11/10/2017 - La mappatura dei processi e il trattamento del rischio

tratto da marcoaurelio.comune.roma.it

La mappatura dei processi e il trattamento del rischio

Uno dei pilastri del sistema di prevenzione della corruzione è la “gestione del rischio corruttivo”. La metodologia utilizzata nel nostro Paese deriva dalla tecnica denominata “risk assessment”, volta alla determinazione del rischio associato a determinati pericoli o sorgenti di rischio che può essere applicata ai più svariati campi, dal settore alimentare, alla gestione ambientale, così come alla valutazione dei rischi per la salute e sicurezza nel lavoro. Nelle pubbliche amministrazioni questo sistema rientra nella pianificazione della prevenzione della corruzione e consiste in un processo che (come descritto nel PNA 2013) si caratterizza per le seguenti fasi:
- indicazione delle attività nell'ambito delle quali è più elevato il rischio di corruzione, “aree di rischio”;
- indicazione della metodologia utilizzata per effettuare la valutazione del rischio;
- programmazione delle misure di prevenzione utili a ridurre la probabilità che il rischio si verifichi, in riferimento a ciascuna area di rischio, con indicazione degli obiettivi, della tempistica, dei responsabili, degli indicatori e delle modalità di verifica dell’attuazione.

Trascorsi, ormai, cinque anni dall’emanazione della legge 190/2012 e dopo la predisposizione di ben cinque piani triennali, si può affermare di avere acquisito un’esperienza consolidata al riguardo che, per la prima volta, può essere messa a frutto, anche grazie alla decisione dell’ANAC di mantenere invariato il PNA per buona parte delle Amministrazioni.
Ciò vuol dire che il processo di gestione del rischio corruttivo, attualmente, può articolarsi come segue:

L’individuazione delle aree di rischio
La mappatura dei processi
La pianificazione del trattamento del rischio
Il monitoraggio e la rendicontazione

Le aree di rischio
La prima fase consiste nella elencazione degli ambiti omogenei di intervento di ciascuna amministrazione che, a seguito della sistematizzazione operata mediante l’aggiornamento 2015 al PNA, possiamo declinare come segue:

acquisizione e progressione del personale	corrisponde all’area di rischio precedentemente definita nel primo PNA, con esclusione dei processi che riguardano l’affidamento di incarichi
contratti pubblici	è la nuova denominazione dell’area preesistente, con l’inclusione di tutti i processi che riguardano i “contratti”
provvedimenti ampliativi privi di effetto economico diretto	corrisponde all’area preesistente (autorizzazioni, permessi, concessioni, ecc)
provvedimenti ampliativi con effetto economico diretto	corrisponde all’area preesistente (contributi, sussidi, vantaggi economici di qualunque genere)
gestione dell’entrata	contiene i processi che attengono alla acquisizione di risorse, in relazione alla tipologia dell’entrata (tributi, proventi, canoni, condoni…)
gestione della spesa	possono rientrarvi gli atti dispositivi della spesa (p.es. gli impegni e le liquidazioni)
gestione del patrimonio	Ne fanno parte tutti i processi che riguardano la gestione e la valorizzazione del patrimonio, sia in uso, sia affidato a terzi e di ogni bene che l’ente possiede “a qualsiasi titolo” (locazione passiva)
controlli, verifiche, ispezioni e sanzioni	è l’ambito in cui si richiede la “pianificazione” delle azioni di controllo o verifica (p.es. abusivismo edilizio - SCIA)
incarichi e nomine	è un’area di nuova individuazione, precedentemente compresa nella prima
affari legali e contenzioso	riguarda le modalità di gestione del contenzioso, affidamento degli incarichi e liquidazione o per es. risarcimento del danno, rimborso spese)

