Valutare la tenuta di un processo: lo STRESS TEST e le INDAGINI INTERNE – Istruzioni per l’uso
di Massimo Di Rienzo & Andrea Ferrarini
In un precedente post abbiamo fornito una descrizione teorica dei fenomeni corruttivi e delle strategie di prevenzione proposte da @spazioetico. La questione è attuale, anche in considerazione del fatto che il governo di questo Paese ha adottato un nuovo disegno di legge (DDL anticorruzione) in materia di contrasto alla corruzione.
Abbiamo concluso il post scrivendo che, a nostro parere: “L’ anticorruzione, così come viene pensata oggi in Italia, non funziona molto bene. Il disegno di legge elaborato dal Governo potrebbe rendere più efficace il contrasto alla corruzione spicciola e amministrativa. Ma sarebbe necessario rendere più incisive ed efficaci le strategie di prevenzione”
Oggi vogliamo passare dalla teoria alla pratica, e cominciare a presentare due strumenti che possono essere utilizzati dai RPCT (Responsabile della prevenzione della corruzione) e che, a nostro parere, possono migliorare la capacità delle pubbliche amministrazioni di prevenire la corruzione ed identificare i comportamenti a rischio:
- Le indagini interne (internal audit)
- lo STRESS TEST
Gli audit interni sono uno strumento già adottato da molte amministrazioni. Lo STRESS TEST, invece, è un nuovo strumento su cui @spazioetico sta lavorando da tempo.
Lo STRESS TEST è una metodologia di intervento che va molto di moda in ambito bancario e serve per determinare se le organizzazioni bancarie abbiano capitale sufficiente a reggere l’impatto di un ambiente economico più difficile rispetto a quanto previsto. Solo che noi lo proponiamo per testare la tenuta dei processi organizzativi sottoposti a eventuali “attacchi corruttivi”.
1. QUANDO ATTIVARE UNA INDAGINE INTERNA O UNO STRESS TEST
Il RPCT dovrebbe indagare o stressare i processi tutte le volte in cui nei processi si evidenzino fattori di rischio o anomalie rilevanti. Ovviamente il concetto di “rilevante” è molto soggettivo. In linea di massima, possiamo suggerirvi questo criterio: un fattore di rischio o una anomalia sono rilevanti quando emergono a seguito di una segnalazione da parte dei dipendenti (whistleblowing),oppure quando sono associati ad un processo che ha un livello di rischio alto (valutazione del rischio), oppure quando sono rilevati dal sistema dei controlli interni (qualità, privacy, sicurezza informatica, regolarità amministrativa, regolarità contabile, ecc …).
Anomalia e fattore di rischio non sono la stessa cosa:
- un fattore di rischio è un elemento che può incrementare il rischio di corruzione (per esempio, la scarsa chiarezza della normativa è un fattore di rischio).
- una anomalia, invece, è la traccia lasciata da un comportamento a rischio (per esempio, l’assegnazione di un contributo economico, da parte di un Comune, ad una associazione neo-costituita e che non svolge attività nel territorio comunale è una anomalia).
Ovviamente, la presenza di fattori di rischio o anomalie non indica, automaticamente, la presenza di fenomeni corruttivi. Il RPCT deve approfondire la questione. E per farlo può optare per una INDAGINE INTERNA o uno STRESS TEST. Ma per scegliere lo strumento più adeguato deve innanzitutto conoscere la differenza che intercorre tra la struttura di un processo e le istanze che lo attuano.
2. LA CARBONARA E LA CORRUZIONE
La struttura di un processo è la rappresentazione del flusso di tutte le possibili attività (task) di un processo. Può essere più o meno complessa e con più o meno diramazioni (figura 1).
L’istanza di un processo è invece un’esecuzione reale delle attività previste dalla struttura del processo (figura 2)
Siete in crisi? Non capite più esattamente di cosa stiamo parlando? Vi facciamo un semplice esempio, che chiarirà ogni cosa. E per farlo, tireremo in ballo gli spaghetti alla carbonara, un piatto che piace molto agli autori di questo blog (anche se uno dei due autori, essendo di Milano, tifa per il “ris giald“, cioè per il risotto alla milanese).
L’origine della carbonara è avvolta nel mistero: secondo alcuni è stata ideata dai carbonai dell’Appennino, secondo altri dagli americani che avevano nostalgia delle colazioni a base di bacon e uova.
