Content uploaded by Massimo Di Rienzo
Author content
All content in this area was uploaded by Massimo Di Rienzo on Sep 19, 2018
Content may be subject to copyright.
Di Rienzo M., Ferrarini A., (settembre 2018), Valutare la tenuta di un processo: lo STRESS TEST
e le INDAGINI INTERNE – Istruzioni per l’uso
https://spazioetico.com/
Valutare la tenuta di un processo:
lo STRESS TEST e le INDAGINI INTERNE
Istruzioni per l’uso
In un precedente post abbiamo fornito una descrizione teorica dei fenomeni corruttivi e delle strategie di
prevenzione proposte da @spazioetico. La questione è attuale, anche in considerazione del fatto che il
governo di questo Paese ha adottato un nuovo disegno di legge (DDL anticorruzione) in materia di
contrasto alla corruzione.
Abbiamo concluso il post scrivendo che, a nostro parere: “L’ anticorruzione, così come viene pensata
oggi in Italia, non funziona molto bene. Il disegno di legge elaborato dal Governo potrebbe rendere più
efficace il contrasto alla corruzione spicciola e amministrativa. Ma sarebbe necessario rendere più
incisive ed efficaci le strategie di prevenzione”
Oggi vogliamo passare dalla teoria alla pratica, e cominciare a presentare due strumenti che possono
essere utilizzati dai RPCT (Responsabile della prevenzione della corruzione) e che, a nostro parere,
possono migliorare la capacità delle pubbliche amministrazioni di prevenire la corruzione ed identificare
i comportamenti a rischio:
1. Le indagini interne (internal audit),
2. lo STRESS TEST.
Gli audit interni sono uno strumento già adottato da molte amministrazioni. Lo STRESS TEST, invece, è
un nuovo strumento su cui @spazioetico sta lavorando da tempo.
Lo STRESS TEST è una metodologia di intervento che va molto di moda in ambito bancario e serve per
determinare se le organizzazioni bancarie abbiano capitale sufficiente a reggere l’impatto di un
ambiente economico più difficile rispetto a quanto previsto. Solo che noi lo proponiamo per testare la
tenuta dei processi organizzativi sottoposti a eventuali “attacchi corruttivi”.
2
1. QUANDO ATTIVARE UNA INDAGINE INTERNA O UNO STRESS TEST
Il RPCT dovrebbe indagare o stressare i processi tutte le volte in cui nei processi si evidenzino fattori di
rischio o anomalie rilevanti. Ovviamente il concetto di “rilevante” è molto soggettivo. In linea di massima,
possiamo suggerirvi questo criterio: un fattore di rischio o una anomalia sono rilevanti quando
emergono a seguito di una segnalazione da parte dei dipendenti (whistleblowing),oppure quando sono
associati ad un processo che ha un livello di rischio alto (valutazione del rischio), oppure quando sono
rilevati dal sistema dei controlli interni (qualità, privacy, sicurezza informatica, regolarità amministrativa,
regolarità contabile, ecc …).
Anomalia e fattore di rischio non sono la stessa cosa:
• un fattore di rischio è un elemento che può incrementare il rischio di corruzione (per esempio, la
scarsa chiarezza della normativa è un fattore di rischio).
• una anomalia, invece, è la traccia lasciata da un comportamento a rischio (per esempio,
l’assegnazione di un contributo economico, da parte di un Comune, ad una associazione neo-
costituita e che non svolge attività nel territorio comunale è una anomalia).
Ovviamente, la presenza di fattori di rischio o anomalie non indica, automaticamente, la presenza di
fenomeni corruttivi. Il RPCT deve approfondire la questione. E per farlo può optare per una INDAGINE
INTERNA o uno STRESS TEST. Ma per scegliere lo strumento più adeguato deve innanzitutto
conoscere la differenza che intercorre tra la struttura di un processo e le istanze che lo attuano.
3
2. LA CARBONARA E LA CORRUZIONE
La struttura di un processo è la rappresentazione del flusso di tutte le possibili attività (task) di un
processo. Può essere più o meno complessa e con più o meno diramazioni (figura 1).
Figura 1: struttura di un processo
L’istanza di un processo è invece un’esecuzione reale delle attività previste dalla struttura del processo
(figura 2)
Figura 2: istanza di un processo
Siete in crisi? Non capite più esattamente di cosa stiamo parlando? Vi facciamo un semplice esempio,
che chiarirà ogni cosa. E per farlo, tireremo in ballo gli spaghetti alla carbonara, un piatto che piace
molto agli autori di questo blog (anche se uno dei due autori, essendo di Milano, tifa per il “ris giald“,
cioè per il risotto alla milanese).
