2. Il Rischio (UNI ISO 31000:2010)
• Il rischio è l’effetto dell’incertezza sugli obiettivi
• Effetto = scostamento (positivo o negativo) da un risultato atteso
• Incertezza = stato anche parziale, di assenza di informazioni relative
alla comprensione di un evento, delle sue conseguenze e della sua
verosimiglianza (=probabilità)
3. Il Rischio (UNI ISO 31000:2010): eventi e incertezza
Il rischio non dipende dal fatto che alcuni eventi possono influire sui nostri
obiettivi, ma dal fatto che non conosciamo tali eventi (= incertezza)
4. Il Rischio (UNI ISO 31000:2010): eventi e incertezza
Il rischio è sempre associato ad un evento, ma non in modo diretto.
Non è l’evento che genera il rischio, per il fatto che può verificarsi.
Piuttosto, il rischio si genera, perché non sappiamo quando, come e perché
l’evento si potrebbe verificare e quando si verificherà.
In sintesi, il rischio è figlio dell’incertezza e l’analisi del rischio deve essere
finalizzata a ridurre l’incertezza, sviluppando una (più o meno completa)
conoscenza degli eventi
5. EVENTO DI CORRUZIONE
Abuso da parte di un soggetto del potere a lui affidato, al fine di
ottenere vantaggi privati. (Circolare 1/2013 del DFP)
Assunzione di decisioni devianti dalla cura dell’interesse generale a
causa del condizionamento improprio da parte di interessi particolari
(det. ANAC N. 12/2015)
In pratica un evento di corruzione ha luogo quando un pubblico
ufficiale/incaricato di pubblico servizio decide di influenzare la gestione
e gli esiti di un processo dell’organizzazione pubblica in cui è inserito,
al fine di favorire i propri interessi privati e/o gli interessi di altri soggetti
privati.
6. EVENTO DI CORRUZIONE
Azione consapevole
Distorsione dei processi
pubblici
Uno o più interessi privati
Evento di
corruzione
10. Le tre «dimensioni» del rischio di corruzione
INCERTEZZA ORGANIZZATIVA
Relativa ai processi e all’organizzazione che gestisce i processi
INCERTEZZA ETICA
Relativa alle persone, interne ed esterne all’amministrazione, che
prendono delle decisioni e attuano dei comportamenti
INCERTEZZA RELAZIONALE
Relativa agli interessi legano le persone coinvolte nei processi
dell’organizzazione pubblica
13. Participating Countries (37)
Australia (SA)
Austria (ASI)
Brazil (ABNT)
Cameroon
(ANOR)
Canada (SCC)
China (SAC)
Colombia
(ICONTEC)
Croatia (HZN)
Czech Republic
(UNMZ)
Denmark (DS)
Ecuador (INEN)
Egypt (EOS)
France (AFNOR)
• Germany (DIN)
• Guatemala
(COGUANOR)
• India (BIS)
• Iraq (COSQC)
• Israel (SII)
• Kenya (KEBS)
• Lebanon
(LIBNOR)
• Malaysia (DSM)
• Mauritius (MSB)
• Mexico (DGN)
• Morocco
(IMANOR)
• Nigeria (SON)
• Norway (SN)
• Pakistan
(PSQCA)
• Saudi Arabia
(SASO)
• Serbia (ISS)
• Singapore
(SPRING SG)
• Spain
(AENOR)
• Sweden (SIS)
• Switzerland
(SNV)
• Tunisia
(INNORPI)
• United Kingdom
(BSI)
• United States
(ANSI)
• Zambia (ZABS)
14. Observing Countries (22)
Argentina (IRAM)
Armenia (SARM)
Bulgaria (BDS)
Chile (INN)
Cyprus (CYS)
Côte d'Ivoire
(CODINORM)
Finland (SFS)
Hong Kong
(ITCHKSAR)
Hungary (MSZT)
Italy (UNI)
Japan (JISC)
