Risorse Comuni Competenze per la legalitàI Promotori
Anticorruzione

Pubblicato 22 luglio 2021

Gestione del rischio corruttivo: internal audit nel settore pubblico… un’eresia?

di Ermelindo Lungaro

L’allegato 1 al PNA 2019 “Indicazioni metodologiche per la gestione dei rischi corruttivi” precisa che tale documento fornisce indicazioni utili per la progettazione, la realizzazione e il miglioramento continuo del “Sistema di gestione del rischio corruttivo” citando fra i principali soggetti coinvolti nel sistema di gestione del rischio corruttivo, al fine di garantire una piena effettività dello stesso, anche l’audit interno.

In particolare, quando parla dei RPCT, tale documento precisa che tali responsabili “possono avvalersi delle strutture di vigilanza ed audit interno, laddove presenti, per: I) attuare il sistema di monitoraggio del PTPCT, richiedendo all’organo di indirizzo politico il supporto di queste strutture per realizzare le attività di verifica (audit) sull’attuazione e l’idoneità delle misure di trattamento del rischio; ii) svolgere l’esame periodico della funzionalità del processo di gestione del rischio. Laddove le strutture di vigilanza e di audit interno non siano presenti a causa delle ridotte dimensioni delle amministrazioni o per altre ragioni organizzative, le stesse amministrazioni possono prendere in considerazione la possibilità di istituirle, eventualmente in collaborazione con altre amministrazioni, in applicazione del principio guida sulle collaborazioni”. 

Il PNA 2019 non fornisce però indicazioni metodologiche sullo svolgimento degli audit ma si limita a segnalare che il RPCT mediante audit specifici, con verifiche sul campo, avrebbe un più agevole reperimento delle informazioni, evidenze e documenti necessari al miglior svolgimento del monitoraggio di secondo livello. (Cfr. paragrafo “6.1 MONITORAGGIO SULL’ATTUAZIONE DELLE MISURE” dell’Allegato 1 al PNA 2019).

Al fine di fornire alcuni spunti sulla gestione degli audit rimando a quanto previsto dalla norma UNI ISO 37001, secondo la quale l’accertamento della conformità e dell’efficacia del sistema di gestione anti-corruzione deve avvenire mediante la conduzione di audit interni periodici: la figura di Audit interno deve essere nominata dall’organizzazione e deve possedere le competenze appropriate.

In particolare, secondo tale norma, l’Organizzazione deve:

  • Pianificare, attuare e mantenere dei programmi di audit che comprendano la frequenza, i metodi[1], le responsabilità, i requisiti di pianificazione ed i rapporti che dovranno prendere in considerazione l’importanza dei processi interessati ed i risultati degli audit precedenti.
  • Definire criteri e campo di applicazione per ogni audit.
  • Selezionare gli auditor e condurre gli audit in obiettività ed imparzialità
  • Riferire i risultati degli audit ai dirigenti di competenza, al Responsabile della Funzione di Conformità per la Prevenzione della Corruzione, ai dirigenti ed all’alta Direzione.
  • Conservare i documenti come prova dell’attuazione del programma di audit.

Tuttavia, benché l’Internal Audit sia una funzione indipendente e obiettiva, che può assistere qualsiasi organizzazione pubblica, con un approccio sistematico e professionale, nella valutazione e miglioramento dei processi di controllo e di gestione dei rischi, all’interno delle PA italiane, tranne qualche eccezione (es. INPS, Agenzia delle Entrate, ecc.) stenta ancora a decollare.

A dimostrazione dell’utilità di tale Funzione, basti pensare che in materia di finanziamenti pubblici europei, l’articolo 127 del REG. (UE) 1303/2013 stabilisce che deve essere istituita un Autorità di Audit al fine di garantire lo svolgimento di attività di audit sul corretto funzionamento del sistema di gestione e controllo del programma operativo beneficiario dei contributi e su un campione adeguato di operazioni sulla base delle spese dichiarate (i controlli di audit, cui sono sottoposte le spese dichiarate, si basano su un campione rappresentativo e, come regola generale, su un metodo di campionamento statistico).

Il settore pubblico, anche in virtù della recente spinta/sensibilizzazione al rispetto di altre normative di compliance diverse dall’anticorruzione, come ad esempio l’antiriciclaggio e/o la privacy, ha bisogno sempre di più di controlli indipendenti ed integrati che accompagnino la transizione verso un Modello di Gestione dei Rischi Complessivo, che prenda a riferimento gli standard e le best practices in materia. In altre parole, è ormai indispensabile che le Amministrazioni centrali e quelle locali (almeno quelle di maggior dimensioni) facciano lo stesso percorso che ormai da anni hanno avviato alcune imprese operanti nel settore privato (es. Banche, Assicurazioni, Quotate in Borsa, ecc.).

L’alternativa è che, mancando un modello condiviso di sistema di controllo interno, la PA continua a lavorare molto, ma con poca sistematicità/coordinamento e talvolta sovrapponendo i controlli e/o non considerando alcune aree grigie.

Il quadro complessivo che ne viene fuori risulta caratterizzato da:

  • attività di compliance (spesso condotte da Funzioni differenti) orientate sull’esecuzione di controlli di conformità ex post a scapito dei controlli ex ante;
  • attività di analisi e gestione dei rischi che tendono a rispondere in maniera puntuale ad esigenze normative (ad es. nel caso del rischio corruttivo) senza nessun coordinamento fra di loro.

La grande opportunità che le PA a mio modo di vedere hanno davanti, dopo quasi 10 anni dall’entrata in vigore della legge 190/12, potrebbe essere quella di investire sulla Funzione di Internal Audit, con il compito di rafforzare il sistema di controllo interno anche in ottica di prevenzione di altri rischi diversi dalla corruzione (es. sicurezza informatica, sicurezza sul lavoro, antiriciclaggio, ecc.) al fine di migliorare l’efficienza, l’efficacia e l’economicità dell’azione amministrativa in ottica integrata con la normativa esistente (es. D. Lgs. n. 150/2009).

In tal modo gli Organi di Indirizzo Politico potrebbero beneficiare della presenza di una struttura che assume un ruolo di coordinamento tra le funzioni di controllo esistenti, con una visione complessiva della governance e del sistema di gestione dei rischi, e che nello stesso tempo può contribuire a salvaguardare l’Ente da una proliferazione potenzialmente incontrollata e scoordinata di attività di controllo spesso svolte solo a livello formale... staremo a vedere che cosa accadrà nei prossimi mesi anche in vista dell’implementazione dei progetti finanziati dal PNRR.

 

[1] La selezione del campione da sottoporre ad audit può basarsi sul rischio, per esempio un progetto a elevato rischio avrà priorità su uno a basso rischio.

Non sono presenti aree di interesse

Realizzato con il sostegno di

Realizzato con il Sostegno