeni corruttivi.
· Il titolare del potere sostitutivo.
49 4. LA GESTIONE DEL RISCHIO
Per “gestione del rischio” si intende l’insieme delle attività coordinate per guidare e tenere sotto controllo l’Istituto con riferimento al rischio.
I principi fondamentali per una corretta gestione del rischio cui si fa riferimento nel presente P.T.P.C.T., in conformità al P.N.A., sono desunti dai Principi e linee guida UNI ISO 31000:2010, che rappresentano l’adozione nazionale, in lingua italiana, della norma internazionale ISO 31000 (edizione novembre 2009), elaborata dal Comitato tecnico ISO/TMB “Risk Management”.
Al riguardo,
La gestione del rischio di corruzione è lo strumento utilizzato dall’Istituto per la riduzione delle probabilità che il rischio si verifichi i cui principia sono declinati nell’Allegato 6 del P.N.A. – Principi per la gestione del rischio (Tratti da UNI ISO 31000 2010)
La pianificazione, mediante l’adozione del P.T.P.C., è il mezzo per attuare la gestione del rischio.
Le fasi principali - seguite dall’Istituto per la gestione del rischio - vengono descritte di seguito e sono:
· mappatura dei processi attuati dall’Istituto;
· valutazione del rischio per ciascun processo;
· trattamento del rischio.
4.1 MAPPATURA DEI PROCESSI ATTUATI DALL’ISTITUTO
La mappatura dei processi consente l’individuazione del contesto entro cui deve essere sviluppata la valutazione del rischio.
Per processo si intende un insieme di attività interrelate che creano valore trasformando delle risorse (input del processo) in un prodotto (output del processo) destinato ad un soggetto interno o esterno all'amministrazione (utente). Il processo che si svolge nell’ambito di un’amministrazione può esso da solo portare al risultato finale o porsi come parte o fase di un processo complesso, con il concorso di più amministrazioni. Il concetto di processo è più ampio di quello di procedimento amministrativo e ricomprende anche le procedure di natura privatistica.
La mappatura consiste nell’individuazione del processo, delle sue fasi e delle responsabilità per ciascuna fase. A seconda del contesto, l’analisi dei processi effettuata dall’Istituto può portare ad includere nell’ambito di ciascuna area di rischio uno o più processi (con la inclusione – a mero titolo esemplificativo – nella sottoarea “reclutamento e progressioni di carriera”, di più processi, quali:
procedimento concorsuale, assunzioni mediante liste di collocamento, assunzioni per chiamata diretta
50
nominativa e così via). A seconda del contesto, l’area di rischio individuata dall’Istituto può coincidere con l’intero processo o soltanto con una sua fase che può rivelarsi più critica.L’Istituto considera le aree di rischio e le sotto-aree obbligatorie e quelle ulteriori individuate nel presente piano ed il livello di analisi (se cioè l’area riguarda l’intero processo o solo una sua fase) viene deciso in sede di mappatura dei processi.
All’attività di mappatura dei processi partecipano i Referenti del Responsabile per la prevenzione della corruzione, sotto il coordinamento dello stesso. I Referenti ed il Responsabile della prevenzione della corruzione valutano l’utilità di coinvolgere l'Organo Indipendente di Valutazione (O.I.V.) per un confronto a seguito dell’individuazione dei processi, delle fasi processuali e delle corrispondenti responsabilità.
4.2 VALUTAZIONE DEL RISCHIO
L’attività di valutazione del rischio è fatta dall’Istituto per ciascun processo o fase di processo mappato.
Per valutazione del rischio si intende il processo di:
· identificazione;
· analisi;
· ponderazione del rischio.
L’identificazione consiste nella ricerca, individuazione e descrizione dei rischi.
L’attività di identificazione richiede che per ciascun processo o fase di processo siano fatti emergere i possibili rischi di corruzione. Questi emergono considerando il contesto esterno ed interno all’amministrazione, anche con riferimento alle specifiche posizioni organizzative presenti all’interno dell’Istituto.
