ferrarini iso 37001 nella pubblica amministrazione
TRANSCRIPT
Andrea Ferrarini
Esperto Anticorruzione nella Pubblica Amministrazione
Cell. 3472728727
Mail: [email protected]
Il Rischio (UNI ISO 31000:2010)
• Il rischio è l’effetto dell’incertezza sugli obiettivi
• Effetto = scostamento (positivo o negativo) da un risultato atteso
• Incertezza = stato anche parziale, di assenza di informazioni relative
alla comprensione di un evento, delle sue conseguenze e della sua
verosimiglianza (=probabilità)
Il Rischio (UNI ISO 31000:2010): eventi e incertezza
Il rischio non dipende dal fatto che alcuni eventi possono influire sui nostri
obiettivi, ma dal fatto che non conosciamo tali eventi (= incertezza)
Il Rischio (UNI ISO 31000:2010): eventi e incertezza
Il rischio è sempre associato ad un evento, ma non in modo diretto.
Non è l’evento che genera il rischio, per il fatto che può verificarsi.
Piuttosto, il rischio si genera, perché non sappiamo quando, come e perché
l’evento si potrebbe verificare e quando si verificherà.
In sintesi, il rischio è figlio dell’incertezza e l’analisi del rischio deve essere
finalizzata a ridurre l’incertezza, sviluppando una (più o meno completa)
conoscenza degli eventi
EVENTO DI CORRUZIONE
Abuso da parte di un soggetto del potere a lui affidato, al fine di
ottenere vantaggi privati. (Circolare 1/2013 del DFP)
Assunzione di decisioni devianti dalla cura dell’interesse generale a
causa del condizionamento improprio da parte di interessi particolari
(det. ANAC N. 12/2015)
In pratica un evento di corruzione ha luogo quando un pubblico
ufficiale/incaricato di pubblico servizio decide di influenzare la gestione
e gli esiti di un processo dell’organizzazione pubblica in cui è inserito,
al fine di favorire i propri interessi privati e/o gli interessi di altri soggetti
privati.
EVENTO DI CORRUZIONE
Azione consapevole
Distorsione dei processi pubblici
Uno o più interessi privati
Evento di corruzione
La CORRUZIONE è come un INCENDIO
TRIANGOLO DEL FUOCO
IL TRIANGOLO DELLA CORRUZIONE
Le tre «dimensioni» del rischio di corruzione
INCERTEZZA ORGANIZZATIVA
Relativa ai processi e all’organizzazione che gestisce i processi
INCERTEZZA ETICA
Relativa alle persone, interne ed esterne all’amministrazione, che prendono delle decisioni e attuano dei comportamenti
INCERTEZZA RELAZIONALE
Relativa agli interessi legano le persone coinvolte nei processi dell’organizzazione pubblica
Nazioni che hanno elaborato la norma ISO 37001:2016
Livello di corruzione : indice di Transparency International
Participating Countries (37) Australia (SA) Austria (ASI) Brazil (ABNT) Cameroon
(ANOR) Canada (SCC) China (SAC) Colombia
(ICONTEC) Croatia (HZN) Czech Republic
(UNMZ) Denmark (DS) Ecuador (INEN) Egypt (EOS) France (AFNOR)
• Germany (DIN) • Guatemala
(COGUANOR) • India (BIS) • Iraq (COSQC) • Israel (SII) • Kenya (KEBS) • Lebanon
(LIBNOR) • Malaysia (DSM) • Mauritius (MSB) • Mexico (DGN) • Morocco
(IMANOR) • Nigeria (SON) • Norway (SN) • Pakistan
(PSQCA)
• Saudi Arabia (SASO)
• Serbia (ISS) • Singapore
(SPRING SG) • Spain
(AENOR) • Sweden (SIS) • Switzerland
(SNV) • Tunisia
(INNORPI) • United Kingdom
(BSI) • United States
(ANSI) • Zambia (ZABS)
Observing Countries (22)
