Per controlli interni si intendono tutti gli strumenti necessari o utili a indirizzare, gestire e verificare le attività dell’impresa con l’obiettivo di assicurare il rispetto delle leggi e delle procedure, proteggere i beni della Società, la salute e la sicurezza delle persone, gestire efficientemente le attività e fornire dati contabili e finanziari accurati e completi.
Le procedure di controllo interno sono adottate al fine di scongiurare l’attribuzione della cosiddetta colpa organizzativa nella qualei, ai sensi del D.Lgs. 231/01, un’azienda potrebbe incorrere.
Conseguentemente, le procedure interne regolamentano le modaòità di svolgimento delle attività a rischio, delimitando i ruoli, i poteri, i compiti e le responsabilità delle funzioni interessate, nel rispetto dei principi dettati dl D.Lgs. 231/01 e, nello specifico, dal Modello e dal Codice Etico.
Tutte le PCI prevedono la nomina di un soggetto referente responsabile per il corretto svolgimento delle attività aziendali coinvolte nelle aree a rischio, con obbligo di opsservare (e far osservare ai soggetti sotto la propria direzione) le previsione contenute nelle procedure stesse.
Il soggetto referente è inoltre tenuto all’applicazione concreta delle previsioni indicate e a fungere da soggetto di riferimento, nel rispettivo settore di competenza per lo svolgimento delle funzioni di controllo e di verifrica da parte dell’OdV.
In allegato a ciascuna procedura è prevista una scheda da compilarsi da parte del soggetto referente in occasione dell’esecuzione di ogni operazione a rischio.
Nela scheda sono riportati gi estremi principali dell’operazione al fine di conferirle evidenza documentale, agevolando altresì i controlli da parte dell’OdV che è tenuto a verificarne la conformità.
Vendita di servizi
Il processo si riferisce alle attività svolte per la fornitura di servizi a favore di soggetti pubblici sulla base di contratti stipulati a seguito di procedure negoziate o ad evidenza pubblica in base a gare di appalto
Il processo si articola nelle seguenti fasi:
- Acquisizione delle informazioni relative alla gara, nel caso di evidenza pubblica, o contatto con il soggetto pubblico, nel caso di procedure negoziate
- Preparazione dell’offerta e partecipazione alla gara, nel caso di evidenza pubblica, o negoziazione con il soggetto pubblico, nel caso di trattative private
- Stipulazione ed esecuzione contrattuale e collaudo/verifica
- Fatturazione, gestione del credito, incassi ed eventuali contestazioni
Procedimenti giudiziali ed arbitrali
Il processo concerne tutte le attività di gestione dei contenziosi (incluse le fasi di pre-contenzioso), riconducibili a procedimenti giudiziali ed arbitrali con qualsiasi soggetto terzo. Il processo si articola nelle seguenti fasi:
- Analisi preliminare e pre-contenzioso
- Apertura del contenzioso o dell’arbitrato
- Gestione del procedimento
- Conclusione con sentenza o lodo arbitrale
Autorizzazioni e rapporti con le istituzioni
I processi relativi all’ottenimento di autorizzazioni e in generale alla gestione dei rapporti con le istituzioni si riferiscono alle attività svolte per l’ottenimento (e successiva gestione del rapporto con la Pubblica Amministrazione) di qualsiasi genere di licenza, concessione, autorizzazione, tra le quali ad esempio:
- Autorizzazioni relative all’esercizio d’impresa
- Autorizzazioni specifiche in materia di sicurezza sul lavoro o di tutela ambientale
Tali processi presentano uno sviluppo sostanzialmente analogo, articolato nelle seguenti fasi:
- Contatto con la Pubblica Amministrazione per la rappresentazione dell’esigenza, inoltro della richiesta, con eventuale negoziazione di specifiche tecnico-progettuali e di clausole contrattuali
- Rilascio dell’autorizzazione/concessione o stipulazione del contratto/gestione dei rapporti in costanza di autorizzazione/concessione o esecuzione contrattuale, con conclusiva verifica e/o collaudo
- Gestione di ispezioni/accertamenti e/o dell’eventuale contenzioso
Adempimenti per attività di carattere ambientale / sicurezza lavoro
Il processo è composto dalle attività necessarie a garantire il rispetto delle normative in materia di tutela ambientale e salute e sicurezza sul lavoro, e a certificare l’attuazione degli adempimenti agli organismi pubblici preposti ai controlli.