“Preparare gli spaghetti alla carbonara” è un processo. L’input del processo sono gli ingredienti (spaghetti, uova, pancetta, acqua, sale e pepe), mentre l’output è rappresentato dal piatto di pasta fumante,pronto per essere mangiato.
La struttura del processo “preparare la pasta alla carbonara” sono le ricette che posso trovare su internet o su un libro di cucina. La ricette non sono tutte uguali: in alcuni casi è previsto l’uso della pancetta. In altri casi è d’obbligo l’uso del guanciale. In alcune ricette si usa il pecorino. In altre è previsto l’uso (in tutto o in parte) di formaggio grana o parmigiano.
Una istanza del processo “preparare gli spaghetti alla carbonara” è la singola carbonara che faccio una sera, con gli ingredienti che ho scelto di usare o che ho a disposizione nel frigorifero.
Ovviamente, la carbonara che preparo può venire uno schifo, per due ragioni:
- ho realizzato male la ricetta oppure ho usato ingredienti scadenti;
- la ricetta era sbagliata.
Il parallelo tra la carbonara e la corruzione è facile da intuire. Anche il rischio di corruzione si può generare:
- nelle singole istanze di un processo,
- nella struttura di un processo.
Le due cose, ovviamente, non sempre si escludono: se la struttura di un processo è vulnerabile alla corruzione (se evidenzia dei fattori di rischio), allora su quella struttura sarà possibile eseguire istanze che contengono corruzione (e che chiameremo istanze anomale). Viceversa, le istanze anomale di un processo possono diventare prassi (e quindi non essere più concepite come anomale) e modificare la struttura del processo (figura 3).
3. ISTANZA DI UN PROCESSO E ISTANZA DI UN PROCEDIMENTO
Le istanze di un processo non devono essere confuse con le istanze (di parte o d’ufficio) che avviano i procedimenti. Anche se i due tipi di istanze sono tra loro correlate (figura 4). Infatti:
- Una istanza “A” (di parte o di ufficio) determina l’avvio di un procedimento X,
- I procedimenti, una volta avviati, vengono attuati attraverso dei processi,
- Quindi l’istanza “A” (di parte o di ufficio) determina anche l’avvio di una istanza “B” del processo Y che attua il procedimento X.
Quindi le attività di una pubblica amministrazione possono essere rappresentate a tre distinti livelli:
- Procedimenti,
- Strutture di processo,
- Istanze di processo.
Di solito, le valutazioni del rischio contenute nei Piani di Prevenzione della Corruzione (PCPT) delle Pubbliche Amministrazioni rilevano esclusivamente la corruzione a livello dei procedimenti, cioè la corruzione che deriva dalla mancata applicazione della normativa. Tuttavia, è possibile includere nella valutazione anche l’identificazione dei fattori di rischio (vulnerabilità della struttura del processo) e identificare le anomalie che si potrebbero evidenziare nelle istanze di un processo. ANCI Lombardia ha sviluppato, nel 2016, una metodologia che si pone questo obiettivo. Questa metodologia è stata utilizzata e sviluppata da @spazioetico ed utilizzata, insieme ad altri strumenti, per l’analisi del rischio nella libera professione intramuraria (ALPI) e per la categorizzazione dei diversi tipi di corruzione.
La valutazione del rischio è una attività a priori: non è detto che i fattori di rischio e le anomalie identificati in tale sede siano effettivamente quelli corretti. Tuttavia, la valutazione del rischio orienta le strategie di prevenzione. E’ quindi necessario verificare nel tempo se la valutazione del rischio è corretta e, in caso contrario, aggiornarla.
Le INDAGINI INTERNE e lo STRESS TEST servono proprio a questo:
- Lo STRESS TEST è una simulazione che serve per capire se i fattori di rischio ipotizzati nella struttura di un processo possono effettivamente innescare istanze anomale
- Le INDAGINI INTERNE, invece, prendono in considerazione un campione di istanze di un processo, per capire se le anomalie ipotizzate sono effettivamente la traccia di comportamenti a rischio.
4. LO STRESS TEST: ISTRUZIONI PER L’USO
Lo STRESS TEST si concentra sui fattori di rischio. Ed è una simulazione: la simulazione di una istanza anomala. In poche parole, lo STRESS TEST simula (in modo controllato) un comportamento a rischio, per capire se le misure di prevenzione mitigano adeguatamente i fattori di rischio e sono in grado di rilevare l’irregolarità simulata.