L’attività di identificazione dei rischi è svolta dall’Istituto preferibilmente nell’ambito di gruppi di lavoro, con il coinvolgimento dei Referenti. Il coordinamento generale dell’attività è assunto dal Responsabile della prevenzione della corruzione, con il coinvolgimento dell'O.I.V., il quale contribuisce alla fase di identificazione mediante le risultanze dell’attività di monitoraggio sulla trasparenza ed integrità dei controlli interni (art. 14, comma 4, lett. a), d.lgs. n. 150/2009).
51
Attraverso l’analisi del contesto interno ed esterno all’Istituto e sulla base delle indicazioni/suggerimenti forniti nel tempo dalle autorità competenti, sono state individuate 7 areea rischio raggruppate in aree a rischio generale e aree a rischio specifiche:
A. Aree a rischio generale:
1. contratti pubblici;
2. incarichi e nomine/acquisizione e progressione del personale;
3. gestione delle entrate, delle spese e del patrimonio;
4. affari legali, generali e contenzioso.
B. Aree a rischio specifiche:
1. attività libero professionale e liste di attesa;
2. farmaceutica, dispositivi e altre tecnologie (ricerca, sperimentazioni e sponsorizzazioni);
3. attività conseguenti al decesso in ambito intraospedaliero.
Nel corso del 2020 non sono state organizzate sessioni di lavoro tematiche per evitare assembramento causa pandemiche.
Il coinvolgimento delle strutture organizzative interessate, è stato effettuato atttraverso richiesta per iscritto al fine di aggiornare le aree a rischio e pervenire a una comprensione più approfondita degli eventi rischiosi identificati e individuare il livello di esposizione al rischio delle attività e dei relativi processi.
In particolare, l’analisi è fondamentale almeno per un duplice motivo:
§ primo, perché rende possibile comprendere le cause del verificarsi di eventi corruttivi e, conseguentemente, individuare le migliori modalità per prevenirli (creando i presupposti per l’individuazione delle misure di prevenzione più idonee);
§ secondo, perché aiuta a definire quali sono gli eventi rischiosi più rilevanti e il livello di esposizione al rischio dei processi.
Valutando la difficoltà in termini di comprensione effettiva della loro portata da parte delle
amministrazioni per produrre gli effetti sperati», allo scopo si è fatto ricorso all’impostazione
metodologica fornita dall’Allegato 5 al PNA 2013, che suggerisce di determinare il livello di
rischio in base alla probabilità che lo stesso si realizzi e sulla scorta delle conseguenze che il
rischio produce, secondo la seguente relazione:
52
R=P*D
Il livello di rischio è così rappresentato da un valore numerico che ne rappresenta, appunto, il peso o l’intensità.
Per rischio s’intende la probabilità per cui un pericolo crei un danno e l’entità del danno stesso.
Quindi, il rischio è tanto più grande quanto più è probabile che accada l’evento e tanto maggiore è l’entità del danno. In base ai valori attribuiti alle due determinati del rischio (P e D), il rischio è numericamente definito con una scala a valori crescenti. Tale codificazione costituisce il punto di partenza per la definizione delle priorità e per la programmazione degli interventi di prevenzione della corruzione da adottare, secondo la scala di priorità degli interventi data.
Al fine di facilitare il lavoro di persone già fin troppo impegnate nell’attività quotidiana, nell’intento di agevolare la fase di ponderazione, sono state tradotte le tabelle dell’Allegato 5 al PNA 2013 in un foglio excel, agevolando in questo modo il lavoro e il calcolo del fattore “R”.
Su una scala da 0 a 25, il rischio è basso per valori di R=3, mentre è considerato medio già a partire da valori pari a 4, diversamente da quanto previsto nei precedenti piani.
Coerentemente con quanto stabilito nel precedente PTPCT, referenti che nella precedente fase avevano individuato e caratterizzato i rischi, su richiesta del RPCT, hanno così operato la “pesatura” dei rischi collegati all’ambito specifico di competenza, servendosi del citato approccio metodologico suggerito dal PNA.