In ragione della specificità delle Amministrazioni, al fine di consentire la completezza dell’analisi, l’elencazione deve essere integrata con aree di rischio specifiche che (a titolo di esempio) negli enti locali possono prevedere “gli affidamenti del terzo settore” o la “pianificazione urbanistica”, mentre nel sistema sanitario possono riguardare “l’attività intra moenia”, “la gestione delle liste di attesa”, “la gestione del farmaco”, ecc.
Già in questa fase è opportuno procedere alla individuazione degli “ambiti di rischio” che (a giudizio di chi scrive) risultano più funzionali rispetto alla descrizione dei singoli rischi (come invece riportato nelle esemplificazioni dei PNA). Risulta più utile, infatti, (e più accettabile per gli operatori) definire all’interno di ogni fase quegli ambiti che risultino “critici” (per esempio: la definizione del quantum, la scelta del contraente, la verifica della prestazione) piuttosto che procedere alla elencazione dei rischi effettivi (gare con un'unica offerta valida, incompletezza della determinazione a contrarre, ecc.) che non potrà mai essere esauriente e risultare persino semplicistica.
A titolo di esempio, si riportano di seguito alcuni degli ambiti di rischio delle aree di nuova individuazione

Gestione dell’entrata	definizione del "quantum" (utilizzo o meno di meccanismi oggettivi o motivati) fase dell’accertamento (eventuale ricorrenza dei soggetti verso i quali non si effettuano accertamenti) riscossione di canoni (richieste, solleciti, verifica dei tempi) rateizzazione (sistemi di decisione riguardo le modalità e la verifica dei pagamenti)
Gestione della spesa	verifica dell'obbligazione verifica della regolare esecuzione verifica della cronologicità dei pagamenti verifica della disponibilità finanziaria (rispetto della pianificazione dei pagamenti)
Gestione del patrimonio	affidamento in gestione o concessione (modalità di affidamento / soggetto / canone / verifica del corretto impiego della concessione (destinazione d'uso e mantenimento) criteri di individuazione del bene da utilizzare in "locazione passiva" (effettivo bisogno, criterio di individuazione dell'immobile, stima del canone, stato dei luoghi e proprietà del bene) inventariazione dei beni e presidio sulla assegnazione e sul corretto uso alienazione (motivazioni, valore, vantaggio, modalità di individuazione dell'acquirente) acquisizione di beni (motivazioni, valore, stato del bene, vantaggio, modalità di individuazione del bene, proprietà del bene)
Controlli, ispezioni e verifiche	regolamentazione (competenze, fattispecie e quantum) pianificazione unicità / ripetitività dei soggetti controllori
Incarichi e nomine	predeterminazione e verifica dei criteri rispetto dei vincoli normativi definizione dell'oggetto della prestazione verifica della prestazione
Affari legali e contenzioso	definizione preventiva del professionista predeterminazione (stima) del quantum eventuali verifiche su possibili conflitti di interessi an e quantum in caso di risarcimento o rimborso di spese rotazione degli incarichi

La mappatura dei processi

Questa fase è da ritenersi centrale e nel documento di aggiornamento 2015 al PNA viene definita così: “è un modo “razionale” di individuare e rappresentare tutte le attività dell’ente per fini diversi” e “assume carattere strumentale a fini dell’identificazione, della valutazione e del trattamento dei rischi corruttivi12. L’effettivo svolgimento della mappatura deve risultare nel PTPC. L’accuratezza e l’esaustività della mappatura dei processi è un requisito indispensabile per la formulazione di adeguate misure di prevenzione e incide sulla qualità dell’analisi complessiva. L’obiettivo è che le amministrazioni e gli enti realizzino la mappatura di tutti i processi. Essa può essere effettuata con diversi livelli di approfondimento. Dal livello di approfondimento scelto dipende la precisione e, soprattutto, la completezza con la quale è possibile identificare i punti più vulnerabili del processo e, dunque, i rischi di corruzione che insistono sull’amministrazione o sull’ente.”
Come di evince, dopo una prima fase in cui si chiedeva la selezione dei “processi a rischio”, si è ritenuto, con il documento prima richiamato, di procedere alla elencazione di tutti i processi, avendo cura, per ciascuno di essi, di individuare le “prospettive di rischio”. Quest’ultima definizione, benché non venga esplicitamente utilizzata, può considerarsi una nuova modalità introdotta nel 2015, dal documento di aggiornamento, che risulta particolarmente funzionale rispetto alla metodologia precedentemente proposta nel PNA del 2013.

