Post on 03-Jul-2015
Gestione del rischio e flussi di comunicazione a supporto del whistleblowing
Best pratices e indicazioni del P.N.A.
Università Tor Vergata c/Agenzia Spaziale Italiana
Centro Hermes per la Trasparenza e i Diritti Umani Digitalihttps://globaleaks.org - http://logioshermes.org
Alessandro Rodolfi - alessandro.rodolfi@logioshermes.org
Roma, 24 Gennaio 2014
1
Gestione del rischio “in standard”
2
Linee guida della norma
• Principi e linee guida per la gestione di qualsiasi forma di rischio in un modo sistematico, trasparente, credibile ed all’interno di qualunque campo di applicazione e contesto
• Armonizzazione dei processi della gestione dei rischio nelle norme attuali e future (es. recente upgrade ISO27001)
• Approccio comune a supporto di norme che riguardano rischi e/o settori specifici e non sostituisce tali norme
3
Principi, struttura e processo di gestione del rischio
4
Definizioni: rischio
5
Processo di gestione del rischio
6
Definizione del contesto: All. 2 P.N.A.
• Area: acquisizione e progressione del personale
• Area: affidamento di lavori, servizi e forniture
• Area: provvedimenti ampliativi della sfera giuridica dei destinatari privi di effetto economico diretto ed immediato per il destinatario
• Area: provvedimenti ampliativi della sfera giuridica dei destinatari con effetto economico diretto ed immediato per il destinatario
7
Struttura P.N.A. focus sulle aree di rischio
8
Definizioni: valutazione del rischio
9
Definizioni: analisi del rischio
• Formula per calcolare il Livello di Rischio di un evento di corruzione (All. 5 del P.N.A.):
• Livello di rischio = P x I (valore della probabilità x valore dell’impatto)
• P e I possono avere valori compreso fra 1 e 5
10
Tabella livello di rischio
11
Definizioni: ponderazione e trattamento del rischio
12
I consigli nel P.N.A.
• “Schede di programmazione delle misure di prevenzione utili a ridurre la probabilità che il rischio si verifichi, in riferimento a ciascuna area di rischio, con indicazione degli obiettivi, della tempistica, dei responsabili, degli indicatori e delle modalità di verifica dell’attuazione, in relazione alle misure di carattere generale introdotte o rafforzate dalla legge n. 190 del 2012 e dai decreti attuativi, nonché alle misure ulteriori introdotte con il P.N.A.”
13
Come “soffiare il fischietto”: i flussi di comunicazione
14
ISO/TR 31004:2013
Risk management -- Guidance for the implementation of ISO 31000
Indicazioni nel P.N.A.
• “Ciascuna amministrazione deve prevedere al proprio interno canali differenziati e riservati per ricevere le segnalazioni la cui gestione deve essere affidata a un ristrettissimo nucleo di persone (2/3). Inoltre, occorre prevedere codici sostitutivi dei dati identificativi del denunciante e predisporre modelli per ricevere le informazioni ritenute utili per individuare gli autori della condotta illecita e le circostanze del fatto”
15
Riservatezza• “Nell’ambito del P.T.P.C. debbono essere previsti obblighi
di riservatezza a carico di tutti coloro che ricevono o vengono a conoscenza della segnalazione e di coloro che successivamente venissero coinvolti nel processo di gestione della segnalazione, salve le comunicazioni che per legge o in base al presente P.N.A. debbono essere effettuate; considerato che la violazione delle norme contenute nel P.T.P.C. comporta responsabilità disciplinare, la violazione della riservatezza potrà comportare l’irrogazione di sanzioni disciplinari, salva l’eventuale responsabilità civile e penale dell’agente”
16
Privacy?
17
Garante Privacy Italiano• Garante Privacy- Segnalazione al Parlamento e al Governo sull'individuazione, mediante
sistemi di segnalazione, degli illeciti commessi da soggetti operanti a vario titolo nell'organizzazione aziendale (dic. 2009)
• Individuare i presupposti di liceità del trattamento effettuato per il tramite dei citati sistemi di segnalazione, in particolare delineando una base normativa che definisca, innanzi tutto, l'ambito soggettivo di applicazione della disciplina e le finalità che si intendono perseguire;
• Valutare in particolare, nel processo di perimetrazione sul piano soggettivo della disciplina, se estenderla a ogni tipo di organizzazione aziendale ovvero, per esempio, riferirla alle sole società ammesse alle negoziazioni su mercati regolamentati;
• Definire la portata del diritto di accesso previsto dall'art. 7 del Codice da parte del soggetto al quale si riferisce la segnalazione (interessato), con riguardo ai dati identificativi dell'autore della segnalazione (denunciante);
• Stabilire l'eventuale ammissibilità dei trattamenti derivanti da segnalazioni anonime.
18
...cautela anche dallo Statuto dei lavoratori
• Cassazione, sez. Lavoro, sentenza n. 3837/1997 “Essendo consentito solo al datore di lavoro, e per ben individuate esigenze (organizzative e produttive ovvero per la sicurezza del lavoro) e dietro accordo con le rappresentanze sindacali aziendali (oppure, in assenza di queste, con le commissioni interne, o, con un atto di prescrizione dell’Ispettorato del lavoro) l’uso di impianti o apparecchiature di controllo dell’attività dei lavoratori, è suscettibile di sanzione disciplinare il lavoratore che per finalità proprie abbia leso il diritto dei lavoratori a non essere sottoposti a controlli a distanza al di fuori delle ipotesi contemplate dalla legge”.
19
P.N.A.• “La tutela dei denuncianti dovrà essere supportata anche da
un’efficace attività di sensibilizzazione, comunicazione e formazione sui diritti e gli obblighi relativi alla divulgazione delle azioni illecite. A tal fine ciascuna amministrazione potrebbe postare sul portale del proprio sito web degli avvisi che informano i dipendenti sull’importanza dello strumento e sul loro diritto ad essere tutelati nel caso di segnalazione di azioni illecite, nonché sui risultati dell’azione cui la procedura di tutela del whistleblower ha condotto. La procedura utilizzata deve essere sottoposta a revisione periodica per verificare possibili lacune o incomprensioni da parte dei dipendenti”
20
P.N.A.
21
P.N.A.
22
“Canale di ascolto” Comune di Parma
23
Best Pratices E.R.M.: spunti di discussione
• I meccanismi di reporting e i protocolli sono organizzati in modo tale da far sentire il personale a suo agio?
• Quali procedure saranno adottate per rendere affidabili questi canali di comunicazione nei confronti del personale, eliminando qualsiasi timore per possibili ritorsioni?
• Come saranno stabilite le priorità dei fatti segnalati?
• In che modo saranno individuate le risorse appropriate per le azioni di follow up?
• Quali sono i target dei tempi di risposta?
• Quali sono gli standard di documentazione?
• Quali processi di monitoraggio sono posti in essere?
• Le risorse tecnologiche e di sicurezza sono adeguate per gestire il sistema?
• Chi sarà incaricato di svolgere le necessarie indagini?
• Come saranno documentate e seguite le segnalazioni ricevute?
• Come sarà informata la persona che ha segnalato i fatti in merito alle conclusioni raggiunte e ai provvedimenti presi?
• Che tipo di report di sintesi è necessario e con quale frequenza?
• Quali meccanismi saranno posti in essere per assicurare che i provvedimenti necessari siano intrapresi per i fatti segnalati e che siano effettuati, se dal caso, i necessari cambiamenti migliorativi dei sistemi per prevenire il ripetersi dei fatti?
24