Modello gestione del rischio - MIB Trieste School of Management

Modello gestione del rischio
Trieste, 14 maggio 2015
dr. Niccolò Pestelli
1
Natura giuridica di ESTAR
ESTAR è ente del servizio sanitario regionale,
dotati di personalità giuridica pubblica e di
autonomia amministrativa, organizzativa,
contabile, gestionale, le cui funzioni sono
quelle non direttamente riconducibili alle
prestazioni sanitarie
Nuovo Modello
ESTAR
L. 26/2014
Non solo Centrali di Committenza
Il passaggio delle funzioni
 Approvvigionamento di beni e servizi (DGRT1021/2005);
 Gestione dei magazzini e della logistica (DGRT
617/2006);
 Gestione delle reti informative e delle tecnologie
informatiche (CUP) (DGRT 317/2007) ;
 Gestione del patrimonio (DGRT 317/2007);
 Organizzazione e gestione delle attività di formazione
continua del personale
 Gestione delle procedure concorsuali per il reclutamento
del personale (DGRT 317/2007);
 Gestione delle procedure per il pagamento delle
competenze del personale (DGRT 317/2007).
A
L’ESTAR pone quale fornitore-partner delle Aziende Sanitarie ponendosi in ottica di sistema. Non
sostituisce le Aziende né vi si sovrappone, ma si affianca utilizzando e razionalizzandone l’utilizzo delle
risorse professionali già operanti nelle Aziende, integrandone e sviluppandone le competenze e
collaborando alla creazione di un Sistema di Eccellenza Regionale articolato in Aree Vaste
Sistema di Governo regionale
Sistema di Governo di Area Vasta
RAPPORTO FORNITOREPARTNER
AZIENDE
SANITARIE DI
AREA VASTA
SISTEMA DI
ECCELLENZA DI
AREA VASTA
AZIENDE
SANITARIE DI
AREA VASTA
AZIENDE
SANITARIE DI
AREA VASTA
SISTEMA DI ECCELLENZA DEI
SERVIZI SOCIO-SANITARI
ESTAR
SISTEMA DI ECCELLENZA DELLE
FUNZIONI TECNICOAMMINISTRATIVE
Finalità istitutive di ESTAR
Standardizzare le procedure;
Offrire alle ASL servizi omogenei;
Favorire la aggregazione e massimizzare i vantaggi
della centralizzazione negli acquisti;
Omogenizzare le procedure di reclutamento del
personale;
Standardizzare i servizi ICT e TS;
Razinalizzare e consumi anche attraverso studi di
appropriatezza.
Il rischio
7
Le motivazioni di un sistema di gestione del
rischio
Dimensioni organizzative e territoriali
Numero di dipendenti
Dimensione e varietà del bacino di
riferimento
Complessità e sensibilità delle funzioni
Varietà delle attività operative
Esposizione a fenomeni corruttivi
