Il Piano Nazionale Anticorruzione per gestione del rischio intende “l'insieme delle attività coordinate per guidare e tenere sotto controllo l'amministrazione con riferimento al rischio”.
A differenza di quanto detto per le misure di prevenzione, la gestione del rischio non ha carattere di obbligatorietà ma ciascuna amministrazione può affrontare la questione come meglio crede utilizzando la metodologia che ritiene più adeguata. Questo lo dimostra il fatto che il P.N.A. parla di gestione del rischio quando intende fornire suggerimenti di tipo metodologico e strategico, anche formalmente definiti “principi consigliati”.
Detto ciò è opportuno sottolineare che è comunque vietato eludere quelli che sono i criteri logici e organizzativi suggeriti nel P.N.A. in quanto considerati idonei strumenti di gestione del rischio a livello universale.
Nonostante non siano immediatamente visibili in quanto contenuti nell'ultimo Allegato del P.N.A. ovvero l'Allegato n. 6, prima di tutto ho provveduto a prendere in considerazione quelli che sono i principi di gestione del rischio raccomandati a tutte le amministrazioni.
Questi sono desunti dalle linee guida UNI ISO 31000:201049 e sono di seguito elencati:
a) la gestione del rischio crea e protegge il valore, dunque contribuisce in
maniera dimostrabile al raggiungimento degli obiettivi ed al miglioramento della prestazione;
b) la gestione del rischio è parte integrante di tutti i processi dell'organizzazione, inclusi la pianificazione strategica e tutti i processi di
gestione dei progetti e del cambiamento, pertanto non risulta essere un'attività indipendente;
c) la gestione del rischio è parte del processo decisionale, quindi di
conseguenza aiuta i soggetti incaricati di prendere le decisioni a effettuare scelte adeguate;
49 Adozione nazionale, in lingua italiana, della norma internazionale ISO 31000 (edizione novembre 2009), elaborata dal Comitato tecnico ISO/TMB “Risk Management”.
d) la gestione del rischio tratta esplicitamente l'incertezza, ovvero in altre
parole tiene conto della sua natura e di come essa può essere affrontata;
e) la gestione del rischio è sistematica, strutturata e tempestiva, ossia che un
approccio alla gestione del rischio sistematico, strutturato e tempestivo permette di ottenere efficienza e risultati coerenti e confrontabili;
f) la gestione del rischio si basa sulle migliori informazioni disponibili, in
particolare questa si basa su fonti informative quali dati storici, informazioni di ritorno dai portatori d'interesse, osservazioni e pareri di specialisti;
g) la gestione del rischio è su misura, ovvero in perfetta sintonia con il
contesto interno ed esterno e con il profilo di rischio dell'organizzazione;
h) la gestione del rischio tiene conto dei fattori umani e culturali, quindi è
opportuno individuare le capacità, le percezioni e le aspettative delle persone interne ed esterne che possono agevolare o ostacolare il raggiungimento degli obiettivi dell'organizzazione;
i) la gestione del rischio è trasparente e inclusiva, al fine di garantire che
essa sia pertinente ed aggiornata ma, soprattutto, che i portatori d'interesse siano rappresentati e presi in considerazione durante la definizione dei criteri di rischio;
j) la gestione del rischio è dinamica, ossia continuamente sensibile al
cambiamento;
k) la gestione del rischio favorisce il miglioramento continuo dell'organizzazione, infatti proprio a tal riguardo le organizzazioni
dovrebbero implementare strategie al fine di migliorare sia la maturità della propria gestione del rischio, sia tutti gli altri aspetti proprio dell'organizzazione stessa.
Una volta ricordati i principi di base della gestione del rischio, viene sottolineato che questa specifica parte si sostanzia in tre distinte fasi, dedotte anch'esse dalla norma UNI ISO 31000:2010 e descritte nell'Allegato n. 1 del P.N.A.
