Valutazione del rischio corruzione nei processi lavorativi della PA: come vanno le cose a sei anni dal primo Piano Nazionale Anticorruzione?
Il Piano Nazionale Anticorruzione presentato nel 2013 [PNA1], a valle della legge n. 190/2012 sull’anticorruzione [Leg1], ha posto le basi per un’ambiziosa attività di verifica analitica nell’intera Pubblica Amministrazione (PA) dei processi lavorativi, con riguardo ai possibili eventi di corruzione che li potrebbero interessare. La norma ha voluto, sin dal 2013, privilegiare un approccio orientato all’analisi del rischio corruttivo per processi lavorativi, immaginando un’applicazione – in linea con lo standard internazionale ISO 31000 [ISO1] – che potesse condurre all’identificazione, valutazione, ponderazione e trattamento del rischio corruttivo.
A oltre cinque anni dall’inizio di questo ambizioso e, per certi versi, innovativo progetto è lecito chiedersi quanto sia stato efficace l’approccio adottato e, in particolare, se la valutazione del rischio effettuata nelle diverse strutture dello Stato sia riuscita a far emergere le vulnerabilità dei processi lavorativi più critici per la corruzione, per poter poi “mitigare” tali vulnerabilità con misure di riduzione del rischio adeguate.
In questo lavoro, anche tenendo in conto delle importanti criticità evidenziate in un precedente articolo su questa questa stessa rivista[1], si prenderà in esame la metodologia di valutazione suggerita nell’Allegato 5 del PNA 2013 [PNA2] a riguardo della valutazione del rischio, metodologia che risulta ancora oggi, dopo cinque anni, essere grandemente utilizzata ai diversi livelli della PA.
Va subito qui indicato, in fase di premessa, che la stessa ANAC non ha risparmiato osservazioni critiche generali al sistema di valutazione suggerito nel PNA del 2013. Critiche, come vedremo, non prive di fondamento; ma, al contempo, non sono stati forniti ad oggi elementi correttivi espliciti per ridurre le imprecisioni che il metodo, di fatto mai emendato e ancora utilizzato in modo puntuale e meccanico da moltissime amministrazioni pubbliche, presenta.
Le osservazioni dell’ANAC sull’Allegato 5 del PNA 2013
Da un punto di vista formale, già nell’aggiornamento del PNA del 2015 emesso da ANAC [ANA1] dopo l’analisi di oltre 1900 Piani Triennali di Prevenzione della Corruzione (PTPC), venne evidenziato a pag. 20 come:
“…gran parte delle amministrazioni ha applicato in modo troppo meccanico la metodologia presentata nell’Allegato 5 del PNA. Con riferimento alla misurazione e valutazione del livello di esposizione al rischio, si evidenzia che le indicazioni contenute nel PNA, come ivi precisato, non sono strettamente vincolanti potendo l’amministrazione scegliere criteri diversi purché adeguati al fine”.
Nel successivo PTPC 2016-2018 della stessa ANAC [ANA2], a pag. 8 l’Autorità conferma che:
“…l’applicazione meccanica della metodologia suggerita dall’Allegato 5 del PNA ha dato, in molti casi, risultati inadeguati, portando ad una sostanziale sottovalutazione del rischio”.
Per questo motivo, dal 2016, l’ANAC ha preferito [ANA3] adottare per il suo PTPC un metodo qualitativo, piuttosto che quantitativo, legato all’approccio indicato nel “UN Global Compact” [UN1] metodo che qui non verrà analizzato ma che, anch’esso, presenta aspetti potenzialmente critici nella sua applicazione.
Successivamente, in un nuovo aggiornamento del PNA del 2018 [ANA2] sempre emesso da ANAC, a pag. 6 si evidenzia, alla luce dell’analisi di oltre 500 PTPC, ancora una volta come:
“…gran parte delle amministrazioni continua ad applicare in modo troppo meccanico la metodologia presentata nell’Allegato 5 del PNA 2013, pur non essendo la stessa strettamente vincolante, come precisato nell’Aggiornamento 2015 del PNA”.
Riprendendo la nostra analisi, da questo punto in avanti risulterà genericamente assodato che il metodo presentato nell’Allegato 5 del PNA 2013 si presenta “in molti casi inadeguato” perché “sottostima il valore del rischio“, anche se non ci sono evidenze su quali siano le criticità nel dettaglio. Un primo risultato specifico su una criticità algoritmica è stato descritto in [Car1] dove si analizzano, almeno per questo specifico aspetto, anche possibili semplici correttivi da apportare.
Proprio alla luce di questo percorso di osservazioni proposto da ANAC, in questo lavoro si cerca di entrare nel merito analizzando il dettaglio del metodo proposto nel 2013, cercando di evidenziare in quali possibili punti il metodo stesso presenti ulteriori criticità, stavolta non solo algoritmiche ma anche concettuali, rispetto a quelle già analizzate e affrontate in [Car1].