Argentina (IRAM) Armenia (SARM) Bulgaria (BDS) Chile (INN) Cyprus (CYS) Côte d'Ivoire
(CODINORM) Finland (SFS) Hong Kong
(ITCHKSAR) Hungary (MSZT) Italy (UNI) Japan (JISC)
• Korea, Republic of (KATS) • Lithuania (LST) • Macao (CPTTM) • Mongolia (MASM) • Netherlands (NEN) • New Zealand (NZSO) • Poland (PKN) • Portugal (IPQ) • Russian Federation
(GOSTR) • Thailand (TISI) • Uruguay (UNIT)
Anticorruzione nella Pubblica Amministrazione: problema n.1 La legislazione in materia di prevenzione della corruzione
nella pubblica amministrazione non è stabile (continue modifiche, innovazioni e integrazioni normative)
Gli atti di indirizzo dell’ANAC (i Piani Nazionali Anticorruzione e le determinazioni in materia di prevenzione e trasparenzza) sono carenti dal punto di vista logico e metodologico: dicono «cosa» devono fare le Pubbliche Amministrazioni, ma non spiegano «perché» certe cose devono essere fatte
La legislazione vigente impone alle pubbliche amministrazioni un numero eccessivo di adempimenti, e lo fa in modo non coordinato e disorganico
Anticorruzione nella Pubblica Amministrazione: problema n.1 … In sintesi: ci sono troppe leggi, che cambiano troppo
velocemente, troppi adempimenti e una scarsa propensione del legislatore e dell’ ANAC a valutare l’effettiva utilità degli adempimenti
CONSEGUENZE:
le Pubbliche Amministrazioni non sanno più quali interventi e quali controlli sono prioritari. E veramente utili per la prevenzione della corruzione.
Si introducono troppe misure di prevenzione, che spesso non vengono concretamente attuate.
Anticorruzione nella Pubblica Amministrazione: problema n. 2 Nelle Pubbliche Amministrazione (tendenzialmente a tutti i livelli) esiste un conflitto organizzativo tra esigenza di «efficienza» ed esigenza di «regolarità»: Gli organi di indirizzo politico vogliono una Pubblica
Amministrazione sempre più snella, sempre più vicina al cittadino, sempre più veloce nell’erogazione dei servizi e nell’esecuzione dei propri processi decisionali
I Dirigenti (e gli altri soggetti che gestiscono i processi dell’ente pubblico) sono attenti soprattutto alla regolarità e imparzialità delle decisioni e al contenimento della spesa pubblica, anche a discapito dell’efficienza e dei bisogni del cittadino.
Anticorruzione nella Pubblica Amministrazione: problema n. 2
EFFICIENZA REGOLARITA’
Anticorruzione nella Pubblica Amministrazione: problema n. 2 Gli organi di indirizzo politico vogliono combattere la
corruzione riducendo le inefficienze dell’amministrazione
I Dirigenti (e gli altri soggetti che gestiscono i processi dell’ente pubblico) vogliono combattere la corruzione riducendo i margini di discrezionalità e aumentando i controlli
+ EFFICIENZA + REGOLARITA’
Anticorruzione nella Pubblica Amministrazione: problema n. 2 CONSEGUENZE:
Le amministrazioni (per salvare «capra e cavoli») restringono l’attività di prevenzione ai casi di «mala gestio», che derivano dal mancato rispetto delle regole e che hanno un impatto negativo sulla qualità dei servizi e delle decisioni
La prevenzione della corruzione si riduce ad una standardizzazione dei processi e ad un controllo sui tempi di conclusione dei procedimenti e di erogazione dei servizi
In pratica, il sistema di prevenzione della corruzione diventa un sistema di gestione della qualità.