• Korea, Republic of (KATS)
• Lithuania (LST)
• Macao (CPTTM)
• Mongolia (MASM)
• Netherlands (NEN)
• New Zealand (NZSO)
• Poland (PKN)
• Portugal (IPQ)
• Russian Federation
(GOSTR)
• Thailand (TISI)
• Uruguay (UNIT)
15. Anticorruzione nella Pubblica
Amministrazione: problema n.1
La legislazione in materia di prevenzione della corruzione
nella pubblica amministrazione non è stabile (continue
modifiche, innovazioni e integrazioni normative)
Gli atti di indirizzo dell’ANAC (i Piani Nazionali
Anticorruzione e le determinazioni in materia di
prevenzione e trasparenzza) sono carenti dal punto di vista
logico e metodologico: dicono «cosa» devono fare le
Pubbliche Amministrazioni, ma non spiegano «perché»
certe cose devono essere fatte
La legislazione vigente impone alle pubbliche
amministrazioni un numero eccessivo di adempimenti, e lo
fa in modo non coordinato e disorganico
16. Anticorruzione nella Pubblica
Amministrazione: problema n.1
… In sintesi: ci sono troppe leggi, che cambiano troppo
velocemente, troppi adempimenti e una scarsa
propensione del legislatore e dell’ ANAC a valutare
l’effettiva utilità degli adempimenti
CONSEGUENZE:
le Pubbliche Amministrazioni non sanno più quali
interventi e quali controlli sono prioritari. E veramente utili
per la prevenzione della corruzione.
Si introducono troppe misure di prevenzione, che spesso
non vengono concretamente attuate.
17. Anticorruzione nella Pubblica
Amministrazione: problema n. 2
Nelle Pubbliche Amministrazione (tendenzialmente a tutti i
livelli) esiste un conflitto organizzativo tra esigenza di
«efficienza» ed esigenza di «regolarità»:
Gli organi di indirizzo politico vogliono una Pubblica
Amministrazione sempre più snella, sempre più vicina al
cittadino, sempre più veloce nell’erogazione dei servizi e
nell’esecuzione dei propri processi decisionali
I Dirigenti (e gli altri soggetti che gestiscono i processi
dell’ente pubblico) sono attenti soprattutto alla regolarità e
imparzialità delle decisioni e al contenimento della spesa
pubblica, anche a discapito dell’efficienza e dei bisogni del
cittadino.
19. Anticorruzione nella Pubblica
Amministrazione: problema n. 2
Gli organi di indirizzo politico vogliono combattere la
corruzione riducendo le inefficienze dell’amministrazione
I Dirigenti (e gli altri soggetti che gestiscono i processi
dell’ente pubblico) vogliono combattere la corruzione
riducendo i margini di discrezionalità e aumentando i
controlli
+ EFFICIENZA + REGOLARITA’
20. Anticorruzione nella Pubblica
Amministrazione: problema n. 2
CONSEGUENZE:
Le amministrazioni (per salvare «capra e cavoli»)
restringono l’attività di prevenzione ai casi di «mala
gestio», che derivano dal mancato rispetto delle regole e
che hanno un impatto negativo sulla qualità dei servizi e
delle decisioni
La prevenzione della corruzione si riduce ad una
standardizzazione dei processi e ad un controllo sui tempi
di conclusione dei procedimenti e di erogazione dei servizi
In pratica, il sistema di prevenzione della corruzione
diventa un sistema di gestione della qualità.
