Negli ultimi anni, il tema della gestione dei rischi e dei requisiti di conformità, ha assunto un peso sempre maggiore in ogni tipo di organizzazione, pubblica o privata. Oggi, la Pubblica Amministrazione (PA) deve necessariamente dotarsi di una strategia di Risk and Compliance con la quale rispondere ad un contesto normativo in continua evoluzione e ad una notevole variabilità di rischi, che spazia dalle problematiche di integrità, privacy e antiriciclaggio, a quelle di natura amministrativa inerenti alla sicurezza sul lavoro e ai reati ambientali, fino a quelle di operatività, relative a flussi di lavoro e reputation, e alle minacce di natura informatica.
È evidente come, in un contesto sempre più digitalizzato, tutti i settori e i dipartimenti di un’Amministrazione pubblica siano direttamente coinvolti nelle attività di controllo interno, risk management, compliance e audit. Ciò comporta che l’attività di individuazione e gestione dei rischi debba necessariamente essere trasversale, con un’integrazione pressoché totale tra i diversi soggetti e settori. Una sfida impegnativa per le PA che può essere affrontata meglio con l’ausilio di soluzioni informatiche che aiutano a tracciare il monitoraggio e la gestione del rischio.
Nell’approccio integrato, infatti, la digitalizzazione aiuta l’Amministrazione nel mappare, analizzare e governare i processi, per proteggere il valore generato dall’organizzazione, fornendo un valido supporto per una gestione integrata del rischio di integrità e di compliance, al fine di individuare e governare le possibili criticità. Grazie ad alcuni software è possibile svolgere un’analisi dei livelli di esposizione al rischio anche per singolo processo.
È possibile introducendo una serie di misure di controllo atte a prevenire un possibile accadimento, così come reagire alle violazioni identificando le non conformità che le hanno prodotte e attuando azioni correttive.
Approccio proattivo e reattivo alla gestione del rischio
Le soluzioni tecnologiche digitali consentono di supportare i due macro-approcci possibili per la gestione e il monitoraggio del rischio: proattivo o reattivo.
Nell’approccio reattivo si reagisce ad una situazione di criticità che si è verificata attuando misure correttive per evitare che si ripresenti di nuovo, mentre nell’approccio proattivo si cerca di prevenire tali situazioni con misure di prevenzione. Entrambi gli approcci concorrono a promuovere il miglioramento continuo all’interno dell’organizzazione in quanto la gestione del rischio (che disincentiva le cattive pratiche) è speculare alla gestione della qualità (che promuove le buone pratiche).
Le misure vengono poi monitorate sia da chi le attua sia tramite audit interni ed esterni, così da garantire l’effettiva riduzione dei rischi e quindi il miglioramento della qualità dei servizi erogati.
Sia per la gestione dei rischi, di natura corruttiva o di compliance, che per la misurazione e la valutazione del livello di esposizione al rischio, si può procedere con un’analisi di tipo qualitativo, basata sulle valutazioni espresse dai responsabili dei processi e che per questo va accompagnata da adeguate documentazioni e motivazioni a supporto del giudizio dato, oppure con un’impostazione quantitativa in cui il livello di rischio viene calcolato da una procedura guidata che, in base a parametri il più possibile oggettivi, propone con un algoritmo tale livello.
Un valido strumento informatico deve permettere una gestione del rischio che contempli entrambi gli approcci, per trovare il giusto equilibrio tra una valutazione propriamente soggettiva e una più oggettiva, offrendo così una garanzia di maggiore omogeneità nel giudizio.
Un unico strumento per una gestione integrata del rischio: GZOOM VALUE GOVERNANCE
GZOOM VALUE GOVERNANCE consente in un unico applicativo di gestire tutte le tipologie di rischio: anticorruzione, privacy, antiriciclaggio, responsabilità amministrativa (sicurezza sul lavoro, reati ambientali) e operativa (ad esempio, rischio clinico in sanità).
La soluzione supporta tutte le fasi per una completa gestione del rischio, consentendo di:
- mappare gli “oggetti” su cui gestire i rischi, quali, ad esempio, processi aziendali, trattamenti di informazioni, asset;
- identificare, per ogni oggetto, gli eventi avversi che potrebbero presentarsi e le relative cause (fattori di rischio);
- valutare, per oggetto e tipologia di rischio, il grado di rischio e pianificare le misure di prevenzione sulla base di un approccio proattivo al rischio volto alla riduzione del grado rischio;
- monitorare l’attuazione delle misure di prevenzione ed effettuare audit interni;
- registrare gli eventi avversi ed analizzarne le cause;
- trattare le non conformità emerse da eventi avversi o da audit pianificando le misure di correzione sulla base di un approccio reattivo al rischio, con cui porre rimedio alle non conformità registrate;
- monitorare le misure di correzione ed effettuare audit interni.
In particolare, in relazione alla valutazione del grado di rischio, GZOOM VALUE GOVERNANCE permette sia un approccio di tipo qualitativo che quantitativo. Nello specifico, lo strumento consente infatti:
- la valutazione qualitativa (autovalutazione con descrizione della motivazione) e la valutazione quantitativa (domande a risposta chiusa e calcolo automatico in base alle risposte);
- la valutazione del rischio inerente (probabilità che si verifichi un evento avverso moltiplicata per l’impatto dell’evento) e del rischio residuo (rischio inerente ridotto in base all’efficacia delle misure di prevenzione adottate).
Oltre a utilizzare le classifiche funzionalità di gestione del rischio predisposte (mappatura dei processi, calcolo del rischio inerente e del rischio residuo), è anche possibile predisporre elenchi di indicatori di anomalia e di schemi comportamentali e misure personalizzate per la singola Amministrazione. Altra caratteristica importante del software GZOOM VALUE GOVERNANCE è la sua alta configurabilità, che permette di adattarsi a qualsiasi tipologia di Ente.
Con GZOOM VALUE GOVERNANCE, l’Amministrazione può incrementare il coinvolgimento delle strutture organizzative nella gestione del rischio, sia nella fase di valutazione del rischio e scelta delle misure che in quella di rendicontazione delle misure attuate e della loro idoneità. Grazie al modello organizzativo per processi, il sistema permette di passare da una gestione accentrata e verticale (vista sulla singola struttura) ad una gestione più orientata ai servizi che attraversano orizzontalmente l’azienda.
Infine, la soluzione permette di estrarre, dai dati di gestione del rischio raccolti, delle informazioni utili che vengono restituite all’utente mediante rappresentazioni grafiche chiare e di facile comprensione, quali:
- l’andamento dei rischi nel tempo, anche per struttura;
- lo stato di attuazione delle misure, anche per tipologie di misure (ad esempio, controllo, trasparenza, semplificazione)
- la distribuzione dei fattori di rischio, anche per fascia di gradazione del rischio.
Grazie a questa soluzione, le Amministrazione pubbliche dispongono di uno strumento con cui orientare l’azione alla creazione di valore pubblico e alla sua protezione dai rischi che gravano sulla stessa, contribuendo a generare un circolo virtuoso di benefici sociali, ambientali ed economici da condividere con la collettività.