Rete Comuni Competenze Competenze per la legalitàI Promotori
Anticorruzione

Pubblicato 28 aprile 2021

Dal Monitoraggio dei PTPCT al loro aggiornamento secondo un approccio integrato

di Ermelindo Lungaro

“La progettazione e l’implementazione di un buon sistema di monitoraggio è un elemento che può influire sull’efficacia complessiva dei PTPCT. Esso, dunque, deve essere adeguatamente impostato e, tali elementi devono essere esplicitati all’interno del Piano”, così esordisce l’ANAC con il paragrafo 6.6, parte generale dell’Aggiornamento 2015 al PNA.

Secondo ANAC il processo di gestione del rischio si sviluppa secondo una logica sequenziale e ciclica che ne favorisce il continuo miglioramento, in particolare i risultati dell’attività di monitoraggio sono utilizzati per effettuare il riesame periodico della funzionalità complessiva del “Sistema di gestione del rischio” ed è opportuno che di tali risultanze si dia conto all’interno del PTPCT, nonché all’interno della Relazione annuale del RPCT.

A dimostrazione di tale indirizzo, ANAC a partire dal 2 Novembre 2020 sulla Piattaforma online per l'acquisizione dei Piani Triennali per la Prevenzione della Corruzione e Trasparenza ha aggiunto dei moduli grazie ai quali è possibile inserire i dati relativi al monitoraggio dell’attuazione delle misure di prevenzione della corruzione e della trasparenza1.

Anche il «COSO» Report2 definisce nell’ambito del Sistema di Controllo Interno (SCI) l’attività di monitoraggio, come capacità dei referenti aziendali (risk owner, funzioni di gestione dei rischi, Internal Audit, vertici aziendali) di presidiare in modo continuativo il SCI, nonché di identificare e realizzare gli interventi migliorativi necessari a risolvere le criticità rilevate, assicurando mantenimento, aggiornamento e miglioramento del SCI.

Possiamo pertanto sintetizzare dicendo che le risultanze del monitoraggio sulle misure di prevenzione della corruzione costituiscono il presupposto/input per il processo di aggiornamento annuale/ciclico dei PTPCT.

Secondo il PNA 2019, monitoraggio e riesame sono due attività diverse anche se strettamente collegate. Il monitoraggio è un’attività continuativa di verifica dell’attuazione e dell’idoneità delle singole misure di trattamento del rischio, mentre il riesame è un’attività svolta ad intervalli programmati che riguarda il funzionamento del sistema nel suo complesso. Si possono distinguere due tipologie di attività di monitoraggio sulle misure di trattamento del rischio, che sono emerse in occasione della sua valutazione:

  • il monitoraggio sull’attuazione, ovvero che le misure sono state implementate nelle modalità e nel rispetto delle tempistiche definite nel PTPCT;
  • il monitoraggio sull’idoneità, ovvero che le misure mantengano nel tempo la loro “capacità” di ridurre/trattare il livello di rischio. Si pensi ad esempio a quello che è successo e sta succedendo con il covid 19 che ha modificato il contesto esterno che a sua volta ha prodotto un cambiamento dei modelli organizzativi e dei processi del contesto interno.

Essendo i risultati dell’attività di monitoraggio utilizzati per effettuare il riesame periodico della funzionalità complessiva del “Sistema di gestione del rischio”, è fondamentale che in sede di pianificazione delle misure di trattamento siano declinate a livello operativo:

  • Le decisioni dell’organizzazione circa le priorità di trattamento;
  • I tempi, le modalità e i soggetti responsabili dell’attuazione delle misure;
  • Le correlazioni con il Piano delle Performance e/o con il Piano degli Obiettivi;
  • Gli indicatori di risultato;
  • Le modalità di monitoraggio in ottica integrata, con altri sistemi e/o procedure interne di controllo (es. in materia antiriciclaggio, performance, ecc.), e possibilmente informatizzata.

Secondo la norma UNI ISO 370001 in materia di Sistemi di Gestione Anticorruzione, l'organizzazione deve determinare:

  • cosa è necessario monitorare e misurare;
  • chi è responsabile del monitoraggio;
  • i metodi di monitoraggio, misurazione, analisi e valutazione, come applicabile, per assicurare risultati validi;
  • quando il monitoraggio e la misurazione devono essere eseguiti;
  • quando i risultati del monitoraggio e della misurazione devono essere analizzali e valutati;
  • a chi e come tali informazioni devono essere riferite per il successivo riesame del Sistema.

Tale norma inoltre richiede:

  • lo svolgimento di Audit interni prima dell’Audit esterno di terza parte per il rilascio della certificazione;
  • la vigilanza dell’Organo di indirizzo;
  • miglioramento continuo da parte della Funzione Anticorruzione, che riporta all’Organo di indirizzo.