La metodologia proposta nel PNA del 2013

Il Piano nazionale, nella sua prima definizione propone una metodologia che orienta l’attenzione sugli ambiti ritenuti “di incidenza” ai fini del rischio. Tuttavia, la metodologia, sia da una prima visione e soprattutto in fase di applicazione, dimostra alcune superficialità derivanti da un approccio di tipo teorico che, inevitabilmente (come è accaduto) acquisisce informazioni derivanti da percezioni, anche discrezionali e produce un risultato che non si rivela di alcuna efficacia ai fini dell’analisi del rischio.
Riporto di seguito gli indici proposti, aggiungendo, nella colonna di destra, in corsivo, alcune osservazioni. Nella colonna centrale, tra parentesi, è indicato il punteggio proposto.

Indici di valutazione della probabilità

discrezionalità	Il processo è discrezionale? - No, è del tutto vincolato (1) - E’ parzialmente vincolato dalla legge e da atti amministrativi (2) (regolamenti, direttive, circolari) - E’ parzialmente vincolato solo dalla legge (3) - E’ parzialmente vincolato solo da atti amministrativi (regolamenti, direttive, circolari)(4) - E’ altamente discrezionale (5)	Potrebbe essere utile, ai fini della individuazione delle misure, chiedersi in quale ambito risieda tale discrezionalità (an, quomodo, quantum) e se viene esercitata con il ricorso a conoscenze di carattere tecnico o semplici valutazioni di opportunità. Altrimenti si corre il rischio che il valore attribuito sia anch’esso discrezionale
Rilevanza esterna	Il processo produce effetti diretti all’esterno dell’amministrazione di riferimento? - No, ha come destinatario finale un ufficio interno (2) - Sì, il risultato del processo è rivolto direttamente ad utenti esterni alla - p.a. di riferimento (5)	E da osservare che la rilevanza interna non può essere considerata come ambito scevro da interferenze. A conferma di ciò, la seconda area di rischio del PNA riguarda l’attività legata alla progressione del personale. Peraltro, nelle pubbliche amministrazioni “territoriali”, qualunque azione “interna” ha un impatto all’esterno
Complessità del processo	Si tratta di un processo complesso che comporta il coinvolgimento di più amministrazioni (esclusi i controlli) in fasi successive per il conseguimento del risultato? - No, il processo coinvolge una sola p.a.(1) - Sì, il processo coinvolge più di 3 amministrazioni (3) - Sì, il processo coinvolge più di 5 amministrazioni (5)	Non si comprende per quale ragione si ritenga che nel caso di più amministrazioni coinvolte il rischio sia maggiore. Si è portati a ritenere che valga la considerazione in senso opposto, proprio in ragione del coinvolgimento di più soggetti esterni. Peraltro, tra i valori, non è prevista l’indicazione di amministrazioni da 2 a 3
Valore economico	Qual è l’impatto economico del processo? - Ha rilevanza esclusivamente interna (1) - Comporta l’attribuzione di vantaggi a soggetti esterni, ma di non particolare rilievo economico (es.: concessione di borsa di studio per studenti) (3) - Comporta l’attribuzione di considerevoli vantaggi a soggetti esterni (es.: affidamento di appalto) (5)	L’informazione è certamente utile se riferita al processo. Non si comprende il riferimento all’ “evento” visto che l’ambito di analisi riguarda il processo
Frazionabilità del processo	Il risultato finale del processo può essere raggiunto anche effettuando una pluralità di operazioni di entità economica ridotta che, considerate complessivamente, alla fine assicurano lo stesso risultato (es.: pluralità di affidamenti ridotti)? No (1) Sì (5)	Certamente si tratta di un rischio che può comportare una diversa configurazione delle modalità di azione e abbassare il livello dei controlli e degli obblighi adempimentali. Si osserva, tuttavia, che risulta di difficile rilevazione e non può essere riferito a tutti i processi
controlli	Anche sulla base dell’esperienza pregressa, il tipo di controllo applicato sul processo è adeguato a neutralizzare il rischio? Sì, costituisce un efficace strumento di neutralizzazione (1) Sì, è molto efficace (2) Sì, per una percentuale approssimativa del 50% (3) Sì, ma in minima parte (4) No, il rischio rimane indifferente (5)	Il dato richiesto è importante, ma così come è formulata la domanda, presuppone un giudizio altamente discrezionale che, peraltro, difficilmente può essere espresso in modo “reale” senza incorrere in eventuali responsabilità per le conseguenti omissioni