Utilizzo del metodo indicato nell’Allegato 5 del PNA 2013 nella PA centrale
Tanto per fotografare la realtà odierna a riguardo dell’utilizzo di questo metodo, nella tabella che segue abbiamo sintetizzato i risultati di una semplice analisi condotta sui PTPC 2019-2010 delle principali strutture di vertice della Pubblica Amministrazione (PA): i Ministeri (vedi elenco in Tab.1).
Va ricordato che i PTPC sono documenti pubblici che le strutture della PA debbono approvare e pubblicare sul loro sito internet con cadenza annuale. Quindi, tutti questi dati sono facilmente verificabili con una ricerca mirata su internet sui siti ufficiali istituzionali.
Dalla Tab.1 sottostante risulta che ben 8 strutture ministeriali, sulle 13 analizzate, appaiono applicare – nella sostanza in modo puntuale – ancora il metodo presentato nell’Allegato 5 del PNA 2013. Le altre 5 strutture riportate in Tab.1 hanno apportato delle modifiche adattando in modo più o meno ampio il metodo o operando con altre metodologie.
Definizione di rischio per il PNA 2013
Come analizzato nel dettaglio in [Car1], il livello di rischio corruttivo R viene definito nel PNA 2013 [PNA2] come il prodotto:
R = P . I ,
avendo indicato con P il livello di probabilità e con I il livello di impatto. Parliamo di ‘livelli’ e non di grandezze assolute perché nel PNA 2013 [PNA2] viene introdotta una scala di misura delle grandezze probabilità e impatto basata su livelli da 0 a 5, con una potenziale escursione del risultante livello di rischio compresa tra 0 e 25.
Per affrontare nel dettaglio l’analisi del rischio occorre, in primo luogo, soffermarsi su quale sia una corretta interpretazione di queste due grandezze, probabilità e impatto, in ambito di eventi corruttivi ai fini della valutazione del rischio, e, successivamente, quali siano gli indicatori più idonei per stimare queste due grandezze in riferimento ai singoli processi.
Dalla probabilità alla minaccia e alla vulnerabilità
Nel Piano Nazionale Anticorruzione 2013 [PNA1] il Dipartimento della Funzione Pubblica della PCM ha voluto fornire in un allegato, il già citato numero 5 [PNA2], un metodo indicativo (e non obbligatorio) per valutare il rischio di un processo. Come detto, tale metodo è basato sulla valutazione delle due variabili ‘probabilità’ e ‘impatto’ attraverso la risposta ad un questionario.
In linea teorica, la probabilità PE che si verifichi un evento corruttivo deriva sostanzialmente da due fattori:
a) la probabilità Pa che l’attaccante decida di tentare di attuare l’evento corruttivo rispetto ad un preciso processo lavorativo;
b) la probabilità Pb che il tentativo di corruzione vada effettivamente a buon fine, sfruttando una debolezza presente nel processo lavorativo.
Da un punto di vista matematico, la probabilità PE che l’evento si verifichi effettivamente è, quindi, uguale[2] al prodotto delle probabilità espresse nei punti a) e b) precedenti, secondo la formula:
PE = Pa . Pb .
La probabilità Pa è funzione degli intenti corruttivi che muovono l’attaccante. Questi intenti sono legati a interessi e capacità specifiche dell’attaccante, per esempio interessi economici (accesso a contributi, fondi, assegnazione di appalti,) o interessi di carriera e remunerazione personale (partecipazione e vincita concorsi o assegnazione di ruoli lavorativi particolari remunerati, premi annuali, …), e possono essere in vari modi legati sia all’attrattività del bene oggetto del processo e anche essere funzione delle vulnerabilità presentate dal processo stesso che, se alte in valore, possono rendere il processo stesso di interesse per l’attaccante perché ‘più permeabile’ alla corruzione.
Questa prima probabilità Pa (che nella teoria dell’analisi del rischio [Yaz1,Vos1] potremmo definire come probabilità della minaccia) esprime, su un intervallo di tempo stabilito – per esempio un anno – la possibilità che il tentativo di corruzione si attui. Come è noto, la probabilità in senso matematico può variare tra i valori 0 e 1, assumendo con il valore 0, da un lato, la totale assenza di una possibilità di attacco corruttivo e, con il valore 1, all’altro estremo, la certezza che si registri almeno un tentativo di corruzione nell’intervallo di tempo considerato.
Una possibile misura di questa probabilità si può ricavare dagli eventi del passato (anche se in generale questo non è bene resti l’unico elemento di valutazione). Processi che hanno registrato interesse per tentativi di corruzione noti, sia dalle cronache che dai processi di vario tipo giurisdizionale (penale, amministrativo, civile, corte dei conti …), hanno ovviamente la necessità di essere attenzionati, con un valore quindi alto, prossimo o uguale al valore 1, della probabilità Pa.
Una possibile tabella di valori qualitativi legati alla probabilità Pa della minaccia espressa nel punto a), riconducibile concettualmente alla tabella proposta in [UN1], è riportata di seguito a titolo esemplificativo (assumendo di arrotondare all’intero superiore i valori numerici della probabilità espressa in percentuale nella prima colonna).