Dimensioni del rischio
Rischi
ISTIITUZIONALI
RISCHI DI COMPLIANCE
Necessità di
un sistema di
Mod. 231/2001
gestione
integrata
Rischi
OPERATIVI
del rischio
RISCHI CORRUTTIVI
L. 190/2012
Processi oggetto del sistema integrato
Rischi istiruzionali
Rischi operativi e di compliance
PROCESSI CORE
PROCESSI STRUMENTALI
Acquisizione beni e servizi
Fiscali
Magazzini e logistica
Contabili
Sistema ICT
Privacy
Tecnologie sanitarie
Sicurezza ICT
Procedure concorsuali
Sicurezza sui luoghi di lavoro
Pagamento competenze economiche
Prevenzione di illeciti amministrastivi
Aree di intervento
RISCHI COMPLIANCE
PROCESSI CORE
Impropria o insufficiente programmazione
Procedure illegittime; assenza di controlli (RES DEC)
Acquisizione beni e
servizi
Registrazioni (bolle, fatture, ecc) irregolari
Stoccaggi impropri;
Data loss, diffusione o perdite die dati sensibili
Magazzini e logistica
Impropria costruzione delle specifiche tecniche die beni da acquisire
(attrezzature)
….
RISCHI CORRUTTIVI
Sistema ICT
Frodi nelle verifiche die fabbisogni
Tecnologie sanitarie
Turbative d'asta
Frodi nella gestione die contratti (Corruzione)
Procedure concorsuali
False registrazioni, sottrazioni
Peculato
Frodi ed alterazioni dolose dei dati
Pagamento competenze
economiche
Frodi nelle procedure concorsuali (Abuso di ufficio)
Frodi nei pagamenti preferenziali, duplicati e non dovuti
Aree di intervento
RISCHI COMPLIANCE
PROCESSI trasversali e
strumentali (PROFILI)
Erronea impostazione fiscale dell'attività istituzionale o commerciale;
Iscrizioni contabili alterate o irregolari
Perdita o sottrazione dei dati sensibili
FISCALE
Inadeguatezza die processi di backup,
Erronea impostaazione die processi di conservazione a norma alterazione sicurezza die dati
CONTABILE
Mancata o errata utilizzazione die dispositivi di sicurezza;
Errone progressione giuridica/economica del personale, ecc. ...….
RISCHI CORRUTTIVI
PRIVACY
Falsa fatturazione
SICUREZZA ICT
Falsi in bilancio
Trattamento doloso die dati sensibili („vendita“ die dato sanitari)
SICUREZZA SUI LUOGHI
DI LAVORO
False nelle alterazione die sistemi infomratici o negli accessi alle
banche dati;
Frodi nell'adozione di misure antifortunistiche
Frodi nelle procedure concorsuali (Abuso di ufficio)
Frodi nei pagamenti preferenziali, duplicati e non dovuti
Le azioni
13
Azioni
Organizzative