21. Anticorruzione nella Pubblica
Amministrazione: problema n. 2
Questo orientamento non è sbagliato, ma è parziale:
Esistono certamente eventi corruttivi che dipendono
dal mancato controllo dei processi o che causano
cattiva qualità delle decisioni e dei servizi pubblici
Ma esistono anche eventi di corruzione, che non
impattano sulla qualità dei processi
Ed esistono anche eventi di corruzione che rendono
più efficienti i processi pubblici
22. Anticorruzione nella Pubblica
Amministrazione: problema n. 2
Quindi, la corruzione è un fenomeno che interferisce
in diversi modi con la qualità dei processi pubblici
Un sistema di prevenzione della corruzione deve essere
«qualcosa di più» di un sistema di gestione della
qualità
23. La Norma ISO 37001:2016 nella
Pubblica Amministrazione
La Norma ISO 37001:2016 può aiutare le Pubbliche
Amministrazioni ad affrontare tutti questi problemi:
La norma ISO 37001:2016 è una norma diversa dalla norma
ISO 9001:2015 sulla gestione della qualità
Il sistema anticorruzione (ISO 37001) può essere integrato
nel sistema qualità (ISO 9001)
Quindi, l’anticorruzione e la qualità sono due cose diverse.
Invece i sistemi di gestione dell’anticorruzione e della
qualità hanno degli elementi in comune
In generale, legalità ed efficienza sono cose diverse, che
possono essere garantite con sistemi di gestione strutturati
nello stesso modo (= i sistemi ISO 37001 e ISO 9001 hanno
la medesima High Level Structure)
24. La Norma ISO 37001:2016 nella
Pubblica Amministrazione
La Norma ISO 37001:2016 può aiutare le Pubbliche
Amministrazioni ad affrontare tutti questi problemi:
La norma ISO 37001:2016 definisce i requisiti minimi che
devono essere garantiti da un sistema di gestione che voglia
gestire il rischio di corruzione
La norma ISO 37001 contiene anche dei suggerimenti di
tipo metodologico e operativo (Annex A: «Guidance for
use»), che chiariscono ance il fondamento logico delle
attività da svolgere, per implementare il sistema
anticorruzione
25. La Norma ISO 37001:2016 nella
Pubblica Amministrazione
La Norma ISO 37001:2016 può aiutare le Pubbliche
Amministrazioni ad affrontare tutti questi problemi:
Nel proprio sistema di gestione ISO 37001:2016 una pubblica
amministrazione deve pianificare «[…] azioni finalizzate
affrontare i rischi di corruzione e le opportunità di
miglioramento […]
Quindi, il sistema anticorruzione non deve essere
semplicemente orientato alla prevenzione della mala gestio, ma
deve, più in generale, gestire i rischi e le opportunità:
Riconoscere i casi in cui una opportunità di miglioramento
(=maggiore efficienza o maggiore controllo dei processi) può
generare o nascondere un rischio corruttivo
Promuovere azioni di prevenzione (controlli) che non impattino
negativamente sulla qualità dei servizi e delle decisioni pubbliche
27. Il successo del SGPC dipende dalla sua capacità di integrarsi con il Modello Organizzativo
pre-esistente che consente all’Amministrazione di funzionare
SGPC
Comprensione del contesto interno ed esterno
Leadership, ruoli e responsabilità
Politica e definizione degli obiettivi strategici
Valutazione del rischio
Programmazione
Azioni di supporto (competenze, comunicazione e formazione)
Controllo delle operazioni a rischio
Valutazione delle Performance
Monitoraggio, riesame e miglioramento continuo
•DUP o Altri
documenti
programmatici
•Regolamenti,
•Codice di
Comportamento
e Regolamento
disciplinare
•Piano delle
Performance
Regolamento dei
controlli interni
28. Il PTPC è il documento che mette in relazione il SGPC con il Modello Organizzativo
SGPC
Comprensione del contesto interno ed esterno
Leadership, ruoli e responsabilità
Politica e definizione degli obiettivi strategici
Valutazione del rischio
Programmazione
Azioni di supporto (competenze, comunicazione e formazione)
Controllo delle operazioni a rischio
Valutazione delle Performance
Monitoraggio, riesame e miglioramento continuo
•DUP o Altri
documenti
programmatici
•Regolamenti,
•Codice di
Comportamento
e Regolamento
disciplinare
•Piano delle
Performance
Regolamento dei
controlli interni