Per quanto attiene alla seconda delle due probabilità introdotte, ovvero la probabilità Pb che il tentativo vada effettivamente a buon fine, possiamo osservare della teoria dell’analisi del rischio che questa probabilità è direttamente legata al concetto [Yaz1,Vos1] di vulnerabilità[3] del processo in esame.
In altre parole potremmo dire che mentre la probabilità della minaccia non dipende direttamente dall’organizzazione interessata a contrastare la corruzione (è sostanzialmente un fenomeno esterno al processo lavorativo), la probabilità legata alla vulnerabilità è strettamente caratterizzata dall’organizzazione ‘operativa’ che caratterizza il processo. Quindi, questo aspetto, rientra completamente nella sfera di pertinenza e di azione della PA che, dopo l’analisi, può apportare una serie di misure correttive all’organizzazione per ridurre la vulnerabilità e, con essa, il rischio associato a quel dato processo.
Per quanto attiene l’analisi conservativa che si intende condurre in questo articolo, possiamo assumere che la probabilità Pa che l’attaccante decida di tentare di attuare l’evento sia per ogni processo considerato uguale a 1, ovvero che l’attaccante certamente tenterà di attuare l’evento corruttivo indipendentemente dal processo. Risulta evidente come questa posizione vada nella direzione di una analisi prudenziale. In questo modo, infatti, l’analisi del rischio si riconduce ad una analisi delle conseguenze [ISO2] (anche denominata in letteratura come Impact Analysis) consentendoci di focalizzare l’attenzione dell’analisi sulle caratteristiche intrinseche del ‘processo’ in esame, cioè sulle sue vulnerabilità interne, sotto l’ipotesi ragionevole che lo stesso processo sia completamente ‘sotto il controllo’ (in senso organizzativo e del personale coinvolto) di chi conduce l’analisi.
Da questa impostazione deriva che nella procedura di calcolo del livello di rischio corruttivo il livello di probabilità P corrisponderà da ora in avanti in questo articolo alla probabilità che il processo in esame, a causa di debolezze intrinseche, risulti vulnerabile rispetto al manifestarsi di tentativi di corruzione.
Nulla vieta, a valle dell’analisi qui svolta, di tornare all’applicazione della Tab.2 per la probabilità della minaccia e, con una semplice moltiplicazione, reintrodurre un valore di Pa inferiore a 1.
Caratterizzazione della vulnerabilità
Come vedremo nei paragrafi successivi, gli indici per il calcolo della ‘probabilità’ proposti nel PNA 2013 [PNA2] sono sostanzialmente legati agli ambiti di vulnerabilità di un processo lavorativo.
Proprio per questo l’analisi della vulnerabilità alla corruzione di un processo risulta una fase estremamente critica dell’analisi del rischio corruttivo e deve essere effettuata seguendo un percorso il più possibile strutturato e documentato, onde garantire organicità e coerenza dei risultati ottenuti.
In particolare, per il caso della corruzione, appare opportuno effettuare una classificazione “a priori” delle vulnerabilità secondo categorie quanto più possibile ortogonali (cioè non sovrapponibili) tra loro, in modo da poter in seguito meglio verificare come le misure di mitigazione del rischio introdotte concorrano a coprire ogni categoria di vulnerabilità individuata.
Nello specifico contesto dell’anticorruzione, sono individuabili almeno tre macro-ambiti ai quali possono essere ricondotte le vulnerabilità che possono determinare il successo del possibile evento corruttivo e in particolare:
VO (Vulnerabilità Organizzazione): vulnerabilità legate all’organizzazione generale dei processi;
VP (Vulnerabilità Personale): vulnerabilità legate al personale impiegato nei processi;
VS (Vulnerabilità Specifica): vulnerabilità specifica legata all’evento/modalità corruttiva in esame.
Le vulnerabilità comprese nei primi due macro-ambiti (VO e VP) sono di carattere generale e certamente ortogonale, nel senso che esse non dipendono dallo specifico evento corruttivo applicato al processo, né dalla modalità di realizzazione dell’evento stesso e che i risultati delle analisi sono non sovrapponibili. Questo tipo di vulnerabilità possono generalmente essere ridotte (conseguendo quindi una mitigazione del rischio) mediante l’adozione di misure di carattere generale.
Al terzo macro-ambito possono invece essere ricondotte, per ogni processo, le vulnerabilità specifiche dell’evento corruttivo e delle modalità con cui questo può essere realizzato. Rientrano in questa fattispecie tutte quelle vulnerabilità che derivano da specificità dei processi in esame che li rendono particolarmente vulnerabili a particolari eventi/modalità corruttivi. Le vulnerabilità appartenenti a questo macro-ambito, proprio per la loro peculiarità, possono richiedere l’applicazione di misure specifiche e, in termini generali, potrebbero non risultare ortogonali ai primi due macro ambiti.