Indici di valutazione dell’impatto

Impatto organizzativo	Rispetto al totale del personale impiegato nel singolo servizio (unità organizzativa semplice) competente a svolgere il processo (o la fase di processo di competenza della p.a.) nell’ambito della singola p.a., quale percentuale di personale è impiegata nel processo? (se il processo coinvolge l’attività di più servizi nell’ambito della stessa p.a. occorre riferire la percentuale al personale impiegato nei servizi coinvolti) Fino a circa il 20% (1) Fino a circa il 40% (2) Fino a circa il 60% (3) Fino a circa l’80% (4) Fino a circa il 100% (5)	Non è chiara la finalità dell’indicatore. Infatti, se per impatto si intende il numero massimo di dipendenti coinvolti, ciò dovrebbe essere considerato come un “sistema di coinvolgimento diffuso” che previene eventuali interferenze. Il valore proposto dalla metodologia, invece, riporta valori in senso opposto
Impatto economico	Nel corso degli ultimi 5 anni sono state pronunciate sentenze della Corte dei conti a carico di dipendenti (dirigenti e dipendenti) della p.a. di riferimento o sono state pronunciate sentenze di risarcimento del danno nei confronti della p.a. di riferimento per la medesima tipologia di evento o di tipologie analoghe? No (1) Sì (5)	Certamente l’informazione fornisce un dato di particolare rilievo. Sarebbe opportuno ritenere “sensibile” anche il processo che ha generato dei rilievi pur se non abbiamo portato alla emanazione di una specifica sentenza o persino segnalazioni e denuncia, anche a conferma dell’interesse attribuito da parte di altri soggetti. Si osserva, inoltre che non appare opportuno considerare la “responsabilità per danno erariale” come “impatto economico”. Peraltro, la stessa voce (impatto economico) è utilizzata per un altro indicatore
Impatto reputazionale	Nel corso degli ultimi 5 anni sono stati pubblicati su giornali o riviste articoli aventi ad oggetto il medesimo evento o eventi analoghi? No 0 Non ne abbiamo memoria (1) Sì, sulla stampa locale (2) Sì, sulla stampa nazionale (3) Sì, sulla stampa locale e nazionale (4) Sì, sulla stampa locale, nazionale e internazionale (5)	L’informazione è certamente utile se riferita al processo. Non si comprende il riferimento all’ “evento” visto che l’ambito di analisi riguarda il processo
Impatto organizzativo, economico e sull’immagine	A quale livello può collocarsi il rischio dell’evento (livello apicale, livello intermedio o livello basso) ovvero la posizione/il ruolo che l’eventuale soggetto riveste nell’organizzazione è elevata, media o bassa? A livello di addetto (1) A livello di collaboratore o funzionario (2) A livello di dirigente di ufficio non generale ovvero di posizione apicale o di posizione organizzativa (3) A livello di dirigente di ufficio generale (4) A livello di capo dipartimento/segretario generale (5)	L’indice opera una gradualità di rischio in ragione del ruolo rivestito, ponderato in base alla posizione gerarchica. Probabilmente non tiene conto della funzione istruttoria che viene affidata a soggetti diversi dagli apicali, nei quali si annidano “attività e inerzie” che possono determinare gli esiti del processo. Inoltre non si comprende il collegamento diretto con l’organizzazione, l’economicità e l’immagine

