Modello gestione del rischio - MIB Trieste School of Management
Transcript
Modello gestione del rischio - MIB Trieste School of Management
Modello gestione del rischio Trieste, 14 maggio 2015 dr. Niccolò Pestelli 1 Natura giuridica di ESTAR ESTAR è ente del servizio sanitario regionale, dotati di personalità giuridica pubblica e di autonomia amministrativa, organizzativa, contabile, gestionale, le cui funzioni sono quelle non direttamente riconducibili alle prestazioni sanitarie Nuovo Modello ESTAR L. 26/2014 Non solo Centrali di Committenza Il passaggio delle funzioni Approvvigionamento di beni e servizi (DGRT1021/2005); Gestione dei magazzini e della logistica (DGRT 617/2006); Gestione delle reti informative e delle tecnologie informatiche (CUP) (DGRT 317/2007) ; Gestione del patrimonio (DGRT 317/2007); Organizzazione e gestione delle attività di formazione continua del personale Gestione delle procedure concorsuali per il reclutamento del personale (DGRT 317/2007); Gestione delle procedure per il pagamento delle competenze del personale (DGRT 317/2007). A L’ESTAR pone quale fornitore-partner delle Aziende Sanitarie ponendosi in ottica di sistema. Non sostituisce le Aziende né vi si sovrappone, ma si affianca utilizzando e razionalizzandone l’utilizzo delle risorse professionali già operanti nelle Aziende, integrandone e sviluppandone le competenze e collaborando alla creazione di un Sistema di Eccellenza Regionale articolato in Aree Vaste Sistema di Governo regionale Sistema di Governo di Area Vasta RAPPORTO FORNITOREPARTNER AZIENDE SANITARIE DI AREA VASTA SISTEMA DI ECCELLENZA DI AREA VASTA AZIENDE SANITARIE DI AREA VASTA AZIENDE SANITARIE DI AREA VASTA SISTEMA DI ECCELLENZA DEI SERVIZI SOCIO-SANITARI ESTAR SISTEMA DI ECCELLENZA DELLE FUNZIONI TECNICOAMMINISTRATIVE Finalità istitutive di ESTAR Standardizzare le procedure; Offrire alle ASL servizi omogenei; Favorire la aggregazione e massimizzare i vantaggi della centralizzazione negli acquisti; Omogenizzare le procedure di reclutamento del personale; Standardizzare i servizi ICT e TS; Razinalizzare e consumi anche attraverso studi di appropriatezza. Il rischio 7 Le motivazioni di un sistema di gestione del rischio Dimensioni organizzative e territoriali Numero di dipendenti Dimensione e varietà del bacino di riferimento Complessità e sensibilità delle funzioni Varietà delle attività operative Esposizione a fenomeni corruttivi Dimensioni del rischio Rischi ISTIITUZIONALI RISCHI DI COMPLIANCE Necessità di un sistema di Mod. 231/2001 gestione integrata Rischi OPERATIVI del rischio RISCHI CORRUTTIVI L. 190/2012 Processi oggetto del sistema integrato Rischi istiruzionali Rischi operativi e di compliance PROCESSI CORE PROCESSI STRUMENTALI Acquisizione beni e servizi Fiscali Magazzini e logistica Contabili Sistema ICT Privacy Tecnologie sanitarie Sicurezza ICT Procedure concorsuali Sicurezza sui luoghi di lavoro Pagamento competenze economiche Prevenzione di illeciti amministrastivi Aree di intervento RISCHI COMPLIANCE PROCESSI CORE Impropria o insufficiente programmazione Procedure illegittime; assenza di controlli (RES DEC) Acquisizione beni e servizi Registrazioni (bolle, fatture, ecc) irregolari Stoccaggi impropri; Data loss, diffusione o perdite die dati sensibili Magazzini e logistica Impropria costruzione delle specifiche tecniche die beni da acquisire (attrezzature) …. RISCHI CORRUTTIVI Sistema ICT Frodi nelle verifiche die fabbisogni Tecnologie sanitarie Turbative d'asta Frodi nella gestione die contratti (Corruzione) Procedure concorsuali False registrazioni, sottrazioni Peculato Frodi ed alterazioni dolose dei dati Pagamento competenze economiche Frodi nelle procedure concorsuali (Abuso di ufficio) Frodi nei pagamenti preferenziali, duplicati e non dovuti Aree di intervento RISCHI COMPLIANCE PROCESSI trasversali e strumentali (PROFILI) Erronea impostazione fiscale dell'attività istituzionale o commerciale; Iscrizioni contabili alterate o irregolari Perdita o sottrazione dei dati sensibili FISCALE Inadeguatezza die processi di backup, Erronea impostaazione die processi di conservazione a norma alterazione sicurezza die dati CONTABILE Mancata o errata utilizzazione die dispositivi di sicurezza; Errone progressione giuridica/economica del personale, ecc. ...