Anticorruzione nella Pubblica Amministrazione: problema n. 2 Questo orientamento non è sbagliato, ma è parziale:
Esistono certamente eventi corruttivi che dipendono dal mancato controllo dei processi o che causano cattiva qualità delle decisioni e dei servizi pubblici
Ma esistono anche eventi di corruzione, che non impattano sulla qualità dei processi
Ed esistono anche eventi di corruzione che rendono più efficienti i processi pubblici
Anticorruzione nella Pubblica Amministrazione: problema n. 2
Quindi, la corruzione è un fenomeno che interferisce in diversi modi con la qualità dei processi pubblici
Un sistema di prevenzione della corruzione deve essere «qualcosa di più» di un sistema di gestione della qualità
La Norma ISO 37001:2016 nella Pubblica Amministrazione La Norma ISO 37001:2016 può aiutare le Pubbliche Amministrazioni ad affrontare tutti questi problemi: La norma ISO 37001:2016 è una norma diversa dalla norma
ISO 9001:2015 sulla gestione della qualità Il sistema anticorruzione (ISO 37001) può essere integrato
nel sistema qualità (ISO 9001) Quindi, l’anticorruzione e la qualità sono due cose diverse. Invece i sistemi di gestione dell’anticorruzione e della
qualità hanno degli elementi in comune In generale, legalità ed efficienza sono cose diverse, che
possono essere garantite con sistemi di gestione strutturati nello stesso modo (= i sistemi ISO 37001 e ISO 9001 hanno la medesima High Level Structure)
La Norma ISO 37001:2016 nella Pubblica Amministrazione La Norma ISO 37001:2016 può aiutare le Pubbliche Amministrazioni ad affrontare tutti questi problemi:
La norma ISO 37001:2016 definisce i requisiti minimi che devono essere garantiti da un sistema di gestione che voglia gestire il rischio di corruzione
La norma ISO 37001 contiene anche dei suggerimenti di tipo metodologico e operativo (Annex A: «Guidance for use»), che chiariscono ance il fondamento logico delle attività da svolgere, per implementare il sistema anticorruzione
La Norma ISO 37001:2016 nella Pubblica Amministrazione La Norma ISO 37001:2016 può aiutare le Pubbliche Amministrazioni ad affrontare tutti questi problemi: Nel proprio sistema di gestione ISO 37001:2016 una pubblica
amministrazione deve pianificare «[…] azioni finalizzate affrontare i rischi di corruzione e le opportunità di miglioramento […]
Quindi, il sistema anticorruzione non deve essere semplicemente orientato alla prevenzione della mala gestio, ma deve, più in generale, gestire i rischi e le opportunità:
Riconoscere i casi in cui una opportunità di miglioramento
(=maggiore efficienza o maggiore controllo dei processi) può generare o nascondere un rischio corruttivo
Promuovere azioni di prevenzione (controlli) che non impattino negativamente sulla qualità dei servizi e delle decisioni pubbliche
SISTEMA DI GESTIONE
PER LA PREVENZIONE DELLA
CORRUZIONE
Il successo del SGPC dipende dalla sua capacità di integrarsi con il Modello Organizzativo pre-esistente che consente all’Amministrazione di funzionare
SG
PC
Comprensione del contesto interno ed esterno
Leadership, ruoli e responsabilità
Politica e definizione degli obiettivi strategici
Valutazione del rischio
Programmazione
Azioni di supporto (competenze, comunicazione e formazione)
Controllo delle operazioni a rischio
Valutazione delle Performance
Monitoraggio, riesame e miglioramento continuo
•DUP o Altri documenti
programmatici
•Regolamenti, •Codice di
Comportamento e Regolamento
disciplinare
•Piano delle Performance
Regolamento dei controlli interni
Il PTPC è il documento che mette in relazione il SGPC con il Modello Organizzativo
SG
PC
Comprensione del contesto interno ed esterno
Leadership, ruoli e responsabilità
Politica e definizione degli obiettivi strategici
Valutazione del rischio
Programmazione
Azioni di supporto (competenze, comunicazione e formazione)
Controllo delle operazioni a rischio
Valutazione delle Performance
Monitoraggio, riesame e miglioramento continuo
•DUP o Altri documenti
programmatici
•Regolamenti, •Codice di
Comportamento e Regolamento
disciplinare
•Piano delle Performance