•PIANO TRIENNALE
DI PREVENZIONE
DELLA
CORRUZIONE
30. Responsabilità ISO 37001
La Legge 190/2012 (e i successivi decreti attuativi), concentra le
responsabilità per la prevenzione della corruzione su due
soggetti:
Il Responsabile della prevenzione della Corruzione e della
Trasparenza (RPCT), che, negli enti locali è «apicalizzato»
(coincide di norma con il segretario generale)
L’organo di indirizzo politico, che nomina il RPCT, definisce gli
indirizzi strategici anticorruzione e approva il PTPC (negli enti
locali gli organi di indirizzo coinvolti nell’anticorruzione sono
generalmente il Sindaco e la Giunta)
I dirigenti (o le P.O. responsabili delle unità organizzative
dell’amministrazione) sono solo di supporto all’elaborazione del
PTPC e alla sua attuazione
31. Responsabilità ISO 37001
La ISO 37001:2016, invece, identifica 3 soggetti
responsabili:
L’organo di governo
Il Top Management
La funzione di Compliance Anticorruzione
32. Responsabilità
Diversi soggetti possono rivestire i ruoli di organo di governo, top management e
Funzione di Compliance. Se si considerano gli Enti Locali e gli Enti e le Aziende
del Sistema Sanitario, si possono immaginare diverse soluzioni, tutte ammesse
dalla ISO 37001 (le colonne evidenziata in verde saranno approfondite in seguito):
ISO 37001 Aziende del
Sistema
Sanitario
(AO – ASST, ecc.)
ASL – ULS –
ATS
Enti
Locali
(ipotesi 1)
Enti Locali
(Ipotesi 2)
Organo di
Governo
Consiglio di
Amministrazione
Direttore
Generale
Giunta Consiglio
Comunale
Top
Management
Direttore
Generale
Direttore
Generale
Dirigenti +
Segretario
Giunta
Funzione
Compliance
Anticorruzione
Dirigente con
funzione di RPC
Dirigente con
funzione di RPC
Staff del
RPCT
Segretario
(RPCT)
33. Responsabilità – Enti Locali
Se in un Ente Locale l’organo di governo è identificato nel Consiglio
(ipotesi 2) le responsabilità previste dalla ISO 37001 sono maggiori
di quelle previste dalla Legge 190/2012. Se invece, l’organo di
governo è identificato nella Giunta (ipotesi 1), le responsabilità
sono minori. L’organo di governo, infatti:
approva la politica anticorruzione
garantisce che le strategie dell'organizzazione siano allineate con
la politica anticorruzione
riceve e analizza, periodicamente, informazioni relative al
contenuto e all'attuazione del sistema anticorruzione
stabilisce che al sistema anticorruzione siano allocate e assegnate
risorse adeguate e appropriate;
supervisiona, nei limiti del possibile, l'implementazione del
sistema di gestione anticorruzione da parte del top management
e la sua efficacia
34. Responsabilità – Enti Locali
Se al Consiglio è assegnato il ruolo di Organo di Governo,
(ipotesi 2), allora la Giunta avrà il ruolo di Top Management
Invece, se la Giunta è considerata organo di governo (ipotesi 1) ,
allora il ruolo di Top Management potrebbe essere svolto dal
Segretario e da TUTTI i dirigenti, limitatamente alle unità
organizzative di propria responsabilità.
La Funzione di Compliance Anticorruzione è una funzione
aziendale identificata dal Top Management. Quindi:
Se si assegna alla Giunta il ruolo di top Management, la funzione di
Compliance anticorruzione coincide con il RPCT
se si assegna alla Giunta il ruolo di organo di governo, tale funzione
non può coincidere con il RPCT ma con uno staff di persone (o da
un ufficio), individuato dal RPCT e che supporta il RPCT nelle sue
attività
35. Responsabilità – Enti Locali
Se si assegna il ruolo di top management ai dirigenti, allora il
dirigente/RPCT in quanto responsabile della funzione di
Compliance Anticorruzione deve (attraverso il suo staff):
supervisionare la progettazione e l'attuazione del sistema
di gestione anti-corruzione;
fornire consulenza e orientamento al personale,
relativamente al sistema di gestione anti-corruzione e alle
problematiche relative alla corruzione;
assicurare che il sistema di gestione anti-corruzione sia
conforme ai requisiti ISO 37001
Riferire all’organo di indirizzo, al top management e alle
altre funzioni di compliance (ad esempio all’OIV) circa le
prestazioni del sistema di gestione anti-corruzione.