Come più volte ribadito da ANAC l’attività di monitoraggio non coinvolge soltanto il RPCT, ma interessa i referenti, i dirigenti/responsabili di P.O., l’OIV (o organismi con funzioni analoghe), strutture di vigilanza e/o audit interno che concorrono, ciascuno per i propri profili di competenza, a garantirne un supporto continuativo.

All’interno del PTPCT devono essere pertanto identificati i soggetti che devono relazionare periodicamente al RPCT al fine di aggiornarlo sia sullo stato di attuazione/adeguatezza delle misure di trattamento che sulle attività di controllo interno di primo e/o di secondo livello svolta.

Al tal fine potrebbe essere necessario definire e comunicare formalmente a tutti i soggetti coinvolti i contenuti, la periodicità e le modalità di trasmissione di specifici i flussi informativi quali ad esempio:

  • Stato avanzamento attuazione misure di trattamento e/o modifica processi a rischio/controlli da parte dei Referenti dei singoli Settori.
  • Informazioni utili per l’elaborazione della relazione annuale del RPCT (es. procedimenti disciplinari).
  • Stress test sul PTPCT, in seguito all’avvio di indagine da parte della magistratura per fenomeni di corruzione.
  • Key Risk Indicators e/o Red Flags (es. anomali di gare deserte, ripetuta assegnazioni di forniture unico e/o in emergenza, piuttosto che varianti in coso d’opera/rinnovi, allo stesso soggetto e/o a parte degli stessi RUP), possibilmente informatizzati, al fine di avere degli alert tempestivi che possano consentire al RPCT di intervenire svolgendo degli audit e/o delle indagini interne per apportare quanto prima adeguamenti necessari alle misure di trattamento del rischio.
  • Report di sintesi elaborati da Internal Audit e/o OdV e di altri Organismi di Controllo (es. controlli regolarità amministrativa e/o controlli svolti dal revisore e/o collegio sindacale).
  • Check list di auto controllo periodico e/o report di sintesi da parte dei dirigenti e/o responsabili di PO sul monitoraggio dei tempi procedimenti, degli obblighi di rotazione delle persone e/o in materia di conflitti di interesse (es. rapporti con soggetti esterni che hanno relazioni economiche e/o personali con la PA).

Il RPCT dovrebbe avvalersi per tale attività di monitoraggio delle strutture di vigilanza e/o audit interno, laddove presenti, e laddove non siano presenti (es. a causa delle ridotte dimensioni delle amministrazioni o per altre ragioni organizzative), la PA potrebbe prendere in considerazione la possibilità di istituirle, eventualmente in collaborazione con altre Amministrazioni, in applicazione del principio guida sulle collaborazioni, fortemente suggerito da ANAC.

La PA potrebbe infatti valutare l’opportunità di introdurre al suo interno una Funzione di Internal Audit e Compliance, con il compito di rafforzare il sistema di controllo interno e di assicurare la conformità dei comportamenti alle norme, come per altro accade in altri contesti (es. società quotate in borsa, società che operano nel settore finanziario e/o in altri settori a rischio per stakeholders diffusi, ecc.). Tale funzione potrebbe far aumentare l’indipendenza e la trasparenza del sistema di controllo interno, creando un patrimonio informativo unico, condiviso, aggiornato, accessibile a tutti che potrebbe contribuire alla “buona amministrazione” oltre che ad individuare eventuali fenomeni di frode, peculato, truffa e/o di corruzione sconosciuti, nonché più in generale a migliorare l’efficienza, l’efficacia e l’economicità dell’azione amministrativa.

La sfida che le PA a mio modo di vedere hanno davanti, dopo un progressivo/lento miglioramento della qualità delle misure di trattamento specifico anticorruzione introdotte nei PTPCT nel corso di questo primo decennio dall’entrata in vigore della legge 190/12, è quella di rafforzare la cultura e gli strumenti di monitoraggio dei rischi corruttivi al fine di riuscire in un’ottica di “Risk Detection”3 ad intercettare prima che sia troppo tardi l’evento disfunzionale o addirittura criminale che metterebbe come minimo a repentaglio l’immagine dell’Amministrazione coinvolta, facendole perdere fiducia dalla cittadinanza.

 

1 In tal modo la Relazione Annuale del RPCT viene automaticamente generata dal sistema a fronte della compilazione di tutti i moduli e può costituire un’ottima base di partenza per orientare l’aggiornamento annuale dei PTPCT.

2 Ovvero il Report emanato dal Comitato delle Organizzazioni di Sponsorizzazione del Treadway Commission che definisce il SCI.

3 Ovvero il rischio che l’RPCT non rileverà un errore/evento che esiste in un'asserzione che potrebbe essere rilevante (es. nella relazione sua annuale), sia individualmente che aggregato con altri errori/eventi.

Non sono presenti aree di interesse

Realizzato con il sostegno di

Realizzato con il Sostegno