4
L’origine della carbonara è avvolta nel mistero: secondo alcuni è stata ideata dai carbonai
dell’Appennino, secondo altri dagli americani che avevano nostalgia delle colazioni a base di bacon e
uova.
“Preparare gli spaghetti alla carbonara” è un processo. L’input del processo sono gli ingredienti
(spaghetti, uova, pancetta, acqua, sale e pepe), mentre l’output è rappresentato dal piatto di pasta
fumante,pronto per essere mangiato.
La struttura del processo “preparare la pasta alla carbonara” sono le ricette che posso trovare su
internet o su un libro di cucina. La ricette non sono tutte uguali: in alcuni casi è previsto l’uso della
pancetta. In altri casi è d’obbligo l’uso del guanciale. In alcune ricette si usa il pecorino. In altre è
previsto l’uso (in tutto o in parte) di formaggio grana o parmigiano.
Una istanza del processo “preparare gli spaghetti alla carbonara” è la singola carbonara che faccio una
sera, con gli ingredienti che ho scelto di usare o che ho a disposizione nel frigorifero.
Ovviamente, la carbonara che preparo può venire uno schifo, per due ragioni:
1. ho realizzato male la ricetta oppure ho usato ingredienti scadenti;
2. la ricetta era sbagliata.
Il parallelo tra la carbonara e la corruzione è facile da intuire. Anche il rischio di corruzione si può
generare:
1. nelle singole istanze di un processo,
2. nella struttura di un processo.
Le due cose, ovviamente, non sempre si escludono: se la struttura di un processo è vulnerabile alla
corruzione (se evidenzia dei fattori di rischio), allora su quella struttura sarà possibile eseguire istanze
che contengono corruzione (e che chiameremo istanze anomale). Viceversa, le istanze anomale di un
processo possono diventare prassi (e quindi non essere più concepite come anomale) e modificare la
struttura del processo (figura 3).
5
figura 3: interazione tra fattori di rischio e anomalie
3. ISTANZA DI UN PROCESSO E ISTANZA DI UN PROCEDIMENTO
Le istanze di un processo non devono essere confuse con le istanze (di parte o d’ufficio) che avviano i
procedimenti. Anche se i due tipi di istanze sono tra loro correlate (figura 4). Infatti:
• Una istanza “A” (di parte o di ufficio) determina l’avvio di un procedimento X,
• I procedimenti, una volta avviati, vengono attuati attraverso dei processi,
• Quindi l’istanza “A” (di parte o di ufficio) determina anche l’avvio di una istanza “B” del processo
Y che attua il procedimento X.
Figura 4: avvio del procedimento = innesco di una istanza di processo.
6
Quindi le attività di una pubblica amministrazione possono essere rappresentate a tre distinti livelli:
• Procedimenti,
• Strutture di processo,
• Istanze di processo.
Di solito, le valutazioni del rischio contenute nei Piani di Prevenzione della Corruzione (PCPT) delle
Pubbliche Amministrazioni rilevano esclusivamente la corruzione a livello dei procedimenti, cioè la
corruzione che deriva dalla mancata applicazione della normativa. Tuttavia, è possibile includere nella
valutazione anche l’identificazione dei fattori di rischio (vulnerabilità della struttura del processo) e
identificare le anomalie che si potrebbero evidenziare nelle istanze di un processo. ANCI Lombardia ha
sviluppato, nel 2016, una metodologia che si pone questo obiettivo. Questa metodologia è stata
utilizzata e sviluppata da @spazioetico ed utilizzata, insieme ad altri strumenti, per l’analisi del rischio
nella libera professione intramuraria (ALPI) e per la categorizzazione dei diversi tipi di corruzione.
La valutazione del rischio è una attività a priori: non è detto che i fattori di rischio e le anomalie
identificati in tale sede siano effettivamente quelli corretti. Tuttavia, la valutazione del rischio orienta le
strategie di prevenzione. E’ quindi necessario verificare nel tempo se la valutazione del rischio è
corretta e, in caso contrario, aggiornarla.
Le INDAGINI INTERNE e lo STRESS TEST servono proprio a questo:
• Lo STRESS TEST è una simulazione che serve per capire se i fattori di rischio ipotizzati
nella struttura di un processo possono effettivamente innescare istanze anomale
• Le INDAGINI INTERNE, invece, prendono in considerazione un campione di istanze di un processo,
per capire se le anomalie ipotizzate sono effettivamente la traccia di comportamenti a rischio.
