Rapporto sui rischi all'attenzione del Consiglio federale Rapporto della Commissione della gestione del Consiglio nazionale e del Consiglio degli Stati del 28 maggio 2010 Parere del Consiglio federale del 18 agosto 2010
Onorevoli presidenti e consiglieri, il Consiglio federale ha preso conoscenza del rapporto del 28 maggio 2010 delle Commissioni della gestione (CdG). Nel presente parere si esprime, come auspicato dalle CdG, in merito ai problemi e alle lacune identificati nella gestione dei rischi della Confederazione in generale (cfr. n. 2) e alle singole raccomandazioni in particolare (cfr. n. 3).
Gradite, onorevoli presidenti e consiglieri, l'espressione della nostra alta considerazione.
18 agosto 2010
In nome del Consiglio federale svizzero: La presidente della Confederazione, Doris Leuthard La cancelliera della Confederazione, Corina Casanova
2010-1412
4981
Parere 1
Introduzione
Con la presentazione della propria «Politica dei rischi» nel dicembre del 2004 il Consiglio federale aveva posto le basi della gestione dei rischi in seno alla Confederazione. Il documento pubblicato all'epoca non apportava nulla di fondamentalmente nuovo. Tuttavia, per la prima volta, il Consiglio federale aveva riunito in un quadro normativo l'oggetto, gli obiettivi e i processi di una moderna gestione dei rischi da attuare all'interno della Confederazione, basandosi sulle esperienze maturate da numerose unità amministrative nel corso degli anni.
La Confederazione svolge un ampio ventaglio di compiti. I rischi cui è esposta a seguito di queste attività variano fortemente sia per la loro natura sia per le possibili conseguenze. Anche le situazioni e le aspettative in seno alle unità amministrative e ai Dipartimenti sono molto diverse in fatto di gestione dei rischi. È per queste ragioni che il Consiglio federale ha deciso di mettere in atto un concetto di decentramento. Esso ritiene altresì importante che l'impostazione della gestione dei rischi della Confederazione consenta una certa flessibilità e che il rapporto costi-benefici degli strumenti di pianificazione e di controllo sia vantaggioso.
Dalla sua introduzione nell'Amministrazione federale la gestione dei rischi è sottoposta a un continuo processo di sviluppo. Le CdG riconoscono giustamente che si sono fatti notevoli progressi. D'altra parte, la possibilità di conseguire ulteriori miglioramenti è evidente. Il Consiglio federale concorda con le CdG sulla necessità di definire priorità specialmente in merito al consolidamento dei rischi a livello di Confederazione e all'attuazione uniforme della gestione dei rischi nei Dipartimenti e nelle unità amministrative. Esso si è già mosso in questa direzione.
2
Problemi e lacune nella gestione dei rischi della Confederazione e miglioramenti intrapresi
2.1
Consolidamento dei rischi a livello di Confederazione
Per le CdG il problema principale è «l'assenza di controllo a livello di Confederazione». Il concetto di decentramento deciso dal Consiglio federale non permetterebbe a quest'ultimo di avere un'ottica globale dei rischi principali cui la Confederazione è esposta. Inoltre, la gestione dei rischi non rappresenterebbe uno strumento di controllo per il Consiglio federale.
Questa critica riguarda il consolidamento tutt'ora insufficiente secondo il Consiglio federale dei rischi segnalati dai Dipartimenti e dalla Cancelleria federale. Il problema è stato riconosciuto già da tempo e nel gennaio del 2010 si è deciso di completare l'attuale approccio bottom-up con un approccio top-down. Nell'ambito del rapporto sui rischi i compiti della Conferenza dei segretari generali (CSG) sono stati precisati nel seguente modo: 1.
