Rapporto sui rischi all'attenzione del Consiglio federale Rapporto della Commissione della gestione del Consiglio nazionale e del Consiglio degli Stati del 28 maggio 2010
2010-1363
4973
Rapporto 1
Situazione iniziale
L'ampiezza e la diversità dei compiti dell'Amministrazione federale implicano una corrispondente varietà dei rischi cui la Confederazione è esposta. Inoltre, il verificarsi di taluni rischi può avere conseguenze di portata molto estesa. Per questo motivo le Commissioni della gestione (CdG) attribuiscono grande importanza alla messa in atto di un efficace concetto di gestione dei rischi a livello federale e alla stesura di un rapporto a scadenze regolari all'attenzione del Consiglio federale. Le CdG si adoperano infatti regolarmente dal 2002 ai fini dell'instaurazione di un tale sistema.
Il Consiglio federale aveva previsto di informare le CdG annualmente, dal 2005 in poi, sul tema della gestione dei rischi. Tuttavia, fino al 2008 non è mai stato allestito un rapporto globale. Le CdG hanno quindi invitato il Consiglio federale a presentare loro un concetto relativo alle modalità con cui esso intende informarle in futuro sulla gestione dei rischi.
Il Consiglio federale ha così segnatamente proposto di fare pervenire alle CdG il rapporto sui rischi steso alla sua attenzione. Onde garantire la confidenzialità delle informazioni, le CdG hanno istituito un piccolo gruppo di lavoro composto da membri di entrambe le CdG e da un rappresentante della DelFin, responsabile del trattamento del presente rapporto.
Nella sua prima seduta, il gruppo di lavoro «Rapporto sui rischi all'attenzione del Consiglio federale» ha deciso da un lato di chinarsi sulle modalità di accorpamento e trasmissione dei rischi dei Dipartimenti e della Cancelleria federale al Consiglio federale e, dall'altro, di esaminare il concetto di gestione dei rischi della Confederazione.
A tale scopo il gruppo di lavoro ha dapprima discusso con i responsabili dei rischi dei singoli Dipartimenti e della Cancelleria federale, dopodiché ha invitato il Controllo federale delle finanze (CDF) a presentargli i risultati e le conclusioni della verifica trasversale effettuata presso l'Amministrazione federale delle finanze (AFF) sul tema della gestione dei rischi a livello di Uffici e Confederazione.1 Il gruppo di lavoro ha poi incontrato i responsabili dei rischi di un grande Cantone e di una multinazionale svizzera per beneficiare di punti di vista indipendenti dall'Amministrazione federale e informarsi sulla gestione dei rischi nel settore
privato. Infine, le audizioni del Presidente della Confederazione (2009) e del direttore dell'AFF hanno permesso di chiarire quale importanza il Consiglio federale accorda al rapporto sui rischi e le sue modalità d'approccio allo stesso.
1
Controllo federale delle finanze (CDF), verifica trasversale «Amministrazione federale delle finanze AFF: analisi dei rischi a livello di Uffici e di Confederazione», 7 luglio 2008.
4974
2
Problemi identificati e miglioramenti intrapresi
Già nel corso della fase di attuazione del concetto di gestione dei rischi, durata diversi anni, lo stesso Consiglio federale ha rilevato determinate lacune. Si tratta, nello specifico, di problemi riguardanti il consolidamento dei rischi a livello di Confederazione e dell'applicazione omogenea del concetto nei Dipartimenti e nelle unità amministrative. Alcune constatazioni del Consiglio federale poggiano anche sulla verifica del CDF, il quale in sostanza confermava le considerazioni critiche formulate in precedenza dalle CdG.
Sulla base dei loro lavori, le CdG giungono alla conclusione che, nel quadro della messa in atto del concetto di gestione dei rischi presentato nel 20042, sono stati compiuti notevoli miglioramenti e che altri sono in parte ancora in fase di realizzazione.
Va rilevato quale fattore positivo il fatto che la Conferenza dei segretari generali (CSG) sia stata designata per fungere da tappa intermedia prima della trasmissione del rapporto sui rischi al Consiglio federale e per discutere e consolidare i rischi principali segnalati dai Dipartimenti e dalla Cancelleria federale.