Nel seguito vengono descritti con maggiore dettaglio i tre macro-ambiti appena introdotti e, successivamente, verranno analizzati gli indici proposti dall’Allegato 5 del PNA 2015 [PNA2] alla luce di questa impostazione.
VO: Vulnerabilità legate all’Organizzazione dei processi
A questo macro-ambito afferiscono tutte le vulnerabilità che derivano direttamente dalla strutturazione/organizzazione del processo. Si è quindi cercato di individuare gli elementi che, in presenza di personale potenzialmente corruttibile applicato al processo, possano costituire fattori abilitanti per il successo dell’evento corruttivo.
Il macro ambito è stato quindi segmentato in quattro ambiti di dettaglio, che verranno di seguito analizzati con maggior attenzione:
- VO.1 Concentrazione del potere decisionale;
- VO.2 Eccessiva discrezionalità;
- VO.3 Complessità;
- VO.4 Carenza di controlli.
VO.1. Concentrazione del potere decisionale
L’eccessiva concentrazione del potere decisionale nelle fasi critiche del processo costituisce una delle principali fonti di vulnerabilità. Per concentrazione del potere decisionale si intendono tutte quelle circostanze in cui nell’ambito di un processo compete ad un’unica persona, o ad un numero molto ristretto di persone, assumere decisioni che possano comportare benefici per altri soggetti. Di norma, tali decisioni dovrebbero essere assunte da una commissione o comunque in gruppo di persone. Tanto maggiore è la numerosità del gruppo, tanto più ridotta è, quindi, la vulnerabilità.
VO.2. Eccessiva discrezionalità
Quanto più il processo è lasciato alla discrezionalità degli operatori coinvolti nel processo stesso, tanto più esso è vulnerabile a possibili comportamenti corruttivi. La presenza di dettagliate procedure rende agevole e immediata l’individuazione di scostamenti che possano configurare comportamenti corruttivi. È pertanto fondamentale che almeno le fasi più critiche del processo siano regolamentate da norme e procedure e, dove possibile, siano informatizzate.
VO.3. Complessità del processo
Un processo che sia completamente realizzato all’interno di un’unica struttura[2] organizzativa presenta intrinsecamente una vulnerabilità legata alla mancanza di visibilità dall’esterno della struttura stessa. Quante più strutture– interne o esterne all’organizzazione, specie se pubblica – sono coinvolte nello svolgimento del processo complessivo, tanto più ampia è la platea di soggetti che il potenziale corruttore deve coinvolgere per portare a termine l’atto corruttivo.
VO.4. Carenza di controlli
L’assenza di controlli, interni o di terza parte, sull’operato del personale coinvolto nel processo costituisce una quarta importante fonte di vulnerabilità relativa all’organizzazione del processo. In linea generale si possono distinguere tre tipologie di controlli, in base alla fase del processo in cui i controlli stessi sono applicati:
- Controlli preventivi: tutti gli accorgimenti messi in atto dall’Amministrazione nell e fasi preliminari del processo al fine di prevenire il verificarsi dell’atto corruttivo.
- Controlli in corso d’opera: tutti gli accorgimenti messi in atto dall’Amministrazione durante lo svolgimento del processo al fine di prevenire il verificarsi di eventuali eventi corruttivi e, qualora essi siano in atto, di individuarli speditamente.
- Controlli successivi: tutti gli accorgimenti messi in atto dall’Amministrazione a valle del completamento del processo, al fine di individuare eventuali atti corruttivi eventualmente verificatisi nel corso del processo stesso. Tali controlli esplicano quindi principalmente una funzione di deterrenza rispetto alla messa in atto di comportamenti corruttivi.
Va detto che questo ambito di vulnerabilità legato alla carenza di controlli è, per sua stessa definizione, direttamente connesso con le misure di riduzione della vulnerabilità (e quindi del rischio stesso) e che introduce quindi implicitamente anche un metodo per valutare, dopo l’applicazione di misure di mitigazione, una quantificazione del loro impatto in termini di riduzione del rischio associabile al processo sotto esame.
VP: Vulnerabilità legate al Personale impiegato nei processi
In aggiunta alle vulnerabilità che caratterizzano lo svolgimento del processo esiste una importante fonte di vulnerabilità legata alla possibilità che il personale applicato ai processi, e in particolare alle fasi critiche, sia più o meno facilmente corruttibile.
Risulta quindi indispensabile valutare attentamente questa fonte di vulnerabilità, che risulta essere quasi completamente ortogonale rispetto all’organizzazione dei processi. Va da subito chiarito che, partendo dall’assunzione di onestà e correttezza del personale impiegato, questa dimensione di vulnerabilità si dovrà sviluppare nei termini di consapevolezza e conoscenza dei processi amministravi che il personale stesso può assicurare, orientando le misure di riduzione di questa vulnerabilità alla formazione sia generale sia di area specifica e all’applicazione di codici di condotta del personale.