4982
determinati rischi o settori di rischi si presentano in forma più o meno simile in numerosi o addirittura in tutti i Dipartimenti. Ci si chiede quindi se sia possibile e ragionevole analizzare e descrivere ampiamente questi «rischi
trasversali» a livello di Consiglio federale. Una siffatta aggregazione ha senso solo se genera valore aggiunto. Se un rischio classificato più o meno alto in diversi Dipartimenti rappresenta un rischio importante per l'insieme della Confederazione, la trasparenza relativamente all'esposizione della Confederazione a questo rischio aggregato esige che il Consiglio federale ne sia informato. L'adozione di una misura decisa e attuata di comune accordo da tutti i Dipartimenti nonché finalizzata a ridurre in modo più efficiente o economicamente più vantaggioso un rischio potrebbe apportare un netto valore aggiunto. In una prima fase si esamineranno pertanto in dettaglio le possibilità di aggregazione e di una gestione dei rischi interdipartimentale nei settori «perdita di dati TIC», «caduta del sistema TIC», «protezione delle informazioni» e «minacce nei confronti dei collaboratori». Il Consiglio federale sarà messo al corrente dei risultati di questi lavori nel quadro del rapporto sui rischi 2010.
2.
I Dipartimenti e la Cancelleria federale segnalano annualmente al Consiglio federale i rischi che considerano maggiori. Tra questi vi sono quelli di cui bisogna tenere conto dal punto di vista dell'insieme della Confederazione.
Nell'ambito del rapporto sui rischi 2010 la CSG avrà il compito di identificare e segnalare al Consiglio federale tali rischi.
3.
Non si può garantire che i rapporti sui rischi presentati dai Dipartimenti contengano tutti i principali rischi per l'insieme della Confederazione. Una verifica della completezza dei suddetti rapporti da parte della CSG è dunque indispensabile.
2.2
Attuazione uniforme della gestione dei rischi nei Dipartimenti e nelle unità amministrative
Il consolidamento a livello di Confederazione presuppone che i rischi siano gestiti nei Dipartimenti e nelle unità amministrative secondo gli stessi principi. Solo una gestione uniforme e per quanto possibile omogenea dei rischi in seno ai Dipartimenti e alla Cancelleria federale permette di confrontare i singoli rischi. Per raggiungere questo obiettivo, vengono attuate le seguenti misure: 1.
la «Politica dei rischi» perseguita attualmente dal Consiglio federale non definisce in dettaglio i processi interni ai Dipartimenti. Non prescrive neppure un elenco degli obblighi per i gestori dei rischi (a livello di Dipartimento), per i coach che intervengono nella gestione dei rischi (a livello di unità amministrativa) e per le altre persone coinvolte nei processi (responsabile dei rischi, responsabile delle misure ecc.). Di conseguenza, neppure la politica dei rischi è sempre attuata in modo uniforme all'interno dei Dipartimenti. In molti casi, questi potrebbero accompagnare e sostenere meglio le unità amministrative. Il gestore dei rischi del Dipartimento dovrebbe stabilire in modo uniforme e vincolante le modalità di rilevamento dei rischi (responsabilità, piani delle misure, cause, valutazioni ecc.). Eventuali problemi devono essere riconosciuti e corretti. Inoltre, in ogni Dipartimento bisognerebbe definire in maniera centralizzata il livello a partire dal quale è necessaria la segnalazione del rischio al Dipartimento. Occorre altresì fissare principi chiari su cui basare la strategia in materia di rischi. Se mancano le direttive strategiche, nei Dipartimenti non può diffondersi un linguaggio comune 4983
nell'ambito dei rischi ed è difficile a livello di Dipartimento identificare ed eventualmente aggregare gli stessi rischi. Per questa ragione, nel maggio del 2009 la CSG ha approvato diverse misure volte a migliorare i processi interni ai Dipartimenti, in particolare un piano standardizzato dei processi.
2.
Nella sua attività di coordinamento della gestione dei rischi, l'Amministrazione federale delle finanze (AFF) svolge periodicamente, insieme ai gestori dei rischi dei Dipartimenti e della Cancelleria federale, seminari in cui si affronta un ampio spettro di temi legati allo sviluppo della gestione dei rischi a livello di Confederazione. L'obiettivo delle discussioni è sviluppare una percezione uniforme dei rischi e contribuire a un'attuazione omogenea della politica dei rischi nei Dipartimenti e nelle unità amministrative.