36. Responsabilità – Enti Locali
Invece Il dirigente/RPCT condivide con gli altri dirigenti/responsabili le
seguenti responsabilità, proprie del Top Management:
a) Assicura che il sistema di gestione, la politica e gli obiettivi
anticorruzione siano definiti, attuati, mantenuti e aggiornati per gestire
adeguatamente il rischio di corruzione dell'organizzazione;
b) assicura l'integrazione tra il sistema anticorruzione e i processi
dell'organizzazione;
c) distribuisce le risorse adeguate e appropriate per l'efficace attuazione
del sistema anticorruzione;
d) comunica la politica anticorruzione fuori e dentro l'organizzazione;
e) comunica internamente circa l'importanza di gestire efficacemente il
rischio di corruzione e di adeguarsi alle prescrizioni del sistema
anticorruzione;
f) assicura che il sistema di gestione sia definito in modo appropriato,
per raggiungere i suoi obiettivi;
g) dirige e supporta il personale, affinché contribuisca all'efficacia del
sistema anticorruzione;
37. Responsabilità – Enti Locali
Invece Il dirigente/RPCT condivide con gli altri dirigenti/responsabili le
seguenti responsabilità, proprie del Top Management:
h) promuove una cultura anticorruzione appropriata;
i) promuove il miglioramento continuo;
j) supporta gli altri soggetti che hanno ruoli gestionali a dimostrare la
propria capacità di prevenire e identificare la corruzione nelle aree di
propria responsabilità;
k) incoraggia l'utilizzo la segnalazione di situazioni sospette di
corruzione, o di casi di corruzione;
l) garantisce che nessun dipendente subirà ritorsioni, discriminazioni o
sanzioni disciplinari, per aver segnalato in buona fede, o sulla base di
una ragionevole convinzione della violazione (o della sospetta
violazione) della politica anziendale anticorruzione, o per essersi
rifiutati di partecipare ad atti corruttivi,anche se tale rifiuto può
causare delle perdite economiche all'organizzazione (a meno che
l'individuo abbia partecipato alla violazione);
m) periodicamente, riferisce al governing body (se presente) circa il
contenuto e l'attuazione del sistema anticorruzione
38. Responsabilità – Enti Locali
Non si può dire a priori quale ipotesi di «distribuzione delle
responsabilità» sia migliore per gli enti Locali
L’ipotesi 1 (Giunta – Segretario+Dirigenti – staff dell’RPCT)
esclude il Consiglio Comunale dal sistema ISO 37001, ma
consente di includere i dirigenti nel Top Management e
responsabilizzarli nella gestione del rischio di corruzione
L’ipotesi 2 (Consiglio – Giunta - RPCT) include il Consiglio,
ma coinvolge meno i dirigenti
Dal momento che la ISO 37001 assegna la maggior parte delle
responsabilità sul Sistema Anticorruzione al top
management, è chiaro che:
l’ipotesi 1 genera un Sistema ISO 37001 gestito dai dirigenti
l’ipotesi 2 invece genera un Sistema ISO 37001 gestito dagli
organi di indirizzo politico
40. Bribery Risk Assessment
Legge 190/2012
La valutazione del rischio di corruzione nelle pubbliche
amministrazioni considera il rischio associato ai processi
gestiti dall’amministrazione.