A) Area: acquisizione e progressione del personale
- previsioni di requisiti di accesso “personalizzati” ed insufficienza di meccanismi oggettivi e trasparenti idonei a verificare il possesso dei requisiti attitudinali e professionali richiesti in relazione alla posizione da ricoprire allo scopo di reclutare candidati particolari;
- abuso nei processi di stabilizzazione finalizzato al reclutamento di candidati particolari;
- irregolare composizione della commissione di concorso finalizzata al reclutamento di candidati particolari;
- inosservanza delle regole procedurali a garanzia della trasparenza e dell’imparzialità della selezione, quali, a titolo esemplificativo, la cogenza della regola dell'anonimato nel caso di prova scritta e la predeterminazione dei criteri di valutazione delle prove allo scopo di reclutare candidati particolari;
53
- progressioni economiche o di carriera accordate illegittimamente allo scopo di agevolare dipendenti/candidati particolari;- motivazione generica e tautologica circa la sussistenza dei presupposti di legge per il conferimento di incarichi professionali allo scopo di agevolare soggetti particolari.
B) Area: affidamento di lavori, servizi e forniture
- accordi collusivi tra le imprese partecipanti a una gara volti a manipolarne gli esiti, utilizzando il meccanismo del subappalto come modalità per distribuire i vantaggi dell’accordo a tutti i partecipanti allo stesso;
- definizione dei requisiti di accesso alla gara e, in particolare, dei requisiti tecnico-economici dei concorrenti al fine di favorire un’impresa (es.: clausole dei bandi che stabiliscono requisiti di qualificazione);
- uso distorto del criterio dell’offerta economicamente più vantaggiosa, finalizzato a favorire un’impresa;
- utilizzo della procedura negoziata e abuso dell’affidamento diretto al di fuori dei casi previsti dalla legge al fine di favorire un’impresa;
- ammissione di varianti in corso di esecuzione del contratto per consentire all’appaltatore di recuperare lo sconto effettuato in sede di gara o di conseguire extra guadagni;
- abuso del provvedimento di revoca del bando al fine di bloccare una gara il cui risultato si sia rivelato diverso da quello atteso o di concedere un indennizzo all’aggiudicatario;
- elusione delle regole di affidamento degli appalti, mediante l’improprio utilizzo del modello procedurale dell’affidamento delle concessioni al fine di agevolare un particolare soggetto;
C) Area: provvedimenti ampliativi della sfera giuridica dei destinatari privi di effetto economico diretto ed immediato per il destinatario
- abuso nell’adozione di provvedimenti aventi ad oggetto condizioni di accesso a servizi pubblici al fine di agevolare particolari soggetti (es. inserimento in cima ad una lista di attesa);
- abuso nel rilascio di autorizzazioni in ambiti in cui il pubblico ufficio ha funzioni esclusive o preminenti di controllo al fine di agevolare determinati soggetti (es. controlli finalizzati all’accertamento del possesso di requisiti per apertura di esercizi commerciali).
D) Area: provvedimenti ampliativi della sfera giuridica dei destinatari con effetto economico diretto ed immediato per il destinatario
…
54
- riconoscimento indebito dell’esenzione dal pagamento di ticket sanitari al fine di agevolare determinati soggetti; …”.
Mappatura processi e buone pratiche: collegamento con il percorso di accreditamento
L’anno 2020 è stato, com’è noto, un anno sui generis, nel quale la Pandemia COVID-19 ha imposto al SSR di reagire con prontezza ai continui mutamenti del quadro epidemiologico, seguiti da altrettanto rapidi adeguamenti del quadro normativo. Gli sforzi dell’Area sanitaria delle cure sono stati rivolti all’individuazione di risposte alla riorganizzazione dei setting e dei servizi, rapide ma al contempo tali da garantire la sicurezza delle cure e standard qualitativi elevati.