…. RISCHI CORRUTTIVI PRIVACY Falsa fatturazione SICUREZZA ICT Falsi in bilancio Trattamento doloso die dati sensibili („vendita“ die dato sanitari) SICUREZZA SUI LUOGHI DI LAVORO False nelle alterazione die sistemi infomratici o negli accessi alle banche dati; Frodi nell'adozione di misure antifortunistiche Frodi nelle procedure concorsuali (Abuso di ufficio) Frodi nei pagamenti preferenziali, duplicati e non dovuti Le azioni 13 Azioni Organizzative Istituzione di una UO con funzioni di audit e , Risk Management e di controllo ai fini della compliance con la normativa di riferimento. esprime parere sulle modalità e sui rischi inerenti l’esperimento delle procedure di gara per l’acquisto di beni e servizi Il quadro normativo di interesse (Riordino della disciplina in materia sanitaria), (Disciplina della responsabilita' amministrativa delle persone giuridiche …) LRT n. 40/2005 (Disciplina del servizio sanitario regionale) LRT 26/2014 Di settore Dlgs 231/2001 Dlgs 502/1992 Dlgs 163/2006 (Codice die contratti Pubblici), DLGS 82/2005 (Codice Amministrazione Digitale) DLGs 196/2003 (codice Privacy) Ecc........ Gestione del rischio Organizzazione principali riferimenti per il modello di gestione del rischio L. 190/2012 (Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalita' nella pubblica amministrazione) UNI-ISO 31000 (Gestione del rischio - Principi e linee guida) UNI-ISO 19011 (modalità di conduzione audit) ecc. Azioni processo di implmentazione Risk self assesment Disegno dei sistemi di potere Gap analysis Organizzazione strumenti operativi del Modello implementa zione Strutturare Piano comunicazione Sistema Informativo Metodologgia e step Sistema Integrato di Gestione del Rischio Violazioni Modello di controllo interno ex L. 231/2001 Informazioni Controllo Risorse umane Formazione Comunicazione Controllo del sistema organizzativo (processi core e stumentali) nel suo complesso Codice etico (procedure) Governo Contesto Gestione diretta dei sinistri - autoassicurazione Finalità: Ripristinare/rinsaldare il rapporto di fiducia con i cittadini Risparmio economico a fronte di un mercato assicurativo in costante aumento Superamento della contrapposizione Assicurazione-Azienda da una parte e professionista sanitario dall’altra Riferimenti Delibera GRT n. 1203/2009: introduzione del modello di gestione diretta da parte delle A.S. e AUO con l’istituzione del CGS aziendale Delibera 1234/2011 : Introduzione del CRVS a livello regionale per la valutazione di sinistri di rilevante entità Delibera GRT n.62/2014: ulteriori indicazioni organizzative per la gestione diretta delle richieste risarcimento danni Strumenti della Gestione diretta : Regione Toscana: CRVS Aziende sanitarie e/ospedaliere: CGS Il Comitato Gestione Sinistri L’Azienda, secondo le direttive regionali, gestisce i sinistri tramite un organismo collegiale, il Comitato Gestione Sinistri composto da: Eventuali altre professionalità secondo esigenze Medici legali Risk Manager Vice Direttore Sanitario Dirigente Supporto gestione att. precontenzioso Direttori Dipartimento med./chir (facoltativo) Comitato Regionale Valutazione Sinistri La Regione, nel definire una procedura per la gestione dei sinistri uniforme a tutto il SSR, ha istituito il Comitato Regionale per la Valutazione dei Sinistri di particolare entità economica o gravità (onere superiore ad euro 100.000,00) con funzione di riesame non vincolante. Dirigente AALL DG Diritti Cittadinanza e Coesione sociale Un Medico legale per Area Vasta Dir. del Centro Rischio Clinico e sicurezza del paziente Un Dirigente Area Amministrativa per Area Vasta Liquidatore consulente Esposizione economica Esempio (Costo annuo polizza + franchigie) 8.995.309 euro Liquidato annuo (medio) dal 01.04.2009 al 30.09.2014: 1.500.000,00 euro circa Grazie per l'attenzione Gestione del Rischio Un esempio COSA LA GESTIONE DEL PERCHE' ESTAR è la seconda centrale acquisti pubblica in italia in termini di „volume di aggiudicato e spesa gestita“ E' la prima centrale di committenza ed acquisto pubblica italiana per spesa sanitaria RISCHIO CORRUZIONE NEGLI APPALTI APPLICAZIONE DEL INTEGRITY RISK MANAGEMENT ALLA PREVENZIONE DELLA CORRUZIONE NEGLI