PNA 2019: UNA RILETTURA DEL SISTEMA DI ANALISI E GESTIONE DEL RISCHIO CORRUTTIVO ALLA LUCE DELLA ISO 37001

20/02/2020

A cura dell'avv. Stefano Aldini - Certiquality

Con la Delibera n. 1064 del 13 novembre 2019 ANAC ha approvato il PNA 2019, che come noto, rappresenta l’atto di indirizzo per l’applicazione della normativa in materia di prevenzione della corruzione e trasparenza cui le organizzazioni soggette agli obblighi della L. 190/2012 sono tenute a conformarsi per la redazione dei propri piani triennali per la prevenzione della corruzione. Come sottolineato nella parte introduttiva, l’obiettivo del PNA 2019-2021 è quello di consolidare in un unico atto di indirizzo le indicazioni relative alla “parte generale” del PNA succedutesi dal 2013 sino ad oggi, tenuto conto degli orientamenti che si sono nel frattempo formati, anche sulla base di atti regolatori di ANAC. 

Oltre allo sforzo di riordinare e sistematizzare il quadro di riferimento e gli elementi che caratterizzano lo sviluppo e l’attuazione delle misure di prevenzione della corruzione, il PNA 2019 presenta significativi aspetti di novità (si parla di “nuovo approccio”) dai quali si evince una rilettura complessiva del sistema di gestione del rischio corruttivo alla luce dello standard volontario ISO 37001 sui sistemi di gestione per la prevenzione della corruzione, quale best practice di riferimento.

La norma internazionale ISO 37001 (nella edizione italiana UNI ISO 37001), pubblicata nel 2016, prevede i requisiti di un sistema di gestione per la prevenzione della corruzione articolato nelle quattro fasi della pianificazione (analisi del rischio di corruzione e programmazione di misure e obiettivi di miglioramento), attuazione del sistema di controllo, sorveglianza (compresi audit interni sistematici) e riesame periodico da parte dei vertici dell’organizzazione finalizzati ad assicurare il miglioramento continuo del sistema (in termini di capacità a controllare i rischi di corruzione).  I presupposti di efficacia ed effettività del sistema ISO 37001 (come di qualsiasi altro sistema di gestione e controllo del rischio, anche di legge) sono rappresentati dal coinvolgimento dei vertici dell’organizzazione e dalla consapevolezza di tutto il personale circa il contributo che ogni singolo può e deve apportare per conseguire gli obiettivi di prevenzione della corruzione e più in generale di comportamenti non etici.

Si tratta di una norma certificabile, applicabile a qualsiasi organizzazione pubblica e privata, indipendentemente dal settore di attività, dimensioni, complessità, etc.

Nell’ambito del PNA e delle Linee Guida ANAC  in materia, la norma ISO 37001 è già stata richiamata quale best practice di riferimento per la gestione del rischio corruttivo (cfr. PNA 2013; determinazione ANAC n. 1134/2017 sulle partecipate), lo standard volontario non risulta invece espressamente citato dal PNA 2019.    A dire il vero la revisione dell’analisi e della gestione del rischio corruttivo anche alla luce della norma ISO 37001 è richiamato nel provvedimento per la costituzione del tavolo di lavoro di esperti incaricato di valutare eventuali modifiche al PNA 2019 (Decreto del Segretario Generale di ANAC, prot. 34295 del 29/4/2019).

Ma, al di là di espliciti richiami formali, è la stessa struttura del sistema di gestione del rischio corruttivo prevista del PNA 2019 che manifesta un evidente allineamento a livello metodologico e applicativo con gli elementi fondamentali che caratterizzano il sistema di gestione per la prevenzione della corruzione in conformità alla norma ISO 37001, con un deciso passo in avanti verso le logiche dei sistemi ISO rispetto  a quanto  avvenuto in passato con il mero richiamo ai principi generali di gestione del rischio secondo la Linea Guida ISO 31000.

Benché sia stata manifestata la preoccupazione che un richiamo esplicito a una norma tecnica quale la ISO 37001,  estranea all’assetto “istituzionale” dell’anti corruzione,  possa mettere in discussione il principio di “autosufficienza” del sistema di prevenzione del rischio di corruzione della PA, ingenerando equivoci sul carattere vincolante di uno standard che è e deve rimanere volontario,  di fatto  questi requisiti (li si voglia o meno chiamare “ISO 37001”) dovranno essere comunque presi in considerazione da tutte le organizzazioni chiamate a rivedere ed adeguare i propri PTPCT alla luce delle modifiche introdotte dal PNA 2019.