Inoltre il Dipartimento federale delle finanze (DFF) organizza a scadenze regolari seminari sugli aspetti problematici connessi all'identificazione e alla ponderazione dei rischi per i responsabili dei rischi dei Dipartimenti e della Cancelleria federale.
Nel 2009 ci si è occupati di ponderare la probabilità che si verifichino rischi e di valutare le relative ripercussioni. Nella sua valutazione trasversale, il CDF ha giudicato suscettibile di miglioramento la formazione in materia di gestione dei rischi. Va infine osservato che il DFF valuta la possibilità di orientare la gestione dei rischi alla norma ISO-31000.
Le CdG giudicano positivamente questi sviluppi. Gli stessi mirano a un'armonizzazione della gestione dei rischi nelle unità amministrative e nei Dipartimenti, il che consente anche un raffronto più pertinente fra i vari rischi.
Durante la seduta del gruppo di lavoro del 30 novembre 2009, il direttore dell'AFF ha del resto dichiarato che l'AFF stava elaborando direttive sulla gestione globale dei rischi allineandosi ampiamente a quanto suggerito dal DFF nella «Politica dei rischi» pubblicata nel 2004 ma che, mediante regole e obiettivi più precisi, si sarebbe tentato di stabilire un'«unità di
dottrina». Tali direttive, da sottoporre al Consiglio federale a metà del 2010, soddisfano una delle principali richieste formulate in seguito alla verifica trasversale del CDF e sono accolte favorevolmente anche dalle CdG che le considerano necessarie.
Essendo il sistema ancora in una fase di adattamento, le CdG si rallegrano dei miglioramenti realizzati, pur constatando nel contempo che la fase di attuazione di questo importante progetto si protrae già da molto tempo (dal 2002).
2
DFF: Politica dei rischi. Basi per il risk management della Confederazione.
Dicembre 2004.
4975
3
Lacune persistenti e raccomandazioni
Permangono tuttavia delle lacune. I lavori delle CdG hanno chiaramente evidenziato quale problema principale l'assenza di controllo a livello di Confederazione.
Il concetto di decentramento attualmente perseguito dal Consiglio federale non procura allo stesso le informazioni di base necessarie a un controllo efficace della gestione dei rischi. Nella sua politica dei rischi, il Consiglio federale si è soprattutto posto l'obiettivo di ottenere una «panoramica sulla configurazione a livello di dipartimenti e unità amministrative».3 Le CdG sostengono energicamente questo obiettivo, constatando tuttavia che l'attuale sistema non garantisce, a livello federale, un'ottica globale dei rischi principali cui la Confederazione è esposta.
Secondo le CdG il sistema di gestione dei rischi dovrebbe non soltanto garantire una panoramica sui rischi principali della Confederazione, bensì rappresentare nel contempo anche uno strumento di controllo per il Consiglio federale. Tale esigenza permane tuttavia inadempiuta, come indicano d'altronde altre lacune constatate dalle CdG, riguardanti in particolare: 1.
l'eccessiva eterogeneità dei criteri di ponderazione dei rischi;
2.
l'insufficiente considerazione di ripercussioni non finanziarie;
3.
il differente utilizzo del sistema informatico R2C a seconda del Dipartimento;
4.
l'assenza di riscontro a destinazione dei Dipartimenti e delle unità amministrative e
5.
l'insufficiente considerazione di rischi trasversali.
Questi aspetti saranno ulteriormente precisati qui di seguito.
Sulla base di questa constatazione centrale relativa all'assenza di controllo a livello di Confederazione, le CdG raccomandano di introdurre un approccio top-down per sostenere e completare il concetto di decentramento della gestione dei rischi. Le CdG sono convinte che un simile approccio sia necessario affinché il Consiglio federale possa procurarsi una panoramica globale e utilizzare la gestione dei rischi quale efficace strumento di controllo a livello di Confederazione.
Le CdG sottolineano inoltre che tale approccio deve essere agevole e non deve sostituire il sistema attuale bensì integrarlo. L'approccio decentrato non è di per sé inadeguato e va perciò mantenuto. Neppure si tratta di trasferire la responsabilità dei rischi a un livello superiore: le unità amministrative devono continuare ad assumere la responsabilità dei propri rischi, poiché sono in grado di riconoscerli e di gestirli nel modo più efficace. Sulla base dei lavori delle CdG, sembra tuttavia essere irrinunciabile un progetto completato da un approccio più centrale.