Tali fasi precedono l'adozione del P.T.P.C e sono:
1. mappatura dei processi attuati dall'amministrazione; 2. valutazione del rischio per ciascun processo;
3. trattamento del rischio; 2.4.1 La mappatura dei processi
Prima di tutto è opportuno chiarire cosa si intende per “mappatura” e cosa si intende per “processo”.
Mentre il primo termine è riconducibile all'attività di individuazione dei processi che si trovano all'interno delle aree e delle sottoaree di rischio individuate dalla normativa, con il secondo, invece, si fa riferimento ad un insieme di attività che correlate tra loro creano valore trasformando delle risorse (input del processo) in un prodotto (output del processo) destinato ad un soggetto interno o esterno all'amministrazione (utente).
In particolare durante la fase di mappatura viene fatta una ricognizione di tutti i processi che porta all'elaborazione del catalogo dei processi.
All'interno del catalogo devono essere inserite quelle aree che la normativa definisce obbligatorie, in quanto devono essere necessariamente sottoposte a mappatura perché caratterizzate da un'elevata esposizione al rischio di corruzione. Tali aree, a loro volta suddivise in sottoaree nell'Allegato 2 del P.N.A., sono quattro e sono di seguito riportate:
1) Area: acquisizione e progressione del personale ▪ Reclutamento
▪ Progressione di carriera
▪ Conferimento di incarichi di collaborazione 2) Area: affidamento di lavori, servizi e forniture
▪ Definizione dell’oggetto dell’affidamento
▪ Requisiti di qualificazione ▪ Requisiti di aggiudicazione ▪ Valutazione delle offerte
▪ Verifica dell’eventuale anomalia delle offerte ▪ Procedure negoziate
▪ Affidamenti diretti ▪ Revoca del bando
▪ Redazione del cronoprogramma
▪ Varianti in corso di esecuzione del contratto ▪ Subappalto
▪ Utilizzo di rimedi di risoluzione delle controversie alternativi a quelli giurisdizionali durante la fase di esecuzione del contratto 3) Area: provvedimenti ampliativi della sfera giuridica dei destinatari privi di
effetto economico diretto e immediato
▪ Provvedimenti amministrativi vincolati nell’an ▪ Provvedimenti amministrativi a contenuto vincolato
▪ Provvedimenti amministrativi vincolati nell’an e a contenuto vincolato
▪ Provvedimenti amministrativi a contenuto discrezionale ▪ Provvedimenti amministrativi discrezionali nell’an
▪ Provvedimenti amministrativi discrezionali nell’an e nel contenuto 4) Area: provvedimenti ampliativi della sfera giuridica dei destinatari con
effetto economico diretto e immediato
▪ Provvedimenti amministrativi vincolati nell’an ▪ Provvedimenti amministrativi a contenuto vincolato
vincolato
▪ Provvedimenti amministrativi a contenuto discrezionale ▪ Provvedimenti amministrativi discrezionali nell’an
▪ Provvedimenti amministrativi discrezionali nell’an e nel contenuto E' opportuno che queste aree siano analizzate e indicate nei Piani triennali di tutte le amministrazioni. In particolare, esse rappresentano un contenuto minimale, il quale deve essere adattato alle peculiarità organizzative di ciascuna amministrazione e ampliato con ulteriori aree ritenute rischiose riconducibili all'amministrazione stessa.
Nello svolgimento dell'attività di mappatura, oltre ai dirigenti competenti che operano sotto il coordinamento del responsabile della prevenzione, può essere chiamato in causa anche l'Organismo Indipendente di Valutazione e gli altri uffici di controllo interno.
2.4.2 La valutazione del rischio
Ciascun processo mappato deve essere sottoposto all'attività di valutazione, la quale, a sua volta, si divide in: identificazione, analisi e ponderazione del rischio. L'attività di identificazione consiste nel rilevare, considerando sia il contesto interno che quello esterno dell'amministrazione, possibili rischi di corruzione insiti in determinati processi o fasi di processo. Per svolgere al meglio tale attività è opportuno consultare i soggetti coinvolti, nonché analizzare i dati relativi ad esperienze passate.