Istituzione di una UO con
funzioni di audit e , Risk
Management e di controllo
ai fini della compliance con
la normativa di riferimento.

esprime parere sulle
modalità e sui rischi inerenti
l’esperimento delle
procedure di gara per
l’acquisto di beni e servizi
Il quadro normativo di interesse

(Riordino della disciplina in materia
sanitaria),
(Disciplina della responsabilita'
amministrativa delle persone
giuridiche …)
LRT n. 40/2005
(Disciplina del servizio sanitario
regionale)
LRT 26/2014

Di settore
Dlgs 231/2001
Dlgs 502/1992
Dlgs 163/2006
(Codice die contratti Pubblici),

DLGS 82/2005
(Codice Amministrazione Digitale)

DLGs 196/2003
(codice Privacy)

Ecc........
Gestione del rischio
Organizzazione
principali riferimenti per il modello di gestione del rischio

L. 190/2012
(Disposizioni per la prevenzione e la
repressione della corruzione e
dell'illegalita' nella pubblica
amministrazione)

UNI-ISO 31000
(Gestione del rischio - Principi e linee
guida)

UNI-ISO 19011
(modalità di conduzione audit)
ecc.
Azioni
processo di implmentazione
Risk self
assesment
Disegno dei
sistemi di potere
Gap analysis
Organizzazione
strumenti
operativi del
Modello
implementa
zione
Strutturare
Piano
comunicazione
Sistema
Informativo
Metodologgia e step
Sistema Integrato di Gestione del Rischio
Violazioni
Modello di controllo interno ex
L. 231/2001
Informazioni
Controllo
Risorse umane
Formazione
Comunicazione
Controllo del sistema
organizzativo (processi core e
stumentali) nel suo complesso
Codice etico
(procedure)
Governo
Contesto
Gestione diretta dei sinistri - autoassicurazione
Finalità:
Ripristinare/rinsaldare il rapporto di fiducia
con i cittadini
Risparmio economico a fronte di un
mercato assicurativo in costante aumento
Superamento della contrapposizione
Assicurazione-Azienda da una parte e
professionista sanitario dall’altra
Riferimenti
Delibera GRT n. 1203/2009:
introduzione del modello di
gestione diretta da parte delle A.S. e
AUO con l’istituzione del CGS aziendale
Delibera 1234/2011 :
Introduzione del CRVS a livello regionale
per la valutazione di sinistri di rilevante
entità
Delibera GRT n.62/2014: ulteriori indicazioni
organizzative per la gestione diretta delle
richieste risarcimento danni
Strumenti della Gestione diretta :
Regione Toscana:
CRVS
Aziende sanitarie e/ospedaliere:
CGS
Il Comitato Gestione Sinistri
L’Azienda, secondo le direttive regionali, gestisce i sinistri tramite un organismo
collegiale, il Comitato Gestione Sinistri composto da:
Eventuali
altre professionalità
secondo esigenze
Medici legali
Risk Manager
Vice
Direttore Sanitario
Dirigente
Supporto gestione
att. precontenzioso
Direttori
Dipartimento med./chir
(facoltativo)
Comitato Regionale Valutazione Sinistri
La Regione, nel definire una procedura per la gestione dei sinistri uniforme a tutto il SSR, ha istituito
il Comitato Regionale per la Valutazione dei Sinistri di particolare entità economica o gravità (onere
superiore ad euro 100.000,00) con funzione di riesame non vincolante.
Dirigente AALL
DG Diritti
Cittadinanza e
Coesione sociale
Un Medico legale
per Area Vasta
Dir. del Centro
Rischio Clinico
e sicurezza
del paziente
Un Dirigente Area
Amministrativa
per Area Vasta
Liquidatore
consulente
Esposizione economica
Esempio
(Costo annuo polizza + franchigie)
8.995.309 euro
Liquidato annuo (medio) dal 01.04.2009 al 30.09.2014:
1.500.000,00 euro circa
Grazie per l'attenzione
Gestione del Rischio
Un esempio
COSA
LA GESTIONE DEL
PERCHE'

ESTAR è la seconda
centrale acquisti pubblica
in italia in termini di
„volume di aggiudicato e
spesa gestita“

E' la prima centrale di
committenza ed acquisto
pubblica italiana per
spesa sanitaria
RISCHIO CORRUZIONE
NEGLI APPALTI
APPLICAZIONE DEL INTEGRITY
RISK MANAGEMENT ALLA
PREVENZIONE DELLA
CORRUZIONE NEGLI APPALTI
ESTAR
In particolare … il modello integrato
Differenze ed analogie tra modello 231 e 190
Analogie



medesima logica preventiva
(allocazioe/esenzione
responsabilità)
Differenze
i reati presupposto.
il carattere definitivo della sentenza
colpa d'organizzazione quale
titolo giuridico di
responsabilità
i soggetti che impegnano la
responsabilità dell'ente
centralità del modello
organizzativo (quale variabile
strategica essenziale in
chiave preventiva)
Organo e natura delle sanzioni
irrogate
il soggetto sanzionato
la mancanza dell'elemento
dell'interesse o vantaggio.
medesima logica preventiva
(allocazione/esenzione responsabilità)
231

l’ente risponde per la
perpetrazione del reato
presupposto ad opera
dell’apicale (o del
soggetto sottoposto alla
sua vigilanza);