VS: Vulnerabilità Specifica legata all’evento/modalità
Le vulnerabilità afferenti alle categorie VO e VP hanno, come evidenziato, un carattere generale, nel senso che si presentano tipicamente con le stesse caratteristiche ‘indipendentemente’ dal processo analizzato. Ad esempio, l’assenza di controlli può costituire un’importante vulnerabilità in qualsiasi processo a rischio, indipendentemente dalle sue caratteristiche intrinseche. Analogamente, la presenza di personale non adeguatamente resistente a possibili tentativi di corruzione perché non formato adeguatamente costituisce una rilevante fonte di vulnerabilità indipendentemente dalla natura del processo a cui è applicato.
Per questo, tali vulnerabilità possono essere trattate e ridotte tipicamente mediante misure di carattere generale, ovvero non pensate specificatamente per ogni processo in esame.
Le vulnerabilità afferenti alla categoria VS, ovvero vulnerabilità specifiche legate all’evento corruttivo e alle specifiche modalità di realizzazione, derivano invece dalle caratteristiche intrinseche del processo in esame, che possono renderlo vulnerabile a specifici eventi e modalità corruttive che solo in quel tipo di processo, o in processi strettamente affini, potrebbero presentarsi. La specificità di queste vulnerabilità fa sì che esse non possano sempre essere ridotte mediante l’applicazione delle misure trasversali (anche dette nella prima versione del PNA ‘obbligatorie’), di carattere generale, ma necessitino dell’introduzione di misure ad hoc dette dalle norme specifiche, personalizzate in base alla struttura del processo e alla modalità con cui lo specifico atto corruttivo può essere portato a termine.
Va qui sottolineato come, non essendo questo tipo di vulnerabilità specifiche completamente ortogonali alle prime due categorie introdotte, una misura di riduzione del rischio da esse derivanti può impattare anche le caratteristiche delle vulnerabilità legate all’organizzazione e al personale.
Mappatura delle misure obbligatorie definite nel PNA 2013 sugli ambiti di vulnerabilità
Una volta individuati gli ambiti di vulnerabilità che caratterizzano lo svolgimento dei processi, risulta particolarmente utile verificare come le cosiddette misure generali (ex obbligatorie [ANA1]) concorrano a ridurre le vulnerabilità stesse, onde individuare a priori eventuali “zone d’ombra” che necessitano di maggiore attenzione.
Nelle Tab.3 e 4 che seguono le Misure Generali (MG) definite nel PNA sono messe in relazione con gli ambiti di vulnerabilità, individuati precedentemente, che ogni misura riduce o contribuisce a ridurre. Per quanto esposto sopra, nelle tabelle seguenti sono considerati solo gli ambiti di vulnerabilità di carattere generale (VO e VP), in quanto le vulnerabilità specifiche non sono caratterizzabili a priori senza aver esplicitato l’evento/modalità corruttiva in esame.
L’analisi delle tabelle mostra come, ancora solo in senso qualitativo e non quantitativo, le Misure Generali abbiano impatto su tutte le vulnerabilità qui analizzate, confermando in senso generale l’utilità della loro introduzione voluta dal legislatore nel 2013.
Impatto
Analogamente alla probabilità, il calcolo accurato del livello di impatto legato ad un evento corruttivo è fondamentale per una corretta progettazione delle misure correttive.
Il valore dell’impatto è sostanzialmente legato al valore dell’esposizione del bene che è insito nel processo. Calcolare l’impatto significa valutare quanta parte del bene esposto è messa a repentaglio dall’evento corruttivo.
Sulla base di questa semplice riflessione, al fine di valutare l’impatto il PNA 2013 nell’Allegato 1 [PNA2] ha individuato tre macro-ambiti all’interno dei quali vanno ricercati i beni da proteggere dall’evento corruttivo (i beni sono riportati in corsivo nell’elenco che segue):
- IE impatto economico;
- IO impatto organizzativo;
- IR impatto reputazionale.
Impatto economico
L’indice di impatto economico deve individuare tutte le fonti di danno economico per l’Amministrazione, di qualunque origine (ad esempio, esborso di somme maggiori di quelle dovute, obbligo di risarcimento verso soggetti terzi o a seguito di contenziosi interni, o anche semplicemente somme di denaro per appalti pubblici che finiscono, per fenomeni di corruzione, a società legate al malaffare).
Una quantificazione esatta di tali importi è ovviamente impossibile, ma nella rilevazione occorrerà procedere ad una quantizzazione che, pur essendo inevitabilmente grossolana, consenta di effettuare una graduazione dell’impatto.
Impatto organizzativo
L’indice di impatto organizzativo deve individuare tutte le situazioni in cui l’eventuale atto corruttivo comporterebbe una riduzione dell’efficacia organizzativa dell’Amministrazione (ad esempio a causa dell’inadeguatezza del personale o dei beni acquisiti a seguito dell’atto corruttivo).
Impatto reputazionale
L’impatto reputazionale è il più intangibile e quindi, probabilmente, il più difficile da valutare. Esso fa riferimento al venir meno della fiducia da parte dell’opinione pubblica nell’operato dell’Amministrazione, a seguito della divulgazione di notizie relative ad eventi corruttivi.