Una volta identificati, tali rischi vengono poi inseriti in un “registro dei rischi”. I soggetti preposti allo svolgimento di questa attività è preferibile che operino nell'ambito di gruppi di lavoro comprendendo anche i dirigenti competenti, sotto il coordinamento generale del responsabile della prevenzione.
In relazione alle aree obbligatorie sopra menzionate, l'Allegato 3 del P.N.A., a titolo meramente esplicativo, elenca alcuni rischi. Di seguito ho provveduto a riportarne un estratto indicando solo due rischi per ogni area.
1) Area: acquisizione e progressione del personale
◦ previsioni di requisiti di accesso “personalizzati” ed insufficienza di meccanismi oggettivi e trasparenti idonei a verificare il possesso dei requisiti attitudinali e professionali richiesti in relazione alla posizione da ricoprire allo scopo di reclutare candidati particolari; ◦ progressioni economiche o di carriera accordate illegittimamente
allo scopo di agevolare dipendenti/candidati particolari.
2) Area: affidamento di lavori, servizi e forniture
◦ uso distorto del criterio dell’offerta economicamente più vantaggiosa, finalizzato a favorire un’impresa;
◦ abuso del provvedimento di revoca del bando al fine di bloccare una gara il cui risultato si sia rivelato diverso da quello atteso o di concedere un indennizzo all’aggiudicatario.
3) Area: provvedimenti ampliativi della sfera giuridica dei destinatari privi di effetto economico diretto ed immediato per il destinatario
◦ abuso nell’adozione di provvedimenti aventi ad oggetto condizioni di accesso a servizi pubblici al fine di agevolare particolari soggetti (es. inserimento in cima ad una lista di attesa);
◦ abuso nel rilascio di autorizzazioni in ambiti in cui il pubblico ufficio ha funzioni esclusive o preminenti di controllo al fine di agevolare determinati soggetti (es. controlli finalizzati all’accertamento del possesso di requisiti per apertura di esercizi commerciali).
4) Area: provvedimenti ampliativi della sfera giuridica dei destinatari con effetto economico diretto ed immediato per il destinatario
◦ riconoscimento indebito di indennità di disoccupazione a cittadini non in possesso dei requisiti di legge al fine di agevolare determinati soggetti;
◦ riconoscimento indebito dell’esenzione dal pagamento di ticket sanitari al fine di agevolare determinati soggetti.
Per quanto riguarda l'analisi dei rischi lo scopo è quello di determinare il livello di rischio mediante un valore numerico. Quest'ultimo viene solitamente calcolato incrociando la probabilità che il rischio si verifichi e le conseguenze derivanti dal verificarsi di quel rischio, ovvero l'impatto.
Per stimare la probabilità e l'impatto, è opportuno che sia applicata la metodologia indicata nell'Allegato 5 del P.N.A.
In particolare, per quanto riguarda la probabilità devono essere considerati i seguenti fattori:
• la discrezionalità del processo; • la rilevanza esterna;
• la frazionabilità; • il valore economico; • la complessità;
• la tipologia di controllo applicato al processo.
Dopo aver attribuito a ciascun fattore un punteggio, utilizzando una scala che va da 1 a 5, deve essere calcolata una media al fine di determinare il valore della probabilità.
Per quanto riguarda l'impatto, invece, devono essere considerati: • l'impatto economico
• l'impatto reputazionale • l'impatto organizzativo • l'impatto sull'immagine
Seguendo quanto detto sopra per la probabilità è possibile determinare il valore dell'impatto.
Moltiplicando tra loro il valore della probabilità e dell'impatto si ottiene il valore complessivo che può andare da 1 a 25 ed esprime il grado di esposizione di un determinato processo a un certo rischio.