l’ente non risponde
laddove abbia elaborato
idonei compliance
programs.
190
RPC risponde a diverso titolo: i)
erariale; ii) eventualmente civile;
iii) disciplinare; iv) di
responsabilità dirigenziale
(impossibilità di rinnovo
dell’incarico e, nei casi più gravi,
revoca dell’incarico e recesso
dal rapporto di lavoro).
il responsabile anticorruzione non
risponde nel caso di adozione
ed efficace attuazione del Piano
triennale anticorruzione (o PTA)
la colpa d'organizzazione quale titolo giuridico di
responsabilità
231
190
criterio d’imputazione soggettiva
è la colpa di organizzazione,
quale espressione di scelte di
politica aziendale errate o
quantomeno avventate.
„colpa di organizzazione“ in
presenza di un’organizzazione
pubblica organizzata
confusamente, gestita in modo
inefficiente, non responsabile e non
responsabilizzata (predisporre un
PTA inidoneo a fungere da valido
modello preventivo, non vigilarne
l’attuazione è un comportamento
colposo. Anzi, è un comportamento
gravemente colposo).
centralità del modello organizzativo (quale variabile
strategica essenziale in chiave preventiva)
231
190
il modello deve prevedere - in
relazione alla natura, alla
dimensione dell’organizzazione
e al tipo di attività svolta misure idonee a garantire lo
svolgimento dell’attività nel
rispetto della legge e a scoprire
ed eliminare tempestivamente
situazioni di rischio della
perpetrazione dei reati
presupposto.
Il Piano Anticorruzione, come i
compliance program, gioca il ruolo
di strumento di “organizzazione
dell’organizzazione”. Il PTA deve
prevedere – in relazione alla
natura, alla dimensione
dell’organizzazione e al tipo di
attività svolta - misure idonee a
garantire lo svolgimento dell’attività
nel rispetto della legge e a scoprire
ed eliminare tempestivamente
situazioni di rischio
DIFFERENZE
i reati presupposto
231
190
L’elenco dei cosiddetti reati
presupposto (Sezione III, Capo I
del Decreto) Inizialmente
unicamente una serie di reati
commessi nei rapporti con la
p.a.; POI nel corso deggli anni
aggiunti reati societari,
sicurezza del lavoro e
ambientali
L 190 e convenzione ONU
(Merida): concussione e
Corruzione; circolar
ePresidenza ministri e PNA
delitti contro la pubblica
amministrazione disciplinati
dal Titolo II, Capo II del
codice penale
DIFFERENZE
il carattere definitivo della sentenza
231
190
Nel sistema 231 non è
necessaria una sentenza
passata in giudicato.
art. 1, comma 12 della l. n.
190, perché si configuri la
responsabilità del
responsabile anticorruzione è
necessaria una sentenza
passata in giudicato che
accerti il reato di corruzione
all’interno
dell’amministrazione
DIFFERENZE
i soggetti che impegnano la responsabilità dell'ente
231
190
l’ente è responsabile per i reati
commessi nel suo interesse o a suo
vantaggio:
a) da persone che rivestono funzioni di
rappresentanza, di amministrazione o
di direzione dell'ente o di una sua unità
organizzativa dotata di autonomia
finanziaria e funzionale nonché da
persone che esercitano, anche di fatto,
la gestione e il controllo dello stesso;
b) da persone sottoposte alla direzione
o alla vigilanza di uno dei soggetti di cui
alla lettera a)
Qualunque 'intraneus'
all’apparato amministrativo,
quindi, commettendo un
reato corruttivo è in grado di
impegnare la responsabilità
del Responsabile
DIFFERENZE
il soggetto sanzionato
231
190
Il Responsabile della
Prevenzione della Corruzione
L'Ente
(motivo per cui la circolare della
presidenza CM 1/2013 parla di
incarico agggiuntivo)
DIFFERENZE
Organo e natura delle sanzioni irrogate
231
giudice penale
Natura penale
190
autorità amministrativa
(compresa ANAC - per sanzioni
amministrative, disciplinari e
responsabilità dirigenziale) e
Corte dei conti
Natura erariale e disciplinare
DIFFERENZE
la mancanza dell'elemento dell'interesse o vantaggio
.
231
apicali e controllati possono fare
scattare la responsabilità dell’ente
qualora il reato presupposto sia
commesso nell’interesse o a vantaggio
dell’ente medesimo.
Vantaggio: acquisizione di utilità
economica,
Interesse: presuppone l’avere agito
per determinate finalità e utilità, senza
che sia peraltro necessario il loro
perseguimento
190
Interesse o vantaggio non sono
elementi costitutivi della
responsabilità (a valle) del
Responsabile
(responsabilità praticamente
ogggettiva)
ESTAR - Appalti Corruption Free
modello di Risk managment per gli APPALTI
 La
prima fase
 Individuazione
 METODO:
dei processi dell’area a rischio.
identificabilità degli input, delle attività
interne di trasformazione e degli output che lo
stesso produce.
 Criteri: assenza di procedure interne codificate,
livelli di normazione bassi, livello di interazione con
l’esterno, alto impatto economico.
Estar - AcF: Seconda Fase

scomposizione in attività a rischio dei singoli
processi (non ogni azione condotta in tali aree rileva
ai nostri fini).