APPALTI ESTAR In particolare … il modello integrato Differenze ed analogie tra modello 231 e 190 Analogie medesima logica preventiva (allocazioe/esenzione responsabilità) Differenze i reati presupposto. il carattere definitivo della sentenza colpa d'organizzazione quale titolo giuridico di responsabilità i soggetti che impegnano la responsabilità dell'ente centralità del modello organizzativo (quale variabile strategica essenziale in chiave preventiva) Organo e natura delle sanzioni irrogate il soggetto sanzionato la mancanza dell'elemento dell'interesse o vantaggio. medesima logica preventiva (allocazione/esenzione responsabilità) 231 l’ente risponde per la perpetrazione del reato presupposto ad opera dell’apicale (o del soggetto sottoposto alla sua vigilanza); l’ente non risponde laddove abbia elaborato idonei compliance programs. 190 RPC risponde a diverso titolo: i) erariale; ii) eventualmente civile; iii) disciplinare; iv) di responsabilità dirigenziale (impossibilità di rinnovo dell’incarico e, nei casi più gravi, revoca dell’incarico e recesso dal rapporto di lavoro). il responsabile anticorruzione non risponde nel caso di adozione ed efficace attuazione del Piano triennale anticorruzione (o PTA) la colpa d'organizzazione quale titolo giuridico di responsabilità 231 190 criterio d’imputazione soggettiva è la colpa di organizzazione, quale espressione di scelte di politica aziendale errate o quantomeno avventate. „colpa di organizzazione“ in presenza di un’organizzazione pubblica organizzata confusamente, gestita in modo inefficiente, non responsabile e non responsabilizzata (predisporre un PTA inidoneo a fungere da valido modello preventivo, non vigilarne l’attuazione è un comportamento colposo. Anzi, è un comportamento gravemente colposo). centralità del modello organizzativo (quale variabile strategica essenziale in chiave preventiva) 231 190 il modello deve prevedere - in relazione alla natura, alla dimensione dell’organizzazione e al tipo di attività svolta misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio della perpetrazione dei reati presupposto. Il Piano Anticorruzione, come i compliance program, gioca il ruolo di strumento di “organizzazione dell’organizzazione”. Il PTA deve prevedere – in relazione alla natura, alla dimensione dell’organizzazione e al tipo di attività svolta - misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio DIFFERENZE i reati presupposto 231 190 L’elenco dei cosiddetti reati presupposto (Sezione III, Capo I del Decreto) Inizialmente unicamente una serie di reati commessi nei rapporti con la p.a.; POI nel corso deggli anni aggiunti reati societari, sicurezza del lavoro e ambientali L 190 e convenzione ONU (Merida): concussione e Corruzione; circolar ePresidenza ministri e PNA delitti contro la pubblica amministrazione disciplinati dal Titolo II, Capo II del codice penale DIFFERENZE il carattere definitivo della sentenza 231 190 Nel sistema 231 non è necessaria una sentenza passata in giudicato. art. 1, comma 12 della l. n. 190, perché si configuri la responsabilità del responsabile anticorruzione è necessaria una sentenza passata in giudicato che accerti il reato di corruzione all’interno dell’amministrazione DIFFERENZE i soggetti che impegnano la responsabilità dell'ente 231 190 l’ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio: a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a) Qualunque 'intraneus' all’apparato amministrativo, quindi, commettendo un reato corruttivo è in grado di impegnare la responsabilità del Responsabile DIFFERENZE il soggetto sanzionato 231 190 Il Responsabile della Prevenzione della Corruzione L'Ente (motivo per cui la circolare della presidenza CM 1/2013 parla di incarico agggiuntivo) DIFFERENZE Organo e natura delle sanzioni irrogate 231 giudice penale Natura penale 190 autorità amministrativa (compresa ANAC - per sanzioni amministrative, disciplinari e responsabilità dirigenziale) e Corte dei conti Natura erariale e disciplinare DIFFERENZE la mancanza dell'elemento dell'interesse o vantaggio . 