Il risk management nella Pubblica Amministrazione, come in altri settori, è associato alla predisposizione di controlli atti a diminuire il rischio e alle azioni di mitigazione individuate in base agli esiti dei controlli e agli eventi avversi . Si utilizzano infatti due valori fondamentali: il Rischio Inerente ed il Rischio Residuo, che è il risultato della sottrazione tra rischio inerente ed efficacia dei controlli posti in essere.
Grazie all’ampia configurabilità di ProcessFrame è possibile customizzare il risk management per le esigenze di ciascuna azienda, ad esempio, in termini di rischi da prendere in considerazione, di misure di controllo da attuare e di metodi di valutazione. Questo tipo di configurazioni, sebbene rendano il software “cucito” sul modello aziendale, non richiede alcuna operazione sul codice: ciò rende rapida la messa a disposizione delle modifiche richieste dal cliente e consente un rapido tempo di apprendimento
Risk Management nella Pubblica Amministrazione: tra norme e rischi
La tassonomia del settore pubblico ha sicuramente dei temi ricorrenti, tra i quali possiamo ricordare:
Tutela del risparmio
(ex d.lgs. 262/2005)
La legge prevede l’obbligo di istituire un Dirigente Preposto per la stesura dei documenti contabili e per il rispetto delle relative procedure amministrative e contabili realizzate.
Responsabilità enti e società
(ex d.lgs. 231/2001)
Adozione di un modello organizzativo e di gestione (MOG) per evitare la responsabilità amministrativa/penale a causa di reati compiuti nell’interesse della società.
Trasparenza
(ex d.lgs. 33/2013)
Aderenza agli obblighi per la promozione della trasparenza nell’ambito delle Pubbliche Amministrazioni e per l’armonizzazione alla disciplina del Codice della Privacy.
Rischio di corruzione
(ex d.lgs. 190/2012)
La norma, anche conosciuta come ‘Legge Severino’, prevede una serie di obblighi - tra cui la redazione di un piano di prevenzione per la corruzione - per la promozione della trasparenza e per la repressione della corruzione.
Sicurezza Fisica
(ex d.lgs. 81/2008)
Adempimenti in tema di sicurezza sul luogo di lavoro non solo per garantire la sicurezza dei dipendenti dell’azienda ma anche per evitare accessi non autorizzati ai locali aziendali ed eventuali danni ai beni aziendali.
Protezione dei dati personali
(ex d.lgs. 196/2003)
Rispetto delle disposizioni contenute nel reg. UE 679/2016 (anche conosciuto con l’acronimo inglese GDPR) in relazione al trattamento dei dati personali, alla loro circolazione, alle valutazioni d’impatto (DPIA) e così via.
Codice degli appalti
(ex d.lgs. 50/2016)
Rispetto dei requisiti previsti dalla nuova versione del codice degli appalti, che ha lo scopo di uniformare la normativa nazionale a tre direttive Europee, di snellire le procedure e di promuovere l’efficienza e la trasparenza.
Antiriciclaggio
(ex d.lgs. 231/2007)
Norma attuativa della direttiva 2005/60/CE, prevede una serie di disposizioni atte a prevenire il riciclaggio di denaro proveniente da attività illecite e il finanziamento del terrorismo con lo sfruttamento del sistema finanziario.
Sicurezza delle informazioni
(Regolamento 679/2016 – GDPR)
Adozione di misure tecniche e organizzative per la sicurezza del sistema informativo aziendale. La norma prevede un approccio basato su tre concetti chiave: Riservatezza, Integrità e Disponibilità delle informazioni.
La valutazione del rischio
Per ogni profilo di rischio rilevato, si procede alla valutazione del rischio inerente, utilizzando un indice determinato dal prodotto di Probabilità e Impatto; da questo indice poi si sottrae l'efficacia dei controlli per ottenere il Rischio Residuo.
È possibile, inoltre, avere una visione d’insieme delle valutazioni per ogni tipologia di rischio e di riportare la media di queste valutazioni a livello di processo, macro-processo, tipologia di rischio e così via.
Infine, il software prevede funzioni di reportistica e statistica, consentendo di compiere valutazioni ad ampio spettro e di supportare un processo decisionale di tipo strategico.
La gestione del rischio può essere integrata con altre funzioni (ex. Audit) e collegata ad Azioni di mitigazione, di miglioramento, segnalazioni ecc.