Tra i principi “strategici” il PNA 2019, infatti, ribadisce un concetto ampiamente sottolineato anche dalla norma ISO 37001 quale elemento chiave per l’efficace attuazione del sistema di prevenzione della corruzione: il coinvolgimento e la partecipazione dell’Organo di Indirizzo (politico o meno) cui compete la responsabilità di creare un contesto organizzativo favorevole allo sviluppo e alla diffusione del sistema all’intera struttura, ad ogni livello, non limitandone l’applicazione e il controllo alle sole figure preposte (RPCT). Parallelamente la gestione del rischio corruttivo deve essere integrata negli strumenti di programmazione e nei processi decisionali dell’organizzazione.

A livello metodologico, secondo il PNA 2019 la gestione del rischio va intesa “come un processo di miglioramento continuo basato sui processi di apprendimento generati attraverso il monitoraggio e la valutazione dell’effettiva attuazione ed efficacia delle misure e il riesame periodico della funzionalità complessiva del sistema di prevenzione” e deve essere realizzato non come mero adempimento, “ma in modo sostanziale, ossia calibrato sulle specificità del contesto esterno ed interno dell’amministrazione.”

L’allegato 1 al PNA, che fornisce le indicazioni per la progettazione, la realizzazione e il miglioramento continuo del “sistema di gestione del rischio corruttivo” prevede un modello articolato nelle seguenti fasi:

  • analisi del contesto interno ed esterno e mappatura dei processi;
  • coinvolgimento dei soggetti interni e esterni e attività di comunicazione;
  • identificazione degli eventi rischiosi, valutazione e ponderazione dei rischi;
  • individuazione, programmazione e attuazione di misure di prevenzione sulla base delle priorità emerse dalla valutazione dei rischi;
  • monitoraggio sull’attuazione e l’idoneità delle misure (monitoraggio di primo livello in capo alla struttura organizzativa da cui dipende l’applicazione della misure; monitoraggio di secondo livello da parte del RPC e mediante audit);
  • riesame periodico della funzionalità complessiva del sistema attraverso l’analisi dei risultati del monitoraggio.

Tutti questi elementi sono completamente sovrapponibili ai requisiti della norma ISO 37001, la quale, in aggiunta al modello di legge, richiede che il sistema di gestione del rischio corruttivo estenda l’attenzione ai rapporti con “soci in affari” (appaltatori, subappaltatori, fornitori, consulenti, agenti etc.) con rischi rilevanti (“superiori al basso”) sui quali l’organizzazione possa ragionevolmente intervenire in funzione della propria capacità di controllo ed influenza.

Peraltro, per organizzazioni tenute all’applicazione del Codice Appalti gli aspetti relativi ai rapporti con operatori economici e con parti terze riconducili al concetto di “socio in affari” sono previsti e regolamentati in larga parte da requisiti di legge e si tratterà pertanto di assicurare il corretto svolgimento delle procedure “obbligatorie”, armonizzandone l’attuazione rispetto al sistema di gestione del rischio.

Premesso e ribadito che non vi è alcun vincolo al riguardo; l’adozione di un sistema di gestione per la prevenzione della corruzione in conformità alla norma ISO 37001 mette a disposizione delle organizzazioni, e in particolare delle Pubbliche Amministrazioni e delle Società soggette all’applicazione delle misure anti corruzione della L. 190/2012, un parametro tecnico di riferimento rispondente alle indicazioni del  PNA 2019 che, in forza della sua elevata specificità e analicità, guida e facilita la progettazione e l’attuazione  del sistema di gestione del rischio corruttivo, la tracciabilità, il monitoraggio e la verifica delle sua efficacia, in ottemperanza  alle indicazioni del legislatore e dell’ANAC, secondo la logica  del miglioramento continuo.

Parallelamente javascript:void(0);a questi vantaggi di ordine “interno”, cui si aggiunge quello di agevolare la diffusione di prassi e comportamenti da parte di tutti i dipendenti, collaboratori e controparti in linea con la politica anti corruzione e con il codice etico dell’Ente o della Società, vi sono importanti ricadute positive anche verso l’esterno in quanto il monitoraggio e il riesame del sistema ISO 37001 consentono all’ organizzazione e agli altri soggetti chiamati a risponderne di disporre più agevolmente della prova (altrimenti diabolica) dell’efficacia del modello per la prevenzione della corruzione adottato

A tale riguardo, la certificazione (accreditata) di conformità alla norma ISO 37001 da parte di un soggetto autonomo e indipendente fornisce una garanzia ulteriore ai fini della prova dell’adeguatezza e l’effettività del sistema di gestione del rischio corruttivo quale esimente di eventuali responsabilità al riguardo, consentendo inoltre all’organizzazione di comunicare e dimostrare più agevolmente alle terze parti interessate l’impegno e gli sforzi profusi in tale ambito.