Gran parte di tale risultato è stato raggiunto attraverso un lavoro di proceduralizzazione sistematico e coerente con la continua evoluzione normativa: linee-guida nazionali e sovranazionali, circolari ministeriali e ordinanze regionali in materia di contrasto alla diffusione del SARS-CoV2, sorveglianza sanitaria e presa in cura del Paziente. Per dare la misura dell’entità del lavoro svolto basti pensare che da gennaio a dicembre 2020 sono state pubblicate 22 provvedimenti collegati alla gestione del COVID-19.
55 4.3 IL TRATTAMENTO DEL RISCHIO E LE MISURE PER NEUTRALIZZARLO
La fase di trattamento del rischio consiste nel processo per modificare il rischio, ossia nell’individuazione e valutazione delle misure che debbono essere predisposte per neutralizzare o
ridurre il rischio e nella decisione di quali rischi si decide di trattare prioritariamente rispetto agli altri.
Al fine di neutralizzare o ridurre il livello di rischio, debbono essere individuate e valutate le misure di prevenzione, che sono obbligatorie o ulteriori. Non ci sono possibilità di scelta circa le misure obbligatorie, che debbono essere attuate necessariamente nell’Istituto. Per queste, l’unica scelta possibile consiste nell’individuazione del termine entro il quale debbono essere implementate, qualora la legge lasci questa discrezionalità, qualificandolo pur sempre come perentorio nell’ambito del P.T.P.C.T.
Le decisioni circa la priorità del trattamento si basano essenzialmente sui seguenti fattori:
· livello di rischio: maggiore è il livello, maggiore è la priorità di trattamento;
· obbligatorietà della misura: va data priorità alla misura obbligatoria rispetto a quella ulteriore;
· impatto organizzativo e finanziario connesso all’implementazione della misura.
La priorità di trattamento è definita dal Responsabile della prevenzione della corruzione.
L’individuazione delle priorità di trattamento è la premessa per l’elaborazione della proposta di P.T.P.C.T.
56 5 IL MONITORAGGIO E LE AZIONI DI RISPOSTA
La gestione del rischio si completa con la successiva azione di monitoraggio, che comporta la valutazione del livello di rischio tenendo conto e a seguito delle azioni di risposta ossia delle misure di prevenzione introdotte. Questa fase è finalizzata alla verifica dell’efficacia dei sistemi di prevenzione adottati e, quindi, alla successiva messa in atto di ulteriori strategie di prevenzione.
Essa è attuata dai medesimi soggetti che partecipano all’intero processo di gestione del rischio in stretta connessione con il sistema di programmazione e controllo di gestione.
6 CRITERI DI VALUTAZIONE DEL GRADO DI RISCHIO
Ad ogni rischio individuato bisogna assegnare un livello di importanza calcolato come rapporto fra probabilità che si verifichi ed entità del danno causato.
Alla probabilità deve essere assegnato un valore tra: Alta, Media e Bassa.
L'entità del danno deve essere calcolata in base al verificarsi o meno di uno dei seguenti effetti:
· danno all'immagine dell'Istituto;
· danno economico – patrimoniale;
· danno all'operatore e/o all'utente.
Pertanto, il danno sarà:
· Basso: se non si verifica nessuno dei suddetti effetti;
· Medio: se si verifica solo uno dei suddetti effetti;
· Alto: se si verificano due o più dei suddetti effetti.
Per individuare il livello di importanza bisogna inserire ciascun rischio all'interno della seguente matrice in base ai gradi di probabilità ed entità del danno assegnati.
57 Danno relativo e Probabilità
DannoRelativo(Impatto)
Probabilità Bassa Media Alta
Alto Rischio Rilevante Rischio Critico Rischio Critico Medio Rischio Rilevante Rischio Rilevante Rischio Critico
Basso Rischio Accettabile Rischio
Accettabile Rischio Rilevante
L’analisi del rischio, compiuta nel presente P.T.P.C.T., consiste nella valutazione della probabilità che il rischio si realizzi e delle conseguenze che il rischio produce (probabilità e impatto) per giungere alla determinazione del livello di rischio. Il livello di rischio è rappresentato da un valore numerico.