Le CdG invitano il Consiglio federale a riconsiderare la costituzione di un centro di competenze in materia di gestione dei rischi. Incaricato di attuare l'approccio integrativo top-down, siffatto centro di competenze esplicherebbe che avrebbe inoltre effetti positivi sia sulla formazione e sull'accompagnamento dei responsabili dei rischi, sia sullo sviluppo di una comprensione più omogenea della gestione dei rischi e della cultura del rischio in generale.
3
DFF: Politica dei rischi. Basi per il risk management della Confederazione.
Dicembre 2004, pag. 2.
4976
L'idea di un centro di competenze non è nuova: da un lato, è già stata discussa in Consiglio federale quando si è deciso in merito al concetto di gestione dei rischi; dall'altro, riflette una richiesta che il CDF ha avanzato nella sua verifica trasversale basandosi su constatazioni simili a quelle formulate dalle CdG. La proposta rimane tutt'ora di attualità.
Raccomandazione 1: L'attuale approccio bottom-up è completato da un approccio top-down.
Il Consiglio federale è in particolare invitato a rafforzare l'approccio top-down esaminando la possibilità di creare un centro di coordinamento e di competenze.
Oltre a questa principale constatazione relativa al controllo da parte del Consiglio federale, le CdG hanno rilevato ulteriori lacune specifiche. In particolare esse individuano un potenziale di ottimizzazione nei seguenti aspetti: 1.
Criteri di ponderazione dei rischi Attualmente questi criteri variano a seconda del Dipartimento. Le direttive della Confederazione sono formulate in maniera assai generale e taluni Dipartimenti o certe unità amministrative le hanno perciò integrate con criteri propri. Questo stato di cose è insoddisfacente non permettendo un efficace raffronto dei rischi nel quadro di una panoramica globale. Il Consiglio federale sembra tuttavia avere preso atto del problema e le nuove direttive annunciate dal direttore dell'AFF dovrebbero porvi rimedio. Le CdG si aspettano che il Consiglio federale crei una «unità di dottrina» anche riguardo ai criteri di ponderazione dei rischi, affinché gli stessi risultino effettivamente comparabili a livello di Confederazione.
Raccomandazione 2: Il Consiglio federale stabilisce direttive ai fini di criteri uniformi nella ponderazione dei rischi e provvede affinché esse siano applicate.
2.
Ripercussioni non finanziarie nella ponderazione dei rischi Le CdG constatano che, nel sistema di ponderazione dei rischi della Confederazione, i rischi sono trattati principalmente dal profilo finanziario. Le due dimensioni di ponderazione essenziali sono le ripercussioni finanziarie (potenziale entità dei danni) e la probabilità che si verifichino rischi. Nelle direttive del 2004 non sono considerate le ripercussioni non finanziarie. Dalle audizioni è inoltre emerso che, riguardo a questo tipo di ripercussioni, la prassi nei Dipartimenti è eterogenea. Le CdG raccomandano quindi al Consiglio federale di assicurarsi che i rischi principali con ripercussioni a priori non di natura finanziaria siano considerati in maniera sistematica e per quanto possibile omogenea nei Dipartimenti.
4977
Raccomandazione 3: Il Consiglio federale provvede affinché nella ponderazione dei rischi della Confederazione, i rischi principali con ripercussioni a priori non di natura finanziaria siano considerati in modo sistematico e omogeneo.
3.
Utilizzo del sistema informatico R2C Il sistema informatico R2C riveste un'importanza diversa a seconda dei singoli Dipartimenti che lo impiegano in maniera più o meno rigorosa. Con questo strumento, taluni rischi principali non sono volutamente rilevati in quanto tali. Un esempio in tal senso è la pandemia di influenza A in seno al Dipartimento federale dell'interno (DFI): sebbene a livello di UFSP certi aspetti del rischio siano contenuti in sottocategorie (quali le «azioni di risarcimento e di responsabilità dovute a informazioni che guidano il comportamento»), la pandemia di influenza non è documentata come rischio a sé stante. Per tale motivo essa non può essere integrata come rischio principale nel rapporto all'attenzione del Consiglio federale, cosa ritenuta insoddisfacente dalle CdG.