Per il calcolo di questo indice ci si dovrà avvalere di dati storici relativi alla diffusione tramite mass-media di tali notizie, ponderando attentamente la rilevanza dei vari mezzi di informazione che possono essere interessati a divulgare la notizia stessa.
Analisi e criticità delle tabelle di calcolo della probabilità e dell’impatto del PNA 2013
Appare a questo punto evidente come, ai fini di una corretta valutazione del livello di rischio, sia necessario che la rilevazione dei valori delle probabilità e degli impatti, così come definiti nel PNA, venga condotta con la massima attenzione.
In questo paragrafo verranno analizzate le tabelle di calcolo della probabilità e dell’impatto definite nell’Allegato 5 del PNA 2013, al fine di comprendere se esse siano idonee per valutare le variabili di interesse.
Indici di valutazione della probabilità PNA 2013
In questo paragrafo si entrerà nell’analisi di dettaglio degli indici di valutazione della probabilità così come proposti nell’Allegato 5 del PNA 2013.
Discrezionalità
L’indice discrezionalità, così come rilevato nel PNA (Tab.5), serve a tenere in considerazione il fatto che, qualora il processo sia altamente discrezionale, è maggiormente soggetto a possibili tentativi di corruzione. Conseguentemente, è assegnata una maggior probabilità del verificarsi dell’evento corruttivo nel caso in cui il processo sia altamente discrezionale.
Alla luce di quanto esposto in precedenza, la rilevazione di questo indice appare coerente con la definizione dell’ambito di vulnerabilità legate all’organizzazione generale del processo e in particolare alla VO.2.
Rilevanza esterna
L’indice rilevanza esterna, così come rilevato nel PNA (Tab.6), sembra far riferimento al fatto che, qualora il processo sia rivolto a soggetti esterni all’Amministrazione, l’effetto di un eventuale evento corruttivo è maggiormente negativo. Questa considerazione, tuttavia, non è rilevante ai fini del calcolo della probabilità dell’evento, rivestendo semmai una significatività in termini di impatto. In sostanza questo quesito è associato ad una variabile non coerente e può falsare la rilevazione della probabilità.
Alla luce di quanto esposto in precedenza, la rilevazione di questo indice appare incoerente con la definizione degli ambiti di vulnerabilità introdotti in precedenza, e comporta, in caso di utilizzo, un errore nella valutazione della probabilità.
Complessità del processo
L’indice complessità del processo, così come rilevato nel PNA (Tab.7), sembra tenere in considerazione il fatto che, quanto più il processo coinvolga amministrazioni esterne, tanto più è probabile il verificarsi di un evento corruttivo. Conseguentemente, è assegnata una probabilità crescente del verificarsi dell’evento corruttivo al crescere del numero di amministrazioni coinvolte nel processo. In realtà, considerando le fattispecie di processi presenti nella P.A., si ritiene che la complessità del processo, comprendendo in questa locuzione la presenza di varie strutture pubbliche interne o esterne alla struttura che svolge l’analisi, debba costituire semmai un fattore di riduzione della probabilità dell’evento corruttivo. La presenza di vari soggetti coinvolti nel processo, infatti, dovrebbe indurre ad una maggior trasparenza nella conduzione del processo stesso, cosa che invece potrebbe venir meno nel caso di un processo “chiuso” all’interno di una singola struttura.
Alla luce di quanto esposto in precedenza, la rilevazione di questo indice, di per sé significativo, così come formulata nel PNA 2013 appare parzialmente coerente con la definizione degli ambiti di vulnerabilità introdotti. L’indice complessità del processo dovrebbe quindi essere riformulato perché, se così lasciato, influenzerebbe con un errore il calcolo della probabilità.
Valore economico
L’indice valore economico, così come rilevato nel PNA 2013 (Ta.8), sembra tenere in considerazione il fatto che, quanto più il processo comporta l’attribuzione di ingenti vantaggi economici a soggetti esterni, tanto più è probabile il verificarsi di un evento corruttivo. In termini generali questo quesito potrebbe essere ricondotto o al concetto di attrattività (e quindi influenzare il valore della probabilità della minaccia) o, con maggiore coerenza, un indice di impatto, come discusso in precedenza.
Alla luce di quanto esposto nell’analisi, la rilevazione di questo indice appare incoerente con la definizione degli ambiti di vulnerabilità introdotti e sarebbe più congruente agli ambiti di impatto.
Frazionabilità del processo
L’indice frazionabilità del processo, così come rilevato nel PNA 2013 (Tab.9), tiene in considerazione il fatto che, qualora il processo possa essere frazionato in operazioni di entità economica ridotta, si potrebbero verificare le condizioni per procedere ad affidamenti diretti in deroga alle misure previste dalla normativa sugli appalti pubblici.