231 apicali e controllati possono fare scattare la responsabilità dell’ente qualora il reato presupposto sia commesso nell’interesse o a vantaggio dell’ente medesimo. Vantaggio: acquisizione di utilità economica, Interesse: presuppone l’avere agito per determinate finalità e utilità, senza che sia peraltro necessario il loro perseguimento 190 Interesse o vantaggio non sono elementi costitutivi della responsabilità (a valle) del Responsabile (responsabilità praticamente ogggettiva) ESTAR - Appalti Corruption Free modello di Risk managment per gli APPALTI La prima fase Individuazione METODO: dei processi dell’area a rischio. identificabilità degli input, delle attività interne di trasformazione e degli output che lo stesso produce. Criteri: assenza di procedure interne codificate, livelli di normazione bassi, livello di interazione con l’esterno, alto impatto economico. Estar - AcF: Seconda Fase scomposizione in attività a rischio dei singoli processi (non ogni azione condotta in tali aree rileva ai nostri fini). METODO: individuazione di quei comportamenti, di singole azioni o sotto-processi semplici di cui si compone l’attività interna di trasformazione dell’input in output. Per ciascuna attività occorre individuare gli attori Criteri: come processi cui aggiungere i livelli di discrezionalità elevati, i potenziali conflitti di interesse degli attori coinvolti ed il numero di soggetti interessati. Estar - AcF: Terza Fase Descrizione del rischio a matrice corruttiva (Mappa dei Rischi) METODO: PARTENDO dalle fattispecie di reato a matrice corruttiva, che però non sempre sono oggetto di individuazione immediata, occorre procedere alla scomposizione degli stessi ed alla individuazione di comportamenti, fatti ed eventi gestionali che possano assumere significatività tale da costituire delle “Sentinelle”, delle “red flags” che mettano in allarme l’amministrazione. Per questo ogni rischio viene scomposto …. Estar - AcF: Terza Fase “cause”: l’insieme dei fattori che alimentano la possibilità di avveramento dell’evento rischioso; “rischio operativo”: il prodursi di irregolarità interne derivanti dall'inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi, oppure da eventi esogeni (cause). Tale definizione comprende anche il rischio di illegittimità degli atti; “rischio evento”: fatti gestionali di livello macro-organizzativo, strategico, reputazionale (esterno) che i rischi operativi possono generare e che impattano sull'andamento generale dell'attività e dei macro-processi analizzati. Tale definizione comprende le conseguenze gestionali della illegittimità degli atti; Estar - AcF: Quarta Fase serie di indicatori utili al monitoraggio del rischio di corruzione al fine di rendere evidente e misurare l’andamento dei fatti esplicativi dei rischi operativi e dei rischi – evento. METODO: informazioni disponibili tempestivamente e assumono rilevanza nel tempo poiché consentono di individuare trend e livelli soglia; Estar - AcF: Quinta Fase valutazione del rischio METODO: parametri di Gravità ed Impatto descritti all'allegato n. 5 al PNA; MISURAZONE ASSESMENT VALUTAZIONE Estar - AcF: Sesta Fase Azioni Correttive , METODO: rimedi a carattere organizzativo, amministrativo, disciplinare, ecc. volti a consentire la correzione dell'anomalia del processo. Azioni immediate (misure di sicurezza) Azioni correttive (o straordinarie o nella necessità di rettificare quelle esistenti. Preventive; ES CREAZIONE DELL'ALBO REGIONALE DEI COMMISSARI DI GARA) ESEMPIO OUTPUT Fasi 1 2 3-4 5 6 ESEMPIO OPERATIVO DI GESTIONE Fasi operative Esempio APPLICAZIONE 1. individuazione EVENTO sentinella 1. Gara deserta 2. Errori / distorsioni nella descrizione dei beni e delle prestazioni 2. collegamento con RISCHIO (OPERATIVO) scrittura di capitolati tecnici e bandi “su misura” predisposizione di un capitolato generico o incompleto 3. nomina di soggetti privi dei necessari livelli di competenza (di “Ruolo” organizzativo) 3. individuazione CAUSA formulazione dei requisiti (artt. 39 e ss.) troppo stringenti ed elevati DESCRIZIONE LIMITATA E GENERICA 4. riconduzione alla ATTIVITA' (AVVIO MONITORAGGIO) 4. individuazione degli esperti per la redazione degli atti di gara definizione dei criteri ammissione Definizione specifiche tecniche 5. Albi (requisiti/sorteggio) 5. ATTIVAZIONE azioni correttive Avocazione / sostituzione gerarchica Procedure di nomina (curricula e rotazione) Grazie per l'attenzione