Regolamento dei controlli interni
•PIANO TRIENNALE DI PREVENZIONE
DELLA CORRUZIONE
Responsabilità
Responsabilità ISO 37001 La Legge 190/2012 (e i successivi decreti attuativi), concentra le
responsabilità per la prevenzione della corruzione su due soggetti:
Il Responsabile della prevenzione della Corruzione e della Trasparenza (RPCT), che, negli enti locali è «apicalizzato» (coincide di norma con il segretario generale)
L’organo di indirizzo politico, che nomina il RPCT, definisce gli indirizzi strategici anticorruzione e approva il PTPC (negli enti locali gli organi di indirizzo coinvolti nell’anticorruzione sono generalmente il Sindaco e la Giunta)
I dirigenti (o le P.O. responsabili delle unità organizzative dell’amministrazione) sono solo di supporto all’elaborazione del PTPC e alla sua attuazione
Responsabilità ISO 37001 La ISO 37001:2016, invece, identifica 3 soggetti responsabili:
L’organo di governo
Il Top Management
La funzione di Compliance Anticorruzione
Responsabilità Diversi soggetti possono rivestire i ruoli di organo di governo, top management e Funzione di Compliance. Se si considerano gli Enti Locali e gli Enti e le Aziende del Sistema Sanitario, si possono immaginare diverse soluzioni, tutte ammesse dalla ISO 37001 (le colonne evidenziata in verde saranno approfondite in seguito):
ISO 37001 Aziende del Sistema
Sanitario (AO – ASST, ecc.)
ASL – ULS – ATS
Enti Locali (ipotesi 1)
Enti Locali (Ipotesi 2)
Organo di Governo
Consiglio di Amministrazione
Direttore Generale
Giunta Consiglio Comunale
Top Management
Direttore Generale
Direttore Generale
Dirigenti + Segretario
Giunta
Funzione Compliance Anticorruzione
Dirigente con funzione di RPC
Dirigente con funzione di RPC
Staff del RPCT
Segretario (RPCT)
Responsabilità – Enti Locali Se in un Ente Locale l’organo di governo è identificato nel Consiglio (ipotesi 2) le responsabilità previste dalla ISO 37001 sono maggiori di quelle previste dalla Legge 190/2012. Se invece, l’organo di governo è identificato nella Giunta (ipotesi 1), le responsabilità sono minori. L’organo di governo, infatti: approva la politica anticorruzione garantisce che le strategie dell'organizzazione siano allineate con
la politica anticorruzione riceve e analizza, periodicamente, informazioni relative al
contenuto e all'attuazione del sistema anticorruzione stabilisce che al sistema anticorruzione siano allocate e assegnate
risorse adeguate e appropriate; supervisiona, nei limiti del possibile, l'implementazione del
sistema di gestione anticorruzione da parte del top management e la sua efficacia
Responsabilità – Enti Locali Se al Consiglio è assegnato il ruolo di Organo di Governo,
(ipotesi 2), allora la Giunta avrà il ruolo di Top Management Invece, se la Giunta è considerata organo di governo (ipotesi 1) ,
allora il ruolo di Top Management potrebbe essere svolto dal Segretario e da TUTTI i dirigenti, limitatamente alle unità organizzative di propria responsabilità.
La Funzione di Compliance Anticorruzione è una funzione aziendale identificata dal Top Management. Quindi:
Se si assegna alla Giunta il ruolo di top Management, la funzione di
Compliance anticorruzione coincide con il RPCT se si assegna alla Giunta il ruolo di organo di governo, tale funzione
non può coincidere con il RPCT ma con uno staff di persone (o da un ufficio), individuato dal RPCT e che supporta il RPCT nelle sue attività
Responsabilità – Enti Locali Se si assegna il ruolo di top management ai dirigenti, allora il dirigente/RPCT in quanto responsabile della funzione di Compliance Anticorruzione deve (attraverso il suo staff): supervisionare la progettazione e l'attuazione del sistema
di gestione anti-corruzione; fornire consulenza e orientamento al personale,
relativamente al sistema di gestione anti-corruzione e alle problematiche relative alla corruzione;
assicurare che il sistema di gestione anti-corruzione sia conforme ai requisiti ISO 37001
Riferire all’organo di indirizzo, al top management e alle altre funzioni di compliance (ad esempio all’OIV) circa le prestazioni del sistema di gestione anti-corruzione.