4. LO STRESS TEST: ISTRUZIONI PER L’USO
Lo STRESS TEST si concentra sui fattori di rischio. Ed è una simulazione: la simulazione di una istanza
anomala. In poche parole, lo STRESS TEST simula (in modo controllato) un comportamento a rischio,
per capire se le misure di prevenzione mitigano adeguatamente i fattori di rischio e sono in grado di
rilevare l’irregolarità simulata.
Abbiamo specificato che lo STRESS TEST deve simulare in modo controllato una istanza anomala.
Questo significa che non bisogna abusare dello STRESS TEST e soprattutto, nell’eseguirlo non
bisogna andare fino in fondo: bisogna fermarsi prima di creare dei danni o dei veri illeciti penali o
amministrativi.
Uno STRESS TEST deve essere progettato con attenzione:
• Devono essere identificati, innanzitutto, i fattori di rischio presenti nel processo e le istanze
illecite che possono essere abilitate dai fattori di rischio
• Il RPCT deve coinvolgere soggetti interni all’ufficio all’ufficio e concordare con loro
sulla necessitàdi eseguire uno STRESS TEST;
• Gli obiettivi dello STRESS TEST e le ragioni che spingono a eseguirlo devono essere messi per
iscritto, in un verbale (che deve essere tenuto riservato) firmato da tutti i soggetti coinvolti nello
STRESS TEST;
• Lo STRESS TEST non deve modificare in modo permanente i documenti, le banche dati e gli
esiti del processo “stressato”;
7
• L’istanza anomala deve essere avviata e gestita in modo tale da non produrre alcun effetto
(positivo o negativo) all’interno o all’esterno dell’ente
• In particolare, l’istanza anomala non deve incidere sulle risorse economiche dell’ente o sullo
status giuridico delle persone
• I risultati dello STRESS TEST devono essere discussi con l’ufficio che è stato “stressato”, non
tanto al fine di “punire” i componenti, ma per trovare delle soluzioni organizzative per mitigare i
fattori di rischio che hanno “abilitato” l’istanza anomala.
5. LE INDAGINI INTERNE: ISTRUZIONI PER L’USO
Figura 5: accordi corruttivi, distorsione dei processi e anomalie
Le INDAGINI INTERNE si concentrano sulle anomalie. Gli accordi corruttivi, infatti, si sviluppano nella
sfera invisibile dei comportamenti illegali, ma si realizzano nella sfera visibile dei comportamenti
organizzativi, perché la corruzione, per realizzarsi, ha sempre bisogno di aggredire e distorcere i
processi. Queste distorsioni possono non essere immediatamente visibili, ma lo diventano se si
analizzano le informazioni (dati e documenti) prodotte dalle istanze dei processi, che sono registrati e
custoditi nella documentazione prodotta dall’ufficio o nei sistemi informatici dell’amministrazione (figura
5). La distorsione di un processo, infatti, crea quasi sempre delle anomalie nei dati e nelle informazioni
accumulate durante il processo, che non possono essere del tutto controllate e cancellate da chi ha
attuato la distorsione (figura 6).
8
Figura 6: chi distorce un processo non può eliminare tutte le informazioni generate dall’esecuzione della
istanza (e quindi non può controllare le anomalie generate dalla distorsione
Le anomalie insomma sono l’impronta lasciata dalla corruzione sul luogo del delitto. Ma dobbiamo
saperle identificare e per farlo è necessario disporre di RED FLAG (o indicatori) cioè dobbiamo sapere
come incrociare tra loro le informazioni.
Di seguito alcuni esempi RED FLAG per le anomalie che si generano negli affidamento,
identificate da ANAC nel P.N.A. 2015:
• gare aggiudicate con frequenza agli stessi operatori,
• ripetuti affidamenti diretti ad uno stesso fornitore, per somme che sono appena sotto la soglia
stabilita per legge (ad esempio, due affidamenti del valore di 39.990 euro nello stesso anno,a
favore del medesimo fornitore!),
• previsione di criteri di aggiudicazione della gara eccessivamente discrezionali o incoerenti
rispetto all’oggetto del contratto,
• gare aggiudicate con un’unica offerta valida.
Ecco invece alcune RED FLAG per le anomalie nella concessione di vantaggi economici a favore
delle associazioni:
• assegnazione di contributi ad associazioni appena costituite,
• concessione di contributi ingenti ad associazioni di piccole dimensioni, o che svolgono poche
attività,
• concessione di un contributo di entità tale da generando un “utile” per l’associazione,
9
• oggetto del contributo descritto in modo talmente generico, da non consentire di identificare le
attività che l’associazione ha svolto o intende svolgere,
• concessione di contributi per attività che non rientrano nelle competenze istituzionali del
Comune,
• concessione di contributi per attività non previste dallo statuto dell’associazione,
• mancata realizzazione o parziale realizzazione delle attività oggetto del contributo,
• realizzazione di attività diverse da quelle oggetto del contributo.
