Prime esperienze applicative: ambiguità e divergenze dallo standard ISO 3

Le difficoltà di coordinamento e l’ambiguità di alcune delle scelte compiute a livello di PNA trovano conferma dall’esame delle prime esperienze applicative.

L’analisi ha assunto come riferimento alcuni PTPC di amministrazioni di varia natura e livello della Regione Lombardia. Di particolare interesse, in questa prospettiva, è la valutazione dei contenuti del PTPC di due importanti amministrazioni: da un lato la Regione Lombardia55_{; dall’altro il Comune di}

Milano56_.

Il confronto tra modelli è particolarmente significativo, perché rivela due approcci radicalmente diversi. Il PTPC della Regione Lombardia è quello che nella sua struttura si avvicina di più ai criteri e alla metodologia operativa definita dallo standard ISO 31000, ed è stato predisposto in modo da offrire (attraverso specifiche

55 _{Consultabile on line all’indirizzo}

http://www.regione.lombardia.it/shared/ccurl/942/999/Piano%20triennale%20di%20Prevenzione%20della %20Corruzione%202015-2017%20della%20Regione%20Lombardia.pdf

56 _{Consultabile on line all’indirizzo}

http://mediagallery.comune.milano.it/cdm/objects/changeme:17228/datastreams/dataStream392277198135 9031/content?pgpath=ist_it_contentlibrary/sa_sitecontent/segui_amministrazione/amministrazione_traspar ente/altri_contenuti/anti_corruzione

116

tabelle) una sintesi grafica dell’incidenza del rischio corruzione sulle singole attività dell’ente57 _{e una spiegazione analitica delle valutazioni compiute nel processo di}

analisi58_{. Il PTPC del Comune di Milano, al contrario, non esplicita il processo di}

analisi seguito e presenta solo un’indicazione verbale del livello di rischio e delle misure di trattamento previste, spesso di carattere programmatico59_.

Anche tenendo conto delle possibili divergenze dovute al fatto che si tratta dei primi strumenti adottati in attuazione delle linee guida definite dal PNA e delle conseguenti incertezze applicative, appare comunque evidente che l’auspicio di

57 _{Se ne riproduce un esempio:}

58 _{PTPC Regione Lombardia, cit., § 4.2.}

59 _{Si veda, ad esempio, quanto previsto per la gestione dei servizi demografici: PTPC Comune di}

117

uniformità nella predisposizione dei piani da parte delle singole amministrazioni non ha trovato riscontro. Da questo punto di vista, quindi, per il futuro è senz’altro necessario compiere uno sforzo nella direzione di una maggiore condivisione di schemi e procedure operative, eventualmente attraverso la definizione di linee guida più essenziali e semplici da attuare.

Nel dettaglio, una valutazione dei contenuti dei PTPC di riferimento svolta sulla base dello standard ISO 31000 rivela come il PTPC del Comune di Milano presenti scarsi profili di coerenza con la logica dello standard internazionale, perché inadeguato rispetto ad almeno due dei tre pilastri che lo costituiscono: pur assumendo che la definizione dei principi sia conforme a quella definita dal PNA (e in particolare dall’allegato 6, che è una trasposizione dello standard internazionale), si evidenziano infatti carenze sia per quanto riguarda la definizione della struttura (che non è definita ed è sostituita da una serie di previsioni prevalentemente programmatiche e di rinvii e richiami a prescrizioni normative), sia per quanto riguarda la definizione del contesto, sia per quanto riguarda il processo di valutazione del rischio (rispetto al quale non sono esplicitati i criteri di rischio e non è presentata la relativa matrice sulla base della quale fondare il processo di ponderazione e trattamento).

Il PTPC della Regione Lombardia presenta invece maggiori punti di contatto con lo standard internazionale60_{, ma le divergenze restano notevoli.}

118

In particolare, anche in questo caso manca un’adeguata predisposizione e disciplina della Struttura (Framework), secondo il previsto schema Plan-Do-Check- Act61_{, schema che d’altra parte è solo in parte ricavabile dalle indicazioni contenute}

nel PNA e dalle relative linee guida. Anche l’attività di definizione del contesto nel quale il processo di gestione del rischio deve essere attuato62 _{è poco sviluppata.}

Come si è già avuto modo di ricordare, si tratta di una fase di importanza fondamentale, perché presuppone la piena conoscenza dell’organizzazione e del suo contesto operativo, fattore che permette l’adeguata identificazione dei rischi che caratterizzano l’attività dell’organizzazione. Questa carenza probabilmente si spiega con la particolare impostazione delle linee guida del PNA, che non richiedono espressamente la definizione del contesto in sede di predisposizione del PTPC e che per quanto riguarda le strategie fondamentali provvedono a determinarle in via preventiva, unilaterale e generale. Ciò non toglie, tuttavia, che nella prospettiva dello standard ISO 31000 si tratta di un fattore di debolezza significativo.

In modo simile, il PTPC non esplicita i criteri di rischio. Anche in questo caso il riferimento a tali criteri va verosimilmente ricercato nelle linee guida del PNA. Tuttavia, il fatto che i criteri non siano riprodotti impedisce un’appropriata ponderazione del rischio, necessaria per completare la valutazione definendo le misure di trattamento.

Sempre dal punto di vista dei contenuti, le misure ulteriori (la cui indicazione, peraltro, è coerente con la metodologia indicata dalle linee guida del PNA) consistono in asserzioni o piani d’azione generici che non hanno un’effettiva incidenza sul rischio e che per come sono definiti non possono essere oggetto di riesame o controllo e verifica (monitoraggio).

61 _{V. la descrizione e lo schema grafico riportati alla nota 9.} 62 _{ISO 31000:2009 § 5.3.}

119

L’attività di monitoraggio e riesame stessa, inoltre, è definita solo a livello di programma, senza che ne siano specificati tempi e modalità di attuazione63_{, così}

come non sono definiti in modo preciso i tempi di attuazione delle misure (genericamente definiti come ad attuazione continua o immediata).

Rispetto allo standard internazionale, infine, il PTPC contiene in più l’indicazione degli obiettivi di contrasto al rischio, che sono specificati in sede di identificazione dei rischi; obiettivi che, come entità autonoma, non sono invece richiesti dallo standard ISO 31000.

Il quadro finale evidenzia quindi dei risultati eterogenei, che mostrano come l’approccio alle metodologie di gestione del rischio non sia stato ancora pienamente assimilato e rivela frequenti (e in alcuni casi significativi) profili di difformità rispetto allo standard internazionale. Considerato che si tratta delle prime esperienze applicative concrete, tuttavia, questo ordine di criticità erano prevedibili e sono per certi versi comprensibili (se non fisiologiche)64_{. L’obiettivo da perseguire in via}

prioritaria, ora, è tuttavia quello di superarle e di raggiungere criteri d’azione condivisi e omogenei tra le varie amministrazioni.

6. I limiti delle scelte compiute nell’utilizzo dei c.d. whistleblowing