Di seguito è rappresentata la matrice generale utilizzata per il calcolo del rischio:
1 2 3 4 5 5 5 10 15 20 25 4 4 8 12 16 20 3 3 6 9 12 15 2 2 4 6 8 10 1 1 2 3 4 5 Impatto Probabilità
rischio basso rischio medio
Infine la valutazione del rischio termina con l'attività di ponderazione, la quale si sostanzia nel prendere in considerazione il rischio alla luce dell'analisi e nel confrontarlo con tutti gli altri rischi con l'intento di determinare la priorità degli interventi. A seguito del confronto è possibile classificare i singoli rischi e i relativi processi in base al livello di rischio. Tale classificazione viene esaminata e valutata al fine di definire la proposta di trattamento dei rischi.
2.4.3 Il trattamento del rischio
La fase di trattamento del rischio coincide con l'individuazione dei rischi che devono essere trattati prioritariamente rispetto agli altri e delle misure che devono essere implementate per neutralizzare e/o ridurre quei rischi.
Nel decidere quali sono i rischi che devono essere trattati con priorità, gli elementi che vengono presi in considerazione sono: il livello di rischio, l'obbligatorietà della misura e l'impatto organizzativo e finanziario.
Tale decisione spetta al responsabile della prevenzione, il quale se ne dovrà occupare unitamente all'individuazione delle misure di prevenzione. Proprio in relazione a quest'ultime il P.N.A. interviene chiarendo che tali misure possono essere distinte in obbligatorie o ulteriori. Per quanto riguarda le prime, esse devono essere attuate necessariamente dall'amministrazione, la quale, dove la legge lascia questa discrezionalità, può solo stabilire i tempi per la loro adozione. Per quanto riguarda, invece, quelle ulteriori sono lasciate alla discrezionalità del responsabile della prevenzione in base ai costi stimati, all'impatto sull'organizzazione e al grado di efficacia di ciascuna di esse.
Sia che si tratti di una misura obbligatoria sia che si tratti di una misura ulteriore, il P.T.P.C deve provvedere ad indicare il soggetto incaricato di adottarla e il termine previsto per implementarla.
La gestione del rischio termina con la successiva azione di monitoraggio finalizzata a valutare l'efficacia delle misure di prevenzione introdotte e a verificare la necessità di porre in essere ulteriori strategie di prevenzione.
gestione del rischio in stretta connessione con il sistema di programmazione e controllo di gestione.50
2.5 La gestione del rischio alla luce dell'aggiornamento 2015 del Piano Nazionale Anticorruzione
L'Anac ha provveduto ad aggiornare il piano di prevenzione della corruzione mediante determinazione n. 12 del 2015 con l'intento di fornire integrazioni e chiarimenti rispetto ai contenuti del Piano Nazionale Anticorruzione approvato con delibera Civit n. 72 del 2013.
L'aggiornamento si è reso necessario in quanto, come rilevato dall'Autorità Anticorruzione in sede di Relazione annuale al Parlamento elaborata il 2 luglio 2015, si è assistito all'attuazione del piano come un mero adempimento formale, ad una scarsa partecipazione di tutti i soggetti alla fase di mappatura del rischio, all'assenza di rotazione programmata del piano e, più in generale, ad una disattenzione nei confronti dell'attuazione della legge 190/2012.
Le indicazioni contenute in tale aggiornamento sono state elaborate in un'ottica di continuità rispetto a quanto previsto nel P.N.A. con l'obiettivo principale di spingere le pubbliche amministrazioni ad aumentare la qualità delle misure anticorruzione, rendendo i Piani triennali per la prevenzione della corruzione strumenti più efficaci.51
Le considerazioni riportate nella Relazione al Parlamento sono il frutto di uno studio dettagliato ed a campione effettuato dall'Anac sui P.T.P.C. di 1911 amministrazioni52.
Alla luce delle analisi effettuate su tali piani, l'Anac ha rilevato un risultato in
50 Si veda: BILARDO F., PROSPERI M., Piano nazionale e piani decentrati anticorruzione. La riforma
anticorruzione in una visione integrata giuridica e organizzativa., Maggioli Editore, Rimini, 2013, p.
181-191.