Nel DDPS i rischi inerenti all'esercito non sono ripresi nel sistema R2C per ragioni di sicurezza. L'esclusione di una parte dei rischi dal sistema R2C riduce però fortemente la qualità del rapporto sui rischi all'attenzione del Consiglio federale. Considerata la necessità di un rapporto atto a consentire una panoramica complessiva, questa situazione si rivela problematica ed è perciò ritenuta insoddisfacente dalle CdG.
Nella sua verifica trasversale del 7 luglio 2008, il CDF è inoltre giunto alla conclusione che le riserve espresse dal DDPS in merito alla protezione delle informazioni non siano del tutto infondate. Per tale motivo, ha raccomandato di rielaborare il concetto di sicurezza dell'applicazione informatica. Le CdG sostengono la raccomandazione, sempre che essa serva al rilevamento completo dei rischi individuati.
Raccomandazione 4: Il Consiglio federale provvede affinché tutte le unità amministrative utilizzino lo stesso strumento per gestire i rischi individuati. A tale scopo, prende le misure necessarie a garantire una sufficiente protezione delle informazioni.
4.
4978
Riscontri Numerosi responsabili della gestione dei rischi hanno deplorato la mancanza di riscontri su comunicazioni di rischi da inserire nel rapporto all'attenzione del Consiglio federale. Anche il CDF segnala che le unità amministrative si sarebbero lamentate dell'assenza di riscontri sui rischi da esse individuati e segnalati. Senza riscontri da parte dei Dipartimenti e del Consiglio federale risulta però assai difficile migliorare le modalità di rilevamento e di trattamento dei rischi a livello di unità amministrative e di Dipartimenti; inoltre questo stato di cose aumenta le incertezze riguardo alla qualità del rapporto.
Raccomandazione 5: Il Consiglio federale provvede affinché nel quadro della ridefinizione del concetto di gestione dei rischi, i riscontri a destinazione dei Dipartimenti e fino alle unità amministrative siano integrati quale strumento di controllo in tale concetto.
5.
Rischi trasversali Il CDF e le CDG ritengono che non siano sufficientemente considerati i rischi aventi una causa unica o costituenti una minaccia collettiva (è il caso ad es. delle catastrofi naturali quali terremoti o eruzioni vulcaniche, guasti alla rete di telecomunicazione o rischio di corruzione) e che non sono specifici a un Dipartimento. Va ricordato che la maggior parte delle persone sentite reputa necessario intensificare lo scambio di informazioni fra i Dipartimenti. Il coordinamento interdipartimentale si svolge principalmente attraverso la Conferenza dei segretari generali (CSG); manca però un concetto che permetta di individuare sistematicamente i rischi trasversali e di sfruttare sinergie in questo ambito. Dalle audizioni è poi emerso che determinati responsabili della gestione dei rischi hanno assunto iniziative personali per coordinarsi in maniera rudimentale e informale. Secondo le CdG queste iniziative riflettono la mancanza di un concetto efficace per la gestione dei rischi trasversali.
Le CdG ritengono quindi che il sistema attuale non consenta al Consiglio federale di procurarsi una panoramica globale sulla situazione di rischio, inclusa la portata interdipartimentale di taluni rischi. Si aspettano che il Consiglio federale elimini questi difetti entro il 2011 e che si tenga conto di questo già nel rapporto 2010.
Raccomandazione 6: Il Consiglio federale prende misure opportune affinché i rischi trasversali siano adeguatamente individuati e documentati già nel rapporto 2010, ad esempio in un allegato che fornisca spiegazioni sui rischi trasversali consolidati.
Vi invitiamo a esprimervi sul presente rapporto entro il 26 agosto 2010, indicando le misure e le scadenze previste dal Consiglio federale per attuare le raccomandazioni delle CdG.
4979
Vogliate gradire, onorevole Presidente della Confederazione, onorevoli Consiglieri federali, l'espressione della nostra alta considerazione.
28 maggio 2010
In nome delle Commissioni della gestione: La presidente della Commissione della gestione del Consiglio nazionale: Maria Roth-Bernasconi, Consigliera nazionale Il presidente della Commissione della gestione del Consiglio degli Stati: Claude Janiak, Consigliere agli Stati La presidente del Gruppo di lavoro «Rapporto sui rischi all'attenzione del Consiglio federale»: Helen Leumann-Würsch, Consigliera agli Stati La segretaria: Beatrice Meli Andres
4980