Il processo si articola sostanzialmente in due fasi:
- Gestione degli adempimenti in materia di tutela dell’ambiente
- Gestione di ispezioni e verifiche
Finanza dispositiva
Il processo si riferisce alle attività riguardanti i flussi monetari e/o finanziari in entrata e in uscita aventi l’obiettivo di assolvere le obbligazioni e i crediti di varia natura della società
I flussi suddetti di natura ordinaria, sono quelli connessi ad attività/operazioni correnti (ad esempio., acquisti di beni, servizi e licenze, oneri finanziari, fiscali e previdenziali, stipendi e salari)
Il processo per i flussi in uscita si articola nelle seguenti fasi:
- Pianificazione del fabbisogno finanziario periodico e/o spot e comunicazione alla funzione competente
- Predisposizione (da parte di quest’ultima) dei fondi monetari e/o finanziari necessari, alle date e presso gli sportelli bancari richiesti
- Richiesta di disposizione di pagamento
- Destinazione dell’importo conformemente alle indicazioni dell’interessato
- Verifica dei flussi di cassa in uscita
Il processo per i flussi in entrata si articola nelle seguenti fasi:
- Fatturazione delle attività
- Analisi dei crediti e verifica delle scadenze di incasso
- Verifica dei flussi di cassa in ingresso
Accordi transattivi
Il processo concerne tutte le attività necessarie a prevenire o dirimere una controversia con soggetti terzi; tali attività sono finalizzate, in particolare, a consentire di accordarsi con terzi, mediante reciproche concessioni, evitando di instaurare un procedimento giudiziario
Le controversie possono derivare sia da un rapporto contrattuale, sia da responsabilità pre-contrattuali ed extracontrattuali (ad esempio: insorgere della lite a seguito di danni provocati da terzi alla società e viceversa)
Il processo si articola nelle seguenti fasi:
- Analisi dell’evento da cui deriva la controversia
- Esame dell’esistenza dei presupposti per addivenire alla transazione
- Gestione delle attività finalizzate alla definizione e formalizzazione della transazione
- Redazione, stipula ed esecuzione dell’accordo transattivo
Acquisti di beni e servizi
Il processo di acquisizione di beni e servizi si articola nelle seguenti fasi:
Pianificazione fabbisogni e budget e definizione del programma di acquisto
Emissione della richiesta di acquisto
Scelta della fonte d’acquisto e formalizzazione contrattuale
Gestione operativa del contratto/ordine (esecuzione prestazioni/consegna beni)
Rilascio benestare, contabilizzazione e pagamento fatture
Selezione ed assunzione del personale
Il processo di selezione e assunzione del personale è costituito da tutte le attività necessarie alla costituzione del rapporto di lavoro tra la società e una persona fisica
Il processo viene attivato per tutti i segmenti professionali di interesse (manager, neo-laureati, neo-diplomati, etc.,) e si articola, sostanzialmente, nelle seguenti fasi:
- Acquisizione e gestione dei curricula-vitae
- Selezione
- Formulazione dell’offerta ed assunzione
Consulenze e prestazioni professionali
Il processo riguarda l’assegnazione di incarichi di consulenza e prestazioni professionali a soggetti terzi e pertanto si configura, pur nella specificità dell’oggetto contrattuale, come un processo d’acquisizione, articolato nelle seguenti fasi:
- Definizione del budget
- Emissione della richiesta di consulenza e/o prestazione professionale
- Scelta della fonte d’acquisto e formalizzazione del contratto
- Gestione operativa del contratto
- Rilascio benestare, contabilizzazione e pagamento fatture
Sponsorizzazioni, liberalità e no-profit
Il processo concerne:
- Il sostenimento di spese a favore di soggetti terzi per l’esposizione del marchio e la promozione dell’immagine della società
- L’effettuazione di donazioni e/o elargizioni a favore di soggetti terzi (organismi ed enti no profit)
- L’assunzione di iniziative di carattere umanitario e culturale, sociale e sportivo, quali interventi concreti per creare un valore aggiunto agli azionisti e agli stakeholder anche in termini etici, civili e morali
Il processo si articola nelle seguenti fasi:
- Individuazione delle iniziative
- Formalizzazione dell’impegno
- Gestione operativa
- Rilascio benestare, contabilizzazione e pagamento fatture
Gestione fondi pubblici
Il processo si riferisce a tutte le attività di richiesta, ottenimento, gestione e rendicontazione di contributi, sovvenzioni, o finanziamenti da parte dello stato o altro ente pubblico, dall’Unione Europea, destinati a favorire iniziative dirette alla realizzazione di:
- Investimenti produttivi
- Innovazione tecnica e tecnologica
- Ricerca e sviluppo di prodotto o di sistemi produttivi
- Formazione del personale
La presente procedura costituisce un sistema di controllo interno per l’adeguamento della struttura organizzativa ai fini del D.Lgs. 231/01 riferiti, in particolare, ai rischi connessi a:
- Corruzione
- Reati in tema di erogazioni pubbliche
- Reati societari
Segnalazioni all’OdV
La presente procedura ha lo scopo di istituire chiari ed identificati canali informativi idonei a garantire la ricezione, l’analisi ed il trattamento di segnalazioni – anche in forma anonima – relative alle violazioni del Modello e/o del Codice Etico e di definire le attività necessarie alla loro corretta gestione da parte dell’OdV.