Come chiarito in precedenza, non è detto che l’istanza anomala di un processo sia, automaticamente,
una istanza corrotta. Tuttavia, in presenza di anomalie, è necessario un approfondimento: una
INDAGINE INTERNA, finalizzata a capire perché le anomalie si sono generate. Il soggetto che esegue
l’INDAGINE INTERNA:
• deve essere esterno all’ufficio “indagato”,
• deve conoscere adeguatamente il processo,
• deve coordinarsi con il RPCT (oppure coincidere con il RPCT),
• deve avere libero accesso alle informazioni dell’ente,
• deve produrre evidenze documentali, a sostegno degli esiti dell’indagine interna,
• se non coincide con il RPCT deve sottoporre al RPCT i risultati dell’indagine.
L’INDAGINE INTERNA può prendere in considerazione tutte le istanze di un processo che hanno avuto
luogo in un certo periodo di tempo, oppure un campione di tali istanze. Tutto dipende dal tempo e dalle
risorse disponibili per l’indagine e dagli obiettivi del RPCT.
Le indagini interne sono uno strumento a cavallo tra prevenzione e contrasto ai fenomeni corruttivi.
Possono servire infatti per identificare condotte anomale che non hanno rilevanza penale, ma che
potrebbero degenerare in corruzione; oppure identificare tempestivamente condotte che integrano reati
contro la pubblica amministrazione, da denunciare all’autorità giudiziaria. Nel primo caso si riduce la
probabilità dell’evento corruttivo. Nel secondo caso si riducono i danni causati dalla corruzione, perché
impedisce che il comportamento a rischio si possa ripetere nel tempo, generando sempre nuovi danni.
6. L’ANTI-CORRUZIONE POSSIBILE (BASTA VOLERLO)
Gli strumenti che vi abbiamo presentato possono sembrare inapplicabili nel quadro dell’attuale
normativa anticorruzione e della cultura organizzativa delle pubbliche amministrazioni.
In effetti, è vero. E’ vero che molti RPCT non hanno un peso organizzativo tale da poter coordinare il
sistema dei controlli ed avere accesso a tutte le informazioni dell’ente. E’ vero che molti responsabili
d’ufficio inorridirebbero all’idea di dover simulare l’istanza anomala di un processo, cioè la gestione
10
irregolare di un procedimento. Anche se poi gli stessi responsabili (consapevolmente o meno)
gestiscono in modo anomalo i processi, a causa delle carenze di risorse, di tempo o di personale della
amministrazione, sottovalutando il rischio di corruzione associato alle gestioni anomale.
Ma i limiti che abbiamo identificato fin qui sono limiti delle organizzazioni pubbliche, non negli strumenti
proposti (STRESS TEST e INDAGINI INTERNE). La prevenzione della corruzione non può ridursi ad un
mero esercizio intellettuale o limitarsi a verificare la legittimità dei procedimenti. I RPCT devono poter
interagire con l’organizzazione, devono poterla “stressare” ed anche “indagare”. Perché i RPCT devono
proteggere l’organizzazione dalla corruzione.
Gli STRESS TEST e lo sviluppo di RED FLAG per i sistemi di controllo interno sono inclusi tra i LEA
(Livelli Essenziali Anticorruzione) identificate nel “Decalogo per la prevenzione della corruzione nella
Sanità italiana” elaborato da ISPE-Sanità e @spazioetico e presentato il 6 giugno 2018. Ma potrebbero
essere estesi anche ad altri settori della pubblica amministrazione. Certamente, per fare questo
potrebbe essere necessario l’impegno della Politica (con la “p” maiuscola), affinché il Legislatore
modifichi la normativa di riferimento (L. 190/2012 in primis) e consenta ai RPCT un margine di azione
maggiore e una maggiore incisività delle politiche di prevenzione.
L’attuale Governo sembra essersi preso questo impegno, introducendo DASPO e agenti sotto
coperturanel nuovo ddl anticorruzione. Ma queste innovazioni servono solo alla Magistratura per
reprimere e sanzionare gli eventi di corruzione che ha già avuto luogo.
La strada per rendere più efficace La prevenzione è lunga e ancora molto in salita…
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere
derivate 4.0 Internazionale.