Tale indice, pur significativo, si applica tuttavia ad un numero limitato di processi – i processi relativi a gare e acquisizione di beni e servizi – e fa riferimento ad una specifica modalità di realizzazione. Di conseguenza, sembrerebbe opportuno non estenderne la rilevazione nel contesto generale, consentendo ai destinatari della rilevazione di annoverarlo tra vulnerabilità specifiche legate all’evento corruttivo e alle specifiche modalità di realizzazione.
Controlli
L’indice controlli, così come rilevato nel PNA (Tab.10), tiene in considerazione il fatto che, qualora siano applicati controlli di natura interna o esterna sulle modalità di svolgimento del processo, è verosimile che questi contribuiscano a ridurre la probabilità di successo di un tentativo di corruzione. Conseguentemente, affida alla valutazione dei compilatori del questionario la stima dell’efficacia dei controlli stessi. Tuttavia, sembrerebbe opportuno per una analisi più efficace specificare meglio la tipologia di controlli applicati ai processi, ovvero se, ad esempio, essi intervengano prima dell’avvio del processo, durante il suo svolgimento oppure al suo termine.
Alla luce di quanto esposto in precedenza la rilevazione di questo indice appare coerente con la definizione degli ambiti di vulnerabilità introdotti ma potrebbe essere riformulato per poter raggiungere un livello di analisi più dettagliato.
Indici di valutazione dell’impatto
In questo paragrafo si svolgerà l’analisi di dettaglio degli indici di valutazione dell’impatto, così come proposti nell’Allegato 5 del PNA 2013.
Impatto organizzativo
Passando all’analisi degli indici di impatto proposti nell’Allegato 5 del PNA 2013, l’indice impatto organizzativo, così come rilevato in Tab.11, appare afferire decisamente all’ambito delle vulnerabilità legate all’organizzazione dei processi.
Alla luce di quanto esposto in precedenza, la rilevazione di questo indice appare incoerente con la definizione di impatto introdotta e la sua valutazione può comportare un errore nella valutazione dell’impatto e, quindi, del rischio.
Impatto economico
L’indice impatto economico, così come rilevato nel PNA (Tab.12), sebbene rilevante, appare però scarsamente utile ai fini del calcolo dell’impatto in quanto non consente di valutare l’effettivo impatto economico dei precedenti eventi corruttivi verificatisi, limitandosi a enumerarli. Al fine di stimare più accuratamente l’impatto dei potenziali eventi corruttivi sui vari processi, occorrerebbe introdurre una valutazione quantizzata dei corrispettivi economici dei processi.
Alla luce di quanto esposto in precedenza la rilevazione di questo indice appare parzialmente coerente con la definizione di impatto introdotta, e dovrebbe essere riformulata.
Impatto reputazionale
L’indice impatto reputazionale, così come rilevato nel PNA 2013 (Tab.13), serve a valutare il danno reputazionale per l’Amministrazione, in conseguenza della diffusione mediatica di informazioni relative ad eventi corruttivi verificatisi nel passato. L’impatto è valutato crescere all’ampliarsi dell’ambito di diffusione della notizia. La rilevazione di questo indice appare corretta, sebbene nella formulazione del quesito e delle risposte si consideri unicamente la diffusione a mezzo stampa, mentre sarebbe opportuno includere altri mezzi di informazione attualmente molto diffusi ed efficaci.
Alla luce di quanto esposto in precedenza la rilevazione di questo indice appare coerente con la definizione di impatto introdotta, sebbene possa essere riformulata per comprendere altre fattispecie di mezzi di informazione.
Impatto organizzativo, economico e sull’immagine
L’indice impatto organizzativo, economico e sull’immagine, così come rilevato nel PNA 2013 (Tab.14), serve a individuare il livello gerarchico all’interno dell’amministrazione del soggetto che attua l’evento corruttivo, attribuendo ad atti corruttivi attuati da soggetti in posizione gerarchica più elevata un maggior impatto. Potrebbe risultare utile considerare ai fini della valutazione dell’impatto, da affiancare a questa corretta considerazione in ordine al livello gerarchico coinvolto nell’evento corruttivo, anche se il verificarsi di un evento corruttivo nel processo in esame possa comportare sul medio lungo termine inefficienze dell’azione amministrativa, danni diretti di natura economica, incremento non necessario del costo del personale (ad esempio: personale non dirigenziale inadeguato rispetto alle mansioni per le quali è stato reclutato, personale inserito in posizioni dirigenziali senza le caratteristiche necessarie, acquisto di beni o servizi non necessari o non rispondenti alle caratteristiche necessarie, …).
Alla luce di quanto esposto in precedenza la rilevazione di questo indice appare coerente con la definizione di impatto introdotta, sebbene possa essere riformulato il quesito e/o integrata l’analisi per valutare, in termini più specifici rispetto all’evento corruttivo, l’impatto organizzativo in considerazione di valutazione a lungo termine dell’efficienza dell’azione amministrativa.