51 TURTURIELLO R., PORCARI D. M., Manuale teorico-pratico in materia di anticorruzione., Maggioli Editore, Rimini, 2016, p. 25-26.
52 Con tale termine si fa riferimento alle seguenti tipologie di amministrazione: Amministrazioni dello Stato ed Enti Nazionali (Presidenza del Consiglio dei Ministri, Ministeri, Enti Pubblici non Economici, Agenzie e altri Enti nazionali), Autonomie Territoriali (Regioni, Province e Comuni), Enti del Servizio Sanitario (Aziende Sanitarie Locali, Aziende Ospedaliere e Istituti di Ricovero e Cura a Carattere Scientifico) e Autonomie Funzionali (Camere di Commercio, Industria, Artigianato e Agricoltura e Università Statali).
chiaroscuro. Infatti, mentre da un lato, il 90% delle amministrazioni ha adottato e pubblicato il P.T.P.C. sul proprio sito istituzionale e il 60% di esse ha reso noto l'aggiornamento per il triennio 2015-2017, dall'altro lato tale documento è risultato nella maggior parte dei casi qualitativamente insoddisfacente. Questo risultato, tutt'altro che positivo, è riconducibile ad una generale impreparazione delle amministrazioni, data la sostanziale novità e complessità della normativa. Per quanto riguarda la bassa qualità del processo di gestione del rischio, la fase che ha inciso di più ad abbassare tale livello è stata l'analisi del contesto esterno, la quale è risultata inadeguata e, addirittura, assente nel 80% dei casi.
A questa si aggiunge l'analisi del contesto interno, attuata attraverso la mappatura dei processi, la quale, pur essendo meno critica della precedente, non appare del tutto soddisfacente. Infatti si evidenzia una scarsa qualità della stessa nel 70% dei casi per ciò che riguarda i processi relativi alle “Aree obbligatorie” e nel 80% per quanto riguarda i processi afferenti alle “Aree ulteriori”.
Ulteriori elementi di criticità sono rappresentati dalla valutazione e trattamento del rischio. In particolare, per quanto riguarda quest'ultima fase, l'Anac ha riscontrato la tendenza da parte delle amministrazioni di indicare nei P.T.P.C. le misure obbligatorie previste dalla normativa o elencate nel P.N.A., senza però concentrarsi sull'attuazione di una concreta pianificazione delle stesse. Per quanto riguarda le misure ulteriori, invece, nel 50% dei casi, esse non sono state addirittura previste, facendo giungere alla conclusione che i Piani triennali sono strumenti standardizzati non ancora capaci di adattarsi in maniera adeguata ai vari contesti organizzativi.
Infine possiamo dire che l'analisi organizzativa è condizionata dal limitato coinvolgimento degli attori interni e dall'assenza di quelli esterni ma, soprattutto, dalla carenza di un adeguato sistema di monitoraggio interno, il quale risulta insufficiente nel 70% dei Piani analizzati.53
Visto il livello di inadeguatezza che ha caratterizzato il processo di gestione del rischio contenuto nei P.T.P.C. analizzati, l'aggiornamento del P.N.A. si pone come
53 Le affermazioni riportate sono rielaborate sulla base del contributo di P. CANAPARO, A ottobre
obiettivo principale quello di fornire indicazioni metodologiche per agevolare l'impostazione e la realizzazione di tale processo.
In particolare queste indicazioni riguardano le fasi che caratterizzano un sistema di gestione del rischio finalizzato a proteggere l'amministrazione dalla corruzione. Esse sono sviluppate in linea con le indicazioni della norma UNI ISO 31000:2010 e, come indicato nella Figura 2, possono essere maggiormente raggruppate a monte costituendo tre macrofasi: analisi del contesto, valutazione del rischio e trattamento del rischio.
In relazione ad ogni macrofase dopo averla descritta ho provveduto ad inserire l'output generato da ciascuna di esse ai fini della redazione del P.T.P.C.