In linea con la metodologia proposta dall’allegato 5 del
PNA 2013 e con le indicazioni fornite da ANAC nel 2015,
le amministrazioni dovrebbero:
Mappare tutti i propri processi
Valutare la probabilità e l’impatto degli eventi di
corruzione nei processi
41. Per alcune pubbliche amministrazioni potrebbe essere
difficile, se non impossibile, mappare a valutare il rischio
di tutti i propri processi…perché ne hanno troppi. Ad
esempio:
I Comuni erogano servizi e gestisco un gran numero di
processi in settori molto diversi tra loro: anagrafe,
assistenza sociale, programmazione urbanistica,
sicurezza, cultura, istruzione, ecc …
Le aziende sanitarie gestiscono processi di tipo
amministrativo, percorsi cura, attività di ricerca, ecc..
Bribery Risk Assessment
Legge 190/2012
42. Bribery Risk Assessment
Legge 190/2012
In alcune pubbliche amministrazioni i costi
organizzativi di una analisi del rischio nei processi
potrebbero superare i benefici ricavabili da una
conoscenza del rischio corruttivo in tutti i processi
I Comuni erogano servizi e gestisco un gran numero di
processi in settori molto diversi tra loro: anagrafe,
assistenza sociale, programmazione urbanistica,
sicurezza, cultura, istruzione, ecc …
Le aziende sanitarie gestiscono processi di tipo
amministrativo, percorsi cura, attività di ricerca, ecc..
43. Bribery Risk Assessment
ISO 37001:2016
Per la ISO 37001:2016 il risk assessment è un processo
complesso che considera diversi fattori:
1) dimensione struttura organizzativa
2) luogo e ai settori in cui l'organizzazione opera
3) attività e processi dell'organizzazione
4) controparti (business associates)
5) relazioni con soggetti pubblici
6) violazione di regole e normative
I diversi fattori di sono in relazione tra loro e influenzano il
rischio di corruzione globale dell’organizzazione
44. Bribery Risk Assessment
ISO 37001:2016
Utilizzando alcuni dei fattori di rischio proposti dalla
ISO 37001 è possibile «abbattere» il numero dei
processi da analizzare e ottenere, comunque, una
analisi del rischio esauriente
Vediamo come si potrebbe fare …
45. Bribery Risk Assessment
ISO 37001:2016
Consideriamo un piccolo comune (cerchio piccolo e un
Comune di grandi dimensioni (cerchio grande)
46. Bribery Risk Assessment
ISO 37001:2016
Fattore 1: settore di attività.
Entrambi i Comuni appartengono al settore pubblico, che è
molto esposto al rischio di corruzione. Hanno quindi il
medesimo rischio di base
Rischio di base
47. Bribery Risk Assessment
ISO 37001:2016
Fattore 2: dimensione organizzativa
Il Comune di grandi dimensioni ha una struttura più
complessa, in cui un gran numero di persone può gestire
processi decisionali ed è più a rischio del Comune piccolo
Rischio basso
Rischio medio
48. Bribery Risk Assessment
ISO 37001:2016
Fattore 3: località
Il Comune piccolo è un Comune di una regione italiana nella
quale l’illegalità è molto diffusa. Questo incrementa il suo
rischio, rispetto al Comune Grande, che invece amministra
un territorio in cui l’illegalità è poco diffusa
Rischio medio
49. Bribery Risk Assessment
ISO 37001:2016
Rischio medio
Fattore 4: controparti.
Entrambi i Comuni hanno delle controparti (ad esempio
imprese, professionisti, associazioni) che presentano un
elevato rischio di corruzione. E controparti a basso
rischio. Il livello di rischio dei due enti è «discontinuo»:
aumenta i quei settori che si interfacciano con le
controparti a rischio
Rischio alto
50. Bribery Risk Assessment
ISO 37001:2016
Rischio medio
Fattore 5: attività e processi
La valutazione del rischio può essere approfondita,
analizzando (con l'ausilio di appropriati indici di rischio e
di anomalia) i processi gestiti dalle aree rosse (in cui i due
Comuni si interfacciano con controparti a rischio). I
processi delle altre aree non vengono analizzati.
Rischio alto