Abbiamo specificato che lo STRESS TEST deve simulare in modo controllato una istanza anomala. Questo significa che non bisogna abusare dello STRESS TEST e soprattutto, nell’eseguirlo non bisogna andare fino in fondo: bisogna fermarsi prima di creare dei danni o dei veri illeciti penali o amministrativi.
Uno STRESS TEST deve essere progettato con attenzione:
- Devono essere identificati, innanzitutto, i fattori di rischio presenti nel processo e le istanze illecite che possono essere abilitate dai fattori di rischio
- Il RPCT deve coinvolgere soggetti interni all’ufficio all’ufficio e concordare con loro sulla necessità di eseguire uno STRESS TEST;
- Gli obiettivi dello STRESS TEST e le ragioni che spingono a eseguirlo devono essere messi per iscritto, in un verbale (che deve essere tenuto riservato) firmato da tutti i soggetti coinvolti nello STRESS TEST;
- Lo STRESS TEST non deve modificare in modo permanente i documenti, le banche dati e gli esiti del processo “stressato”;
- L’istanza anomala deve essere avviata e gestita in modo tale da non produrre alcun effetto (positivo o negativo) all’interno o all’esterno dell’ente
- In particolare, l’istanza anomala non deve incidere sulle risorse economiche dell’ente o sullo status giuridico delle persone
- I risultati dello STRESS TEST devono essere discussi con l’ufficio che è stato “stressato”, non tanto al fine di “punire” i componenti, ma per trovare delle soluzioni organizzative per mitigare i fattori di rischio che hanno “abilitato” l’istanza anomala.
5. LE INDAGINI INTERNE: ISTRUZIONI PER L’USO
Le INDAGINI INTERNE si concentrano sulle anomalie. Gli accordi corruttivi, infatti, si sviluppano nella sfera invisibile dei comportamenti illegali, ma si realizzano nella sfera visibile dei comportamenti organizzativi, perché la corruzione, per realizzarsi, ha sempre bisogno di aggredire e distorcere i processi. Queste distorsioni possono non essere immediatamente visibili, ma lo diventano se si analizzano le informazioni (dati e documenti) prodotte dalle istanze dei processi, che sono registrati e custoditi nella documentazione prodotta dall’ufficio o nei sistemi informatici dell’amministrazione (figura 5). La distorsione di un processo, infatti, crea quasi sempre delle anomalie nei dati e nelle informazioni accumulate durante il processo, che non possono essere del tutto controllate e cancellate da chi ha attuato la distorsione (figura 6).
Le anomalie insomma sono l’impronta lasciata dalla corruzione sul luogo del delitto. Ma dobbiamo saperle identificare e per farlo è necessario disporre di RED FLAG (o indicatori) cioè dobbiamo sapere come incrociare tra loro le informazioni.
Di seguito alcuni esempi RED FLAG per le anomalie che si generano negli affidamento, identificate da ANAC nel P.N.A. 2015:
- gare aggiudicate con frequenza agli stessi operatori
- ripetuti affidamenti diretti ad uno stesso fornitore, per somme che sono appena sotto la soglia stabilita per legge (ad esempio, due affidamenti del valore di 39.990 euro nello stesso anno,a favore del medesimo fornitore!)
- previsione di criteri di aggiudicazione della gara eccessivamente discrezionali o incoerenti rispetto all’oggetto del contratto;
- gare aggiudicate con un’unica offerta valida.
Ecco invece alcune RED FLAG per le anomalie nella concessione di vantaggi economici a favore delle associazioni:
- assegnazione di contributi ad associazioni appena costituite
- concessione di contributi ingenti ad associazioni di piccole dimensioni, o che svolgono poche attività
- concessione di un contributo di entità tale da generando un “utile” per l’associazione
- oggetto del contributo descritto in modo talmente generico, da non consentire di identificare le attività che l’associazione ha svolto o intende svolgere
- concessione di contributi per attività che non rientrano nelle competenze istituzionali del Comune.