Responsabilità – Enti Locali Invece Il dirigente/RPCT condivide con gli altri dirigenti/responsabili le seguenti responsabilità, proprie del Top Management: a) Assicura che il sistema di gestione, la politica e gli obiettivi
anticorruzione siano definiti, attuati, mantenuti e aggiornati per gestire adeguatamente il rischio di corruzione dell'organizzazione;
b) assicura l'integrazione tra il sistema anticorruzione e i processi dell'organizzazione;
c) distribuisce le risorse adeguate e appropriate per l'efficace attuazione del sistema anticorruzione;
d) comunica la politica anticorruzione fuori e dentro l'organizzazione; e) comunica internamente circa l'importanza di gestire efficacemente il
rischio di corruzione e di adeguarsi alle prescrizioni del sistema anticorruzione;
f) assicura che il sistema di gestione sia definito in modo appropriato, per raggiungere i suoi obiettivi;
g) dirige e supporta il personale, affinché contribuisca all'efficacia del sistema anticorruzione;
Responsabilità – Enti Locali Invece Il dirigente/RPCT condivide con gli altri dirigenti/responsabili le seguenti responsabilità, proprie del Top Management: h) promuove una cultura anticorruzione appropriata; i) promuove il miglioramento continuo; j) supporta gli altri soggetti che hanno ruoli gestionali a dimostrare la
propria capacità di prevenire e identificare la corruzione nelle aree di propria responsabilità;
k) incoraggia l'utilizzo la segnalazione di situazioni sospette di corruzione, o di casi di corruzione;
l) garantisce che nessun dipendente subirà ritorsioni, discriminazioni o sanzioni disciplinari, per aver segnalato in buona fede, o sulla base di una ragionevole convinzione della violazione (o della sospetta violazione) della politica anziendale anticorruzione, o per essersi rifiutati di partecipare ad atti corruttivi,anche se tale rifiuto può causare delle perdite economiche all'organizzazione (a meno che l'individuo abbia partecipato alla violazione);
m) periodicamente, riferisce al governing body (se presente) circa il contenuto e l'attuazione del sistema anticorruzione
Responsabilità – Enti Locali Non si può dire a priori quale ipotesi di «distribuzione delle responsabilità» sia migliore per gli enti Locali L’ipotesi 1 (Giunta – Segretario+Dirigenti – staff dell’RPCT)
esclude il Consiglio Comunale dal sistema ISO 37001, ma consente di includere i dirigenti nel Top Management e responsabilizzarli nella gestione del rischio di corruzione
L’ipotesi 2 (Consiglio – Giunta - RPCT) include il Consiglio, ma coinvolge meno i dirigenti
Dal momento che la ISO 37001 assegna la maggior parte delle responsabilità sul Sistema Anticorruzione al top management, è chiaro che: l’ipotesi 1 genera un Sistema ISO 37001 gestito dai dirigenti l’ipotesi 2 invece genera un Sistema ISO 37001 gestito dagli
organi di indirizzo politico
valutazione del rischio di corruzione
Bribery Risk Assessment Legge 190/2012 La valutazione del rischio di corruzione nelle pubbliche amministrazioni considera il rischio associato ai processi gestiti dall’amministrazione.