Gestione degli adempimenti in materia ambientale
- Devono essere richieste e preventivamente acquisite tutte le autorizzazioni, nonché devono essere effettuate le comunicazioni o le iscrizioni ambientali necessarie per lo svolgimento della propria attività (lavorazioni, impianti, scarichi idrici, gestione rifiuti e, eventualmente emissioni in atmosfera)
- Devono essere valutati i potenziali rischi e sviluppare adeguati programmi di prevenzione a tutela dell’ambiente interessato dalle opere
- Si devono rispettare scrupolosamente tutte le prescrizioni contenute negli atti autorizzativi
- L’attività di gestione e smaltimento dei rifiuti deve essere svolta con la massima cura ed attenzione con particolare riferimento alla caratterizzazione dei rifiuti, alla gestione dei depositi temporanei, al divieto di miscelazione dei rifiuti siano essi pericolosi o non pericolosi
- In sede di affidamento delle attività di smaltimento o recupero di rifiuti alle imprese autorizzate deve essere verificata:
o la data di validità dell’autorizzazione
o la tipologia e la quantità di rifiuti per i quali è stata rilasciata l’autorizzazione ad esercitare attività di smaltimento / recupero
o la localizzazione dell’impianto di smaltimento
o il metodo di trattamento o recupero - In fase di esecuzione delle attività di trasporto di rifiuti alle imprese autorizzate deve essere verificata:
o la data di validità dell’autorizzazione
o la tipologia e la targa del mezzo
o i codici CER autorizzati - Deve essere costantemente vigilata la corretta gestione dei rifiuti segnalando eventuali irregolarità alle Strutture competenti al fine di porre in essere le conseguenti azioni di tipo amministrativo e contrattuale oltre che le eventuali azioni di tipo legale dinanzi alle autorità competenti
Rimborsi spese, anticipi e spese di rappresentanza
- Non devono essere ammessi anticipi o rimborsi delle spese sostenute direttamente dai soggetti esterni, in particolare da rappresentanti della Pubblica Amministrazione che beneficiano di ospitalità
- La gestione dei rimborsi spese deve avvenire in accordo con la normativa, anche fiscale, applicabile
- I processi di autorizzazione e controllo delle trasferte devono essere sempre ispirati a criteri di economicità e di massima trasparenza, sia nei confronti della regolamentazione aziendale interna che nei confronti delle leggi e delle normative fiscali vigenti
- Nello svolgimento di attività di servizio devono essere sempre ricercate le soluzioni più convenienti, sia in termini di economicità che di efficienza operativa
- Il sostenimento di spese di rappresentanza deve soddisfare il concetto di “opportunità” della spesa, in linea pertanto con gli obiettivi aziendali
Flussi monetari e finanziari
- Deve essere assicurata la ricostruzione delle operazioni attraverso l’identificazione della clientela e la registrazione dei dati in appositi archivi
- Deve essere sempre prevista la rilevazione e l’analisi di pagamenti/incassi ritenuti anomali per controparte, importo, tipologia, oggetto, frequenza o entità sospette
- Devono essere immediatamente interrotte o, comunque, non deve essere data esecuzione ad operazioni di incasso e pagamento che vedano coinvolti soggetti operanti, anche in parte, in Stati segnalati come non cooperativi secondo le indicazioni di organismi nazionali e/o sopranazionali operanti nell’antiriciclaggio e nella lotta al terrorismo
- Devono essere stabiliti limiti all’autonomo impiego delle risorse finanziarie, mediante la fissazione di soglie quantitative coerenti alle competenze gestionali e alle responsabilità organizzative affidate alle singole persone
- Le operazioni che comportano utilizzo o impiego di risorse economiche (acquisizione, gestione, trasferimento di denaro e valori) o finanziarie devono avere sempre una causale espressa e essere documentate e registrate in conformità con i principi di professionalità e correttezza gestionale e contabile. Il processo operativo e decisionale deve essere tracciabile e verificabile nelle singole operazioni
- Deve essere verificata la regolarità dei pagamenti con riferimento alla piena coincidenza dei destinatari/ordinanti i pagamenti e le controparti effettivamente coinvolte nella transazione; in particolare dovrà essere precisamente verificato che vi sia coincidenza tra il soggetto a cui è intestato l’ordine e il soggetto che incassa le relative somme
- Deve essere previsto il divieto di utilizzo del contante, ad eccezione dell’uso per importi non significativi della cassa interna, per qualunque operazione di incasso, pagamento, trasferimento fondi, impiego o altro utilizzo di disponibilità finanziarie nonché il divieto di accettazione ed esecuzione di ordini di pagamento provenienti da soggetti non identificabili
- Per la gestione dei flussi in entrata e in uscita, devono essere utilizzati esclusivamente i canali bancari e di altri intermediari finanziari accreditati e sottoposti alla disciplina dell’Unione europea o enti creditizi/finanziari situati in uno Stato extracomunitario, che imponga obblighi equivalenti a quelli previsti dalle leggi sul riciclaggio e preveda il controllo del rispetto di tali obblighi
- Devono essere vietati i flussi sia in entrata che in uscita in denaro contante, salvo che per tipologie minime di spesa espressamente autorizzate dalla funzione amministrazione, ed in particolare per le operazioni di piccola cassa.