METODO: individuazione di quei comportamenti, di
singole azioni o sotto-processi semplici di cui si
compone l’attività interna di trasformazione dell’input
in output. Per ciascuna attività occorre individuare gli
attori
Criteri: come processi cui aggiungere i livelli di
discrezionalità elevati, i potenziali conflitti di interesse
degli attori coinvolti ed il numero di soggetti
interessati.

Estar - AcF: Terza Fase

Descrizione del rischio a matrice corruttiva (Mappa dei
Rischi)

METODO: PARTENDO dalle fattispecie di reato a matrice
corruttiva, che però non sempre sono oggetto di
individuazione immediata, occorre procedere alla
scomposizione degli stessi ed alla individuazione di
comportamenti, fatti ed eventi gestionali che possano
assumere significatività tale da costituire delle
“Sentinelle”, delle “red flags” che mettano in allarme
l’amministrazione. Per questo ogni rischio viene
scomposto ….
Estar - AcF: Terza Fase

“cause”: l’insieme dei fattori che alimentano la possibilità di
avveramento dell’evento rischioso;

“rischio operativo”: il prodursi di irregolarità interne derivanti
dall'inadeguatezza o dalla disfunzione di procedure, risorse
umane e sistemi, oppure da eventi esogeni (cause). Tale
definizione comprende anche il rischio di illegittimità degli atti;

“rischio evento”: fatti gestionali di livello macro-organizzativo,
strategico, reputazionale (esterno) che i rischi operativi
possono generare e che impattano sull'andamento generale
dell'attività e dei macro-processi analizzati. Tale definizione
comprende le conseguenze gestionali della illegittimità degli
atti;
Estar - AcF: Quarta Fase

serie di indicatori utili al monitoraggio del rischio di
corruzione al fine di rendere evidente e misurare
l’andamento dei fatti esplicativi dei rischi operativi e
dei rischi – evento.

METODO: informazioni disponibili tempestivamente e
assumono rilevanza nel tempo poiché consentono di
individuare trend e livelli soglia;
Estar - AcF: Quinta Fase

valutazione del rischio

METODO: parametri di Gravità ed Impatto
descritti all'allegato n. 5 al PNA;
MISURAZONE
ASSESMENT
VALUTAZIONE
Estar - AcF: Sesta Fase
Azioni Correttive ,
 METODO: rimedi a carattere organizzativo,
amministrativo, disciplinare, ecc. volti a
consentire la correzione dell'anomalia del
processo.

 Azioni
immediate (misure di sicurezza)
 Azioni correttive (o straordinarie o nella necessità di
rettificare quelle esistenti. Preventive; ES CREAZIONE
DELL'ALBO REGIONALE DEI COMMISSARI DI
GARA)
ESEMPIO OUTPUT
Fasi
1
2
3-4
5
6
ESEMPIO OPERATIVO DI GESTIONE
Fasi operative
Esempio APPLICAZIONE
1. individuazione EVENTO sentinella
1. Gara deserta
2. Errori / distorsioni nella descrizione dei beni e
delle prestazioni
2. collegamento con RISCHIO (OPERATIVO)
scrittura di capitolati tecnici e bandi “su misura”
predisposizione di un capitolato generico o
incompleto
3. nomina di soggetti privi dei necessari livelli di
competenza (di “Ruolo” organizzativo)
3. individuazione CAUSA
formulazione dei requisiti (artt. 39 e ss.) troppo
stringenti ed elevati
DESCRIZIONE LIMITATA E GENERICA
4. riconduzione alla ATTIVITA' (AVVIO
MONITORAGGIO)
4. individuazione degli esperti per la redazione
degli atti di gara
definizione dei criteri ammissione
Definizione specifiche tecniche
5. Albi (requisiti/sorteggio)
5. ATTIVAZIONE azioni correttive
Avocazione / sostituzione gerarchica
Procedure di nomina (curricula e rotazione)
Grazie per l'attenzione