In linea con la metodologia proposta dall’allegato 5 del PNA 2013 e con le indicazioni fornite da ANAC nel 2015, le amministrazioni dovrebbero:
Mappare tutti i propri processi
Valutare la probabilità e l’impatto degli eventi di corruzione nei processi
Per alcune pubbliche amministrazioni potrebbe essere difficile, se non impossibile, mappare a valutare il rischio di tutti i propri processi…perché ne hanno troppi. Ad esempio:
I Comuni erogano servizi e gestisco un gran numero di processi in settori molto diversi tra loro: anagrafe, assistenza sociale, programmazione urbanistica, sicurezza, cultura, istruzione, ecc …
Le aziende sanitarie gestiscono processi di tipo amministrativo, percorsi cura, attività di ricerca, ecc..
Bribery Risk Assessment Legge 190/2012
Bribery Risk Assessment Legge 190/2012 In alcune pubbliche amministrazioni i costi organizzativi di una analisi del rischio nei processi potrebbero superare i benefici ricavabili da una conoscenza del rischio corruttivo in tutti i processi
I Comuni erogano servizi e gestisco un gran numero di processi in settori molto diversi tra loro: anagrafe, assistenza sociale, programmazione urbanistica, sicurezza, cultura, istruzione, ecc …
Le aziende sanitarie gestiscono processi di tipo amministrativo, percorsi cura, attività di ricerca, ecc..
Bribery Risk Assessment ISO 37001:2016 Per la ISO 37001:2016 il risk assessment è un processo complesso che considera diversi fattori: 1) dimensione struttura organizzativa 2) luogo e ai settori in cui l'organizzazione opera 3) attività e processi dell'organizzazione 4) controparti (business associates) 5) relazioni con soggetti pubblici 6) violazione di regole e normative I diversi fattori di sono in relazione tra loro e influenzano il rischio di corruzione globale dell’organizzazione
Bribery Risk Assessment ISO 37001:2016 Utilizzando alcuni dei fattori di rischio proposti dalla
ISO 37001 è possibile «abbattere» il numero dei processi da analizzare e ottenere, comunque, una analisi del rischio esauriente
Vediamo come si potrebbe fare …
Bribery Risk Assessment ISO 37001:2016 Consideriamo un piccolo comune (cerchio piccolo e un Comune di grandi dimensioni (cerchio grande)
Bribery Risk Assessment ISO 37001:2016 Fattore 1: settore di attività.
Entrambi i Comuni appartengono al settore pubblico, che è molto esposto al rischio di corruzione. Hanno quindi il medesimo rischio di base
Rischio di base
Bribery Risk Assessment ISO 37001:2016 Fattore 2: dimensione organizzativa
Il Comune di grandi dimensioni ha una struttura più complessa, in cui un gran numero di persone può gestire processi decisionali ed è più a rischio del Comune piccolo
Rischio basso
Rischio medio
Bribery Risk Assessment ISO 37001:2016 Fattore 3: località
Il Comune piccolo è un Comune di una regione italiana nella quale l’illegalità è molto diffusa. Questo incrementa il suo rischio, rispetto al Comune Grande, che invece amministra un territorio in cui l’illegalità è poco diffusa
Rischio medio
Bribery Risk Assessment ISO 37001:2016
Rischio medio
Fattore 4: controparti. Entrambi i Comuni hanno delle controparti (ad esempio imprese, professionisti, associazioni) che presentano un elevato rischio di corruzione. E controparti a basso rischio. Il livello di rischio dei due enti è «discontinuo»: aumenta i quei settori che si interfacciano con le controparti a rischio
Rischio alto
Bribery Risk Assessment ISO 37001:2016
Rischio medio
Fattore 5: attività e processi La valutazione del rischio può essere approfondita, analizzando (con l'ausilio di appropriati indici di rischio e di anomalia) i processi gestiti dalle aree rosse (in cui i due Comuni si interfacciano con controparti a rischio). I processi delle altre aree non vengono analizzati.
Rischio alto
Andrea Ferrarini
Esperto Anticorruzione nella Pubblica Amministrazione
Cell. 3472728727
Mail: [email protected]