Conclusioni
In questo lavoro, anche tenendo conto delle criticità già evidenziate in un precedente lavoro, si è analizzata in modo dettagliato la metodologia di valutazione del rischio corruttivo suggerita nell’Allegato 5 del PNA 2013, evidenziando i molti punti concettuali in cui sarebbe necessario apportare delle correzioni. Questo consentirebbe di porre rimedio ad una situazione che vede oggi, a sei anni dall’introduzione della norma e della metodologia qui discussa, molte importanti istituzioni nazionali adottare senza modifiche questa metodologia che presenta oggettive criticità nella valutazione del rischio, comportando oltre che la sua sottostima anche un suo calcolo spesso non corretto.
Note
[1] https://www.safetysecuritymagazine.com/articoli/analisi-del-rischio-e-anticorruzione-come-valutare-al-meglio-i-processi-lavorativi/.
[2] Quanto qui affermato vale in caso di ‘indipendenza’ degli eventi definiti nei punti a) e b), condizione che in senso generale potremo considerare soddisfatta.
[3] Nella teoria dell’analisi del rischio, per vulnerabilità si intende una debolezza del sistema/processo che, in presenza di una data minaccia, conduce alla compromissione (totale o parziale) del bene.
[4] Struttura intesa in senso generale come dipartimento, ufficio o entità equivalente.
Glossario
DFP Dipartimento della Funzione Pubblica – PCM
ISO International Standard Institute
PA Pubblica Amministrazione
PCM Presidenza del Consiglio dei Ministri
PNA Piano Nazionale Anticorruzione
PTPC Piano Triennale di Prevenzione della Corruzione
Bibliografia e sitografia
[ANA1] ANAC, Aggiornamento 2015 al Piano Nazionale Anticorruzione, 28 ottobre 2015, https://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6314.
[ANA2] ANAC, Aggiornamento 2018 al Piano Nazionale Anticorruzione, 30 novembre 2018, https://www.anticorruzione.it/portal/rest/jcr/repository/collaboration/Digital%20Assets/anacdocs/Attivita/Atti/Delibere/2018/PNA_2018.pdf.
[ANA3] ANAC, Piano triennale di prevenzione della corruzione e della trasparenza dell’ANAC, 2019-2021, https://www.anticorruzione.it/portal/rest/jcr/repository/collaboration/Digital%20Assets/anacdocs/AmministrazioneTrasparente/AltriContenutiCorruzione/2019%202021/160419/PTPC%202019-2021%20A.N.AC..pdf.
[Car1] Marco Carbonelli, Laura Gratta, Michele de Nittis, Analisi del rischio e anticorruzione: come valutare al meglio i processi lavorativi?, Safety & Security Web Magazine, 14 giugno 2018, https://www.safetysecuritymagazine.com/articoli/analisi-del-rischio-e-anticorruzione-come-valutare-al-meglio-i-processi-lavorativi/.
[ISO1] ISO31000: Risk management — Principles and guidelines, 2009.
[ISO2] ISO31010: Risk assessment techniques, 2009.
[Leg1] Legge 190 del 6 novembre 2012, Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalita’ nella pubblica amministrazione.
[PNA1] PCM-DFP, Piano Nazionale Anticorruzione, Corpo Principale del Piano, 2013.
[PNA2] PCM-DFP, Piano Nazionale Anticorruzione, Allegato 5 – Valutazione del livello di Rischio, 2013.
[PNA3] PCM-DFP, Piano Nazionale Anticorruzione, Allegato 1 – Soggetti, azioni e misure finalizzati alla prevenzione della corruzione, 2013.
[UN1] United Nation Global Compact, A guide for anti-corruption risk assessment, 2013.
[Vos1] D. Vose, Risk Analysis: A Quantitative Guide, John Wiley & Sons, 2008.
[Yaz1] Z. Yazar, A Qualitative Risk Analysis and Management Tool – CRAMM, SANS Institute 2002.
Articolo a cura di Marco Carbonelli
Marco Carbonelli si è laureato in Ingegneria elettronica presso l’Università di Roma ‘La Sapienza’, diplomato presso la Scuola Superiore di Specializzazione post-laurea in TLC del Ministero delle Comunicazioni, è in possesso del PhD in Industrial Engineering e del titolo di Master internazionale di II livello (Università di Roma Tor Vergata) in ‘Protection against CBRNe events’. E’, inoltre, qualificato esperto NBC presso la Scuola Interforze NBC di Rieti, esperto di Risk Management, ICT security, protezione delle infrastrutture critiche, gestione delle crisi e delle emergenze di protezione civile, applicazione del GDPR nell’ambito della protezione dei dati personali. Ha svolto per venti anni l’attività di ricercatore nel settore delle TLC e poi dell’ICT, opera dal 2006 nella Pubblica Amministrazione centrale. Ha pubblicato oltre 180 articoli tecnici in ambito nazionale e internazionale, è autore di vari libri tecnico-scientifici ed è docente presso l’Università di Tor Vergata di Roma nei Master Internazionali di I e II livello ‘Protection against CBRNe events’ di Ingegneria Industriale e nel Master ‘AntiCorruzione’ del Dipartimento di Economia e Finanza.