La metodologia proposta nell’aggiornamento 2015 al PNA

Se è consentito esprimere un apprezzamento (a conferma che le osservazioni che precedono hanno solo lo scopo di fornire un contributo e non una critica) si può affermare che il documento di aggiornamento al PNA rappresenta una svolta importante, dal punto di vista metodologico. Si ha l’impressione, infatti, che l’ANAC, con quel documento, operi una scelta di maggiore concretezza, abbandonando la precedente impostazione marcatamente teorica, per approdare verso una metodologia più attinente al contesto delle pubbliche amministrazioni.
Nel punto 6.4, infatti, afferma: “fermo restando quanto previsto nel PNA, al fine di evitare l’identificazione di misure generiche, sarebbe di sicura utilità considerare per l’analisi del rischio anche l’individuazione e la comprensione delle cause degli eventi rischiosi, cioè delle circostanze che favoriscono il verificarsi dell’evento. Tali cause possono essere, per ogni rischio, molteplici e combinarsi tra loro. Ad esempio, tenuto naturalmente conto che gli eventi si verificano in presenza di pressioni volte al condizionamento improprio della cura dell’interesse generale:
.a) mancanza di controlli: in fase di analisi andrà verificato se presso l’amministrazione siano già stati predisposti – ma soprattutto efficacemente attuati – strumenti di controllo relativi agli eventi rischiosi;
.b) mancanza di trasparenza;
.c) eccessiva regolamentazione, complessità e scarsa chiarezza della normativa di riferimento;
.d) esercizio prolungato ed esclusivo della responsabilità di un processo da parte di pochi o di un
unico soggetto;
.e) scarsa responsabilizzazione interna;
.f) inadeguatezza o assenza di competenze del personale addetto ai processi;
.g) inadeguata diffusione della cultura della legalità;
.h) mancata attuazione del principio di distinzione tra politica e amministrazione.

Con l’elencazione che procede, possiamo affermare che l’Autorità ha fornito una importante guida nella ricerca degli ambiti di rischio, non più legati alla generica ricerca di “probabilità” o percezioni, ma direttamente riferite ad ambiti ricorrenti nell’azione amministrativa.
In aggiunta, inoltre, poco più avanti, nello stesso documento, ha praticato una “classificazione delle misure di prevenzione”, così articolate:

misure di controllo;
misure di trasparenza;
misure di definizione e promozione dell’etica e di standard di comportamento;
misure di regolamentazione;
misure di semplificazione dell’organizzazione/riduzione dei livelli/riduzione del numero degli uffici;
misure di semplificazione di processi/procedimenti;
misure di formazione;
misure di sensibilizzazione e partecipazione;
misure di rotazione;
misure di segnalazione e protezione;
misure di disciplina del conflitto di interessi;
misure di regolazione dei rapporti con i “rappresentanti di interessi particolari” (lobbies).

Questa elencazione si rivela particolarmente utile se viene messa in relazione con le “prospettive di rischio” prima individuate, al punto da potere simulare una correlazione

Ambito di rischio	Tipologia di misura
Mancata previsione di obblighi di trasparenza	Previsione di misure di trasparenza
Mancanza o inadeguatezza dei controlli amministrativi	Misure di controllo
Mancanza o inadeguatezza della regolamentazione	Previsione di atti di regolamentazione
Mancanza o inadeguatezza di prescrizioni di tipo organizzativo	Interventi organizzativi
Mancanza o inadeguatezza di strumenti di partecipazione	Attivazione di strumenti di partecipazione
Probabilità di conflitti di interessi	Verifica di assenza di conflitti di interessi
Inadeguatezza delle conoscenze di tipo teorico o pratico	Attuazione di Interventi formativi
Ecc.	Ecc.

Sia chiaro che questo schema proposto non è esplicitamente contenuto nel documento del 2015, ma può ritenersi come una metodologia che discende da quella impostazione, che si rivela di particolare utilità. Innanzitutto perché facilita l’esame degli ambiti di rischio, individuandoli proprio nelle fasi che caratterizzano l’attività amministrativa. E soprattutto consente una immediata relazione con le “tipologie di misure” da applicare, realizzando in modo pieno ed efficace sia la mappatura che il trattamento del rischio.

Santo Fabiano