Figura 2 – Le fasi in cui è articolata la gestione del rischio54
2.5.1 Analisi del contesto
Nella prima macrofase bisogna analizzare tanto il contesto esterno quanto quello interno. Nella maggior parte dei P.T.P.C. presi in esame, l'analisi del contesto esterno risulta carente se non, addirittura, assente. In particolare, tale analisi si pone l'obiettivo di capire quale sia l'ambiente esterno in cui opera l'organizzazione. In altri termini, quindi, risulta di particolare importanza rendersi conto con chi è a contatto l'amministrazione, con un'attenzione particolare alle variabili culturali, criminologiche, sociali ed economiche del territorio che possono favorire il verificarsi di fenomeni corruttivi all'interno di essa.
A tal riguardo l'aggiornamento del PNA dispone che per gli enti locali è consigliato fare un'analisi del contesto esterno basata sui dati che vengono dalle
54 Si rinvia al documento: Autorità Nazionale Anticorruzione, Aggiornamento 2015 al Piano Nazionale Anticorruzione, determinazione n. 12 del 28 ottobre 2015., p. 16
pubblicazioni da parte del Ministero degli interni, il quale potrebbe essere utile per capire se ci sono delle infiltrazioni di tipo mafioso. Pertanto, se non si conosce il contesto esterno anche la strategia anticorruzione potrebbe risultare difficilmente adeguata.
Per quanto riguarda, invece, il contesto interno l'obiettivo è quello di prendere in considerazione tutta l'attività svolta mediante la mappatura dei processi. Alla luce dell'analisi dei P.T.P.C., l'Anac ha riscontrato che le amministrazioni tendono a limitare la loro analisi alle sole aree di rischio definite “obbligatorie”. Pertanto, a tali aree, nell'aggiornamento del P.N.A., vengono aggiunte altre quattro aree:
• gestione delle entrate, delle spese e del patrimonio; • controlli, verifiche, ispezioni e sanzioni;
• incarichi e nomine;
• affari legali e contenzioso.
Insieme a quelle fin qui definite “obbligatorie”, queste quattro aree vengono ora denominate “generali”. In aggiunta a queste si deve provvedere a far emergere le “aree di rischio specifiche”, le quali variano a seconda dell'amministrazione che viene presa in considerazione.
Concentrandosi particolarmente sulla mappatura dei processi è opportuno chiarire che si tratta di un'attività complessa che richiede tempo e risorse.
In primo luogo occorre effettuare la ricognizione delle aree di rischio sopra menzionate, ovvero quelle già considerate rischiose dalla Legge 190/2012 e dal P.N.A., e di quelle ulteriori.
Dopo di che per ogni area di rischio si individuano i processi collegati. In relazione ad ogni processo si procede a definire, nel caso in cui ci siano, l'insieme delle attività che lo compongono ma, soprattutto, tutte le unità organizzative che in maniera più o meno rilevante sono in esso coinvolte.
Tabella 2 – Mappatura dei processi55
AREA DI RISCHIO PROCESSO ATTIVITA' UNITA'
ORGANIZZATIVE Processo A A1 UO1-UO2 A2 UO2 A3 UO3-UO4 Processo B B1 UO1-UO5 Area A B2 UO5 B3 UO2-UO3-UO5 Processo N N1 UO5 N2 UO4 N3 UO1
2.5.2 Valutazione del rischio
L'attività di valutazione del rischio è costituita da tre fasi: identificazione, analisi e ponderazione dei rischi.
Con riferimento all'identificazione dei rischi l'obiettivo è quello di individuare gli eventi di natura corruttiva che potrebbero verificarsi all'interno dei processi mappati.
Durante lo svolgimento di questa attività è opportuno che l'amministrazione si avvalga del maggior numero possibile di fonti informative, le quali possono essere sia di natura interna (procedimenti disciplinari, segnalazioni, report di uffici di controllo, incontri con i responsabili degli uffici e con il personale) che esterna (casi giudiziari).
Dopo aver identificato i rischi si passa alla loro analisi che consiste nell'individuare le cause degli eventi rischiosi ma, soprattutto, nel definire il