3.
Dall'estate del 2010 l'Ufficio federale del personale (UFPER) organizza in collaborazione con l'AFF e la Cancelleria federale (Formazione alla gestione delle crisi da parte della Confederazione) e sotto la direzione di un esperto esterno (dr. Bruno Brühwiler, Euro Risk Limited, Zurigo) il corso «Risiken verstehen und bewältigen; Umsetzen des Risikomanagements in der Bundesverwaltung» (capire ed affrontare i rischi; attuazione della gestione dei rischi nell'Amministrazione federale). I destinatari sono i gestori dei rischi dei Dipartimenti e della Cancelleria federale nonché i coach che intervengono nella gestione dei rischi delle unità amministrative. Il Consiglio federale è convinto che questa formazione concepita su misura per la Confederazione i cui fruitori sono gli specialisti nel campo dei rischi consenta di dare un ulteriore contributo all'attuazione professionale e uniforme della gestione dei rischi.
4.
La «Politica dei rischi» del Consiglio federale, che risale al 2004, è attualmente oggetto di una revisione totale. Essa deve essere adeguata in funzione sia delle esperienze maturate nel frattempo sia degli sviluppi sul piano internazionale inerenti alla gestione dei rischi. Le nuove istruzioni concernenti la politica dei rischi della Confederazione comprenderanno principi e decisioni che determineranno a lungo termine il comportamento verso l'interno e verso l'esterno dell'Amministrazione federale e dei suoi dirigenti nei confronti dei rischi. Esse dovrebbero entrare in vigore presumibilmente nel corso del 2010. Su tale base l'AFF emanerà le direttive sulla gestione dei rischi. Queste regolamenteranno i dettagli dell'attuazione della gestione dei rischi in seno ai Dipartimenti e alla Cancelleria federale fondandosi in particolare sulla norma ISO 31000 e creeranno la base per garantire un'«unità di dottrina» e quindi la comparabilità dei rischi.
2.3
Conclusione
Il Consiglio federale condivide ampiamente l'analisi dei problemi e le proposte di miglioramento sottoposte dalle CdG. Sta procedendo all'introduzione dell'approccio top-down nell'ambito del consolidamento dei rischi a livello di Confederazione per sostenere e completare il concetto di decentramento raccomandato dalle CdG. Il Consiglio federale si dichiara d'accordo a rafforzare l'attività di coordinamento dell'AFF derivante dal suddetto approccio, a condizione che il Parlamento approvi le risorse necessarie al riguardo. In tal senso, esso è disposto a proporre al Parlamento un aumento moderato delle risorse. Ribadisce per contro il proprio rifiuto a creare 4984
un vero e proprio centro di competenze per la gestione dei rischi. I Dipartimenti e le unità amministrative dovranno assumersi la responsabilità principale nel proprio settore come hanno fatto sinora.
3
Parere in merito alle singole raccomandazioni Raccomandazione 1: L'attuale approccio bottom-up è completato da un approccio top-down.
Il Consiglio federale è in particolare invitato a rafforzare l'approccio top-down esaminando la possibilità di creare un centro di coordinamento e di competenze.
A questo proposito si rinvia alle spiegazioni fornite ai numeri 2.1 e 2.3. Un approccio integrativo top-down è indispensabile a tutti i livelli nella gestione dei rischi della Confederazione ed è in elaborazione. La sua attuazione non richiede però necessariamente la creazione di un vero e proprio centro di competenze, che potrebbe interferire nelle competenze dei Dipartimenti e della Cancelleria federale. Il Consiglio federale ritiene che per il momento sia sufficiente potenziare moderatamente le risorse per l'attività di coordinamento dell'AFF.