Per ciascun rischio catalogato l’Istituto stima il valore della probabilità e il valore dell’impatto. I criteri utilizzati dall’Istituto per stimare la probabilità e l’impatto e per valutare il livello di rischio del processo sono quelli indicati nella Tabella Allegato 5 del P.N.A.: “La valutazione del livello di rischio”, che individua:
come valori e frequenze della probabilità, i seguenti:
· 0 - nessuna probabilità;
· 1 – improbabile;
· 2 – poco probabile;
· 3 – probabile;
· 4 – molto probabile;
· 5 – altamente probabile;
come valori ed importanza dell’impatto, i seguenti:
· 0 – nessun impatto;
· 1 – marginale;
· 2 – minore;
· 3 – soglia;
· 4 – serio;
· 5 - superiore.
Forbice da 0 a 25 (0 = nessun rischio; 25 = rischio critico)
58
Valori e frequenze delle probabilità di rischio
PROBABILITÀ
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
0 1 2 3 4 5
IMPATTO
Legenda
NULLO 0
TRASCURABILE DA 1 a 3 MEDIO-BASSO DA 4 a 6
RILEVANTE DA 8 a 12
CRITICO DA 15 a
25
La stima della probabilità tiene conto, tra gli altri fattori, dei controlli vigenti. A tal fine, per controllo si intende qualunque strumento di controllo utilizzato nell’Istituto che sia utile per ridurre la probabilità del rischio (e, quindi, sia il sistema dei controlli legali, come il controllo preventivo e il controllo di gestione, sia altri meccanismi di controllo utilizzati nell’Istituto, come – a mero titolo esemplificativo – i controlli a campione in casi non previsti dalle norme). La valutazione sull’adeguatezza del controllo è fatta considerando il modo in cui il controllo funziona
concretamente nell’Istituto. Per la stima della probabilità, quindi, non rileva la previsione dell’esistenza in astratto del controllo, ma la sua efficacia in relazione al rischio considerato.
L’impatto si misura in termini di:
· impatto economico;
· impatto organizzativo;
· impatto reputazionale.
59
Il valore della probabilità e il valore dell’impatto debbono essere moltiplicati per ottenere il valore complessivo, che esprime il livello di rischio del processo.La valutazione del rischio di corruzione ed illegalità compiuta nel presente P.T.P.C. documento è oggetto di aggiornamento e di implementazione annuale – in termini di maggiore specificità nella indicazione delle sottoaree, delle attività e dei processi a rischio, salve emergenti motivate esigenze che richiedano che siano, con immediatezza, apportate tempestive modifiche al P.T.P.C. aziendale.
Per l’attività di analisi del rischio l’IRCCS CROB si avvale del supporto dei referenti del RPCT, dell’O.I.V. e degli altri organismi interni di controllo, sotto il coordinamento generale del Responsabile della prevenzione della corruzione. In particolare, l’O.I.V. può esprimere un proprio parere sull’esito dell’analisi del rischio, alla luce del monitoraggio sulla trasparenza ed integrità dei controlli interni (art.
14, comma 4, lett. a), d.lgs. n. 150/2009).
60 7 ANALISI DEI RISCHI DEI PROCESSI AZIENDALI DELL’IRCCS CROB
AREA ACQUISIZIONE E PROGRESSIONE DEL PERSONALE
MACRO
61 AREA AFFIDAMENTO DI LAVORI, SERVIZI E FORNITURE
MACRO
VIGILANZA SUI CONTRATTI PUBBLICI, APPALTI DI LAVORO E FORNITURE DI BENI E SERVIZI
Definizione di un
Definizione dei requisiti di accesso alla gara e, in particolare, dei requisiti tecnico-economici dei concorrenti al fine limitare la concorrenza
62
Abuso delle disposizioni inmateria di determinazione
VIGILANZA SUI CONTRATTI PUBBLICI, APPALTI DI LAVORO E FORNITURE DI BENI E SERVIZI
I vari attori coinvolti (quali,
63
Alterazione o omissione dei controlli e delle verifiche al fine di favorire un aggiudicatario privo dei
Alterazione o omissione dei controlli e delle verifiche al fine di favorire un aggiudicatario privo dei