- concessione di contributi per attività non previste dallo statuto dell’associazione
- mancata realizzazione o parziale realizzazione delle attività oggetto del contributo
- realizzazione di attività diverse da quelle oggetto del contributo
Come chiarito in precedenza, non è detto che l’istanza anomala di un processo sia, automaticamente, una istanza corrotta. Tuttavia, in presenza di anomalie, è necessario un approfondimento: una INDAGINE INTERNA, finalizzata a capire perché le anomalie si sono generate. Il soggetto che esegue l’INDAGINE INTERNA
- deve essere esterno all’ufficio “indagato”
- deve conoscere adeguatamente il processo
- deve coordinarsi con il RPCT (oppure coincidere con il RPCT)
- deve avere libero accesso alle informazioni dell’ente
- deve produrre evidenze documentali, a sostegno degli esiti dell’indagine interna
- se non coincide con il RPCT deve sottoporre al RPCT i risultati dell’indagine.
L’INDAGINE INTERNA può prendere in considerazione tutte le istanze di un processo che hanno avuto luogo in un certo periodo di tempo, oppure un campione di tali istanze. Tutto dipende dal tempo e dalle risorse disponibili per l’indagine e dagli obiettivi del RPCT.
Le indagini interne sono uno strumento a cavallo tra prevenzione e contrasto ai fenomeni corruttivi. Possono servire infatti per identificare condotte anomale che non hanno rilevanza penale, ma che potrebbero degenerare in corruzione; oppure identificare tempestivamente condotte che integrano reati contro la pubblica amministrazione, da denunciare all’autorità giudiziaria. Nel primo caso si riduce la probabilità dell’evento corruttivo. Nel secondo caso si riducono i danni causati dalla corruzione, perché impedisce che il comportamento a rischio si possa ripetere nel tempo, generando sempre nuovi danni.
6. L’ANTI-CORRUZIONE POSSIBILE (BASTA VOLERLO)
Gli strumenti che vi abbiamo presentato possono sembrare inapplicabili nel quadro dell’attuale normativa anticorruzione e della cultura organizzativa delle pubbliche amministrazioni.
In effetti, è vero. E’ vero che molti RPCT non hanno un peso organizzativo tale da poter coordinare il sistema dei controlli ed avere accesso a tutte le informazioni dell’ente. E’ vero che molti responsabili d’ufficio inorridirebbero all’idea di dover simulare l’istanza anomala di un processo, cioè la gestione irregolare di un procedimento. Anche se poi gli stessi responsabili (consapevolmente o meno) gestiscono in modo anomalo i processi, a causa delle carenze di risorse, di tempo o di personale della amministrazione, sottovalutando il rischio di corruzione associato alle gestioni anomale.
Ma i limiti che abbiamo identificato fin qui sono limiti delle organizzazioni pubbliche, non negli strumenti proposti (STRESS TEST e INDAGINI INTERNE). La prevenzione della corruzione non può ridursi ad un mero esercizio intellettuale o limitarsi a verificare la legittimità dei procedimenti. I RPCT devono poter interagire con l’organizzazione, devono poterla “stressare” ed anche “indagare”. Perché i RPCT devono proteggere l’organizzazione dalla corruzione.
Gli STRESS TEST e lo sviluppo di RED FLAG per i sistemi di controllo interno sono inclusi tra i LEA (Livelli Essenziali Anticorruzione) identificate nel “Decalogo per la prevenzione della corruzione nella Sanità italiana” elaborato da ISPE-Sanità e @spazioetico e presentato il 6 giugno 2018. Ma potrebbero essere estesi anche ad altri settori della pubblica amministrazione. Certamente, per fare questo potrebbe essere necessario l’impegno della Politica (con la “p” maiuscola), affinché il Legislatore modifichi la normativa di riferimento (L. 190/2012 in primis) e consenta ai RPCT un margine di azione maggiore e una maggiore incisività delle politiche di prevenzione.
L’attuale Governo sembra essersi preso questo impegno, introducendo DASPO e agenti sotto copertura nel nuovo ddl anticorruzione. Ma queste innovazioni servono solo alla Magistratura per reprimere e sanzionare gli eventi di corruzione che ha già avuto luogo.
La strada per rendere più efficace La prevenzione è lunga e ancora molto in salita…
P.S.: Esempi (inventati) di applicazione dello STRESS TEST:
- I dubbi del dottor Sagace: lo STRESS TEST sui processi di concessione di contributi economici (Enti Locali)
- Il file excel del dottor Speranza: lo STRESS TEST sul processo di controllo, vigilanza, ispezioni e sanzioni
Esempi (inventati) di applicazione di INDAGINI INTERNE:
Per scaricare l’articolo in formato pdf, clicca QUI.
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale 4.0 Internazionale.