Raccomandazione 2: Il Consiglio federale stabilisce direttive ai fini di criteri uniformi nella ponderazione dei rischi e provvede affinché esse siano applicate.
Nelle menzionate istruzioni concernenti la politica dei rischi della Confederazione, il Consiglio federale stabilirà i principi e i parametri di tale politica. I dettagli dell'attuazione della gestione dei rischi saranno per contro regolamentati nelle direttive dell'AFF. È ovvio che tutti i rischi devono essere valutati secondo gli stessi criteri, altrimenti non sarebbero paragonabili. Occorre quindi fissare criteri di valutazione uniformi e vincolanti.
Raccomandazione 3: Il Consiglio federale provvede affinché nella ponderazione dei rischi della Confederazione, i rischi principali con ripercussioni a priori non di natura finanziaria siano considerati in modo sistematico e omogeneo.
Le ripercussioni non finanziarie dei rischi (cattivo funzionamento dell'attività del Governo e dell'Amministrazione, deterioramento della reputazione) sono già considerate attualmente criteri di valutazione sussidiari nell'ambito della gestione dei rischi a livello di Confederazione. I gestori dei rischi dei Dipartimenti e della Cancelleria federale hanno elaborato a tal fine una matrice relativa alla portata dei danni.
Tuttavia, l'impiego di questi criteri di valutazione non è molto facile. Nelle direttive 4985
dell'AFF sulla gestione dei rischi si dovranno fissare criteri di valutazione per quanto possibili uniformi e compatibili con la prassi.
Raccomandazione 4: Il Consiglio federale provvede affinché tutte le unità amministrative utilizzano lo stesso strumento per gestire i rischi individuati. A tale scopo, prende le misure necessarie a garantire una sufficiente protezione delle informazioni.
Attualmente tutti i rischi rilevanti per i Dipartimenti e la Cancelleria federale sono descritti, gestiti, controllati, sorvegliati, documentati mediante un'unica applicazione informatica comune. Solo in questo modo è possibile presentare al Consiglio federale un rapporto sui rischi che fornisca dati rappresentativi e che comporti un dispendio ragionevole. Un'esigenza, questa, il cui rispetto deve essere stabilito anche nelle istruzioni concernenti la politica dei rischi della Confederazione. Si evidenzia inoltre che la verifica del piano relativo alla sicurezza informatica e alla protezione dei dati proposta nell'estate del 2008 dal Controllo federale delle finanze (CDF) si è nel frattempo effettuata e conclusa. I miglioramenti necessari sono già stati messi in atto.
Raccomandazione 5: Il Consiglio federale provvede affinché nel quadro della ridefinizione del concetto di gestione dei rischi, i riscontri a destinazione dei Dipartimenti e fino alle unità amministrative siano integrati quale strumento di controllo in tale concetto.
Il Consiglio federale concorda con le CdG che, nell'ambito dello scambio di informazioni tra i diversi livelli nella gestione dei rischi (Consiglio federale, Dipartimenti, unità amministrativa) sussiste ancora un potenziale di ottimizzazione. Nelle direttive dell'AFF sulla gestione dei rischi bisognerà prestare la dovuta attenzione a tale aspetto.
Raccomandazione 6: Il Consiglio federale prende misure opportune affinché i rischi trasversali siano adeguatamente individuati e documentati già nel rapporto 2010, ad esempio in un allegato che fornisca spiegazioni sui rischi trasversali consolidati.
Come è già stato spiegato dettagliatamente nel numero 2.1, il Consiglio federale intende affrontare gradualmente il problema dei «rischi trasversali». Non si tratta di rilevare meccanicamente i rischi dei Dipartimenti, ma (e soprattutto) di prendere in considerazione anche le interazioni dei
vari rischi e aspetti. Gli specialisti TIC hanno già tenuto alcune sedute di lavoro. I primi risultati saranno portati a conoscenza del Consiglio federale nel quadro del rapporto sui rischi 2010.
4986