Gestione del contenzioso
- Nell’ambito della regolamentazione interna devono essere definiti:
o i limiti delle deleghe di spesa dei soggetti coinvolti nella gestione del contenzioso
o i criteri di individuazione di legali esterni per la gestione dei contenziosi - L’articolazione del processo deve garantire la segregazione funzionale tra:
o coloro che hanno la responsabilità di gestire il contenzioso, anche mediante l’ausilio di legali esterni
o coloro che hanno la responsabilità di imputare a budget le spese legali da sostenere
o coloro che hanno la responsabilità di verificare il rispetto delle deleghe di spesa e di poteri conferiti ed il rispetto dei criteri definiti per la scelta dei legali e la natura e la pertinenza degli oneri legali sostenuti - Deve essere garantita la tracciabilità delle singole fasi del processo, per consentire la ricostruzione delle responsabilità, delle motivazioni delle scelte effettuate e delle fonti informative utilizzate
Negoziazione, sottoscrizione ed esecuzione dei contratti con soggetti privati
- Le operazioni commerciali devono essere supportate da adeguata documentazione, secondo le modalità specifiche previste dalle procedure aziendali applicabili al processo in oggetto, e devono avvenire entro le linee guida stabilite dalla Società
- Con riferimento all’identificazione della clientela devono essere richieste tutte le informazioni necessarie, utilizzando ogni strumento o fonte informativa idonea a tal fine
- Deve essere effettuato un confronto tra il prezzo dell’offerta rispetto a quello di mercato e un eventuale passaggio autorizzativo in caso di scostamenti significativi
Rapporti con enti pubblici, Autorità di vigilanza e Pubblica sicurezza
- Le funzioni interessate dovranno dotarsi di un calendario/scadenzario per quanto riguarda gli adempimenti ricorrenti
- I rapporti con i Rappresentanti della Pubblica Amministrazione devono essere gestiti esclusivamente dai soggetti aziendali muniti degli occorrenti poteri in conformità al sistema di deleghe e procure, ovvero da coloro che siano da questi formalmente delegati, e in ogni caso nel rispetto delle procedure aziendali che regolano detti rapporti
- Tutti i contratti che hanno come controparte la Pubblica Amministrazione, nonché tutti gli atti, le richieste e le comunicazioni formali inoltrate alla Pubblica Amministrazione devono essere autorizzati, coordinati gestiti e firmati da coloro che siano dotati di idonei poteri in base alle norme interne
- Deve essere redatta una verbalizzazione degli incontri particolarmente rilevanti con il rappresentante della Pubblica Amministrazione attraverso la redazione di un verbale/memo, con l’indicazione del nominativo e ruolo del rappresentante della Pubblica Amministrazione incontrato, dell’oggetto dell’incontro, ecc.
- Alle verifiche ispettive ed agli accertamenti devono partecipare almeno due rappresentanti della Società, i quali sono, inoltre, tenuti ad accompagnare gli ispettori presso i siti aziendali
- Devono essere predefinite le modalità per dotare gli ispettori di idonee strutture (locali segregabili, accessi di rete, hardware) e quelle con cui si rende loro disponibile la documentazione aziendale
- La documentazione deve essere conservata dal responsabile di direzione competente in un apposito archivio, con modalità tali da impedire la modifica successiva se non con apposita evidenza, al fine di permettere la corretta tracciabilità dell’intero processo e di agevolare eventuali controlli successivi.
Acquisizione e gestione dei processi finanziati
- Tutti i soggetti che, in fase di richiesta e gestione di finanziamenti agevolati o contributi, intrattengono rapporti con la Pubblica Amministrazione per conto della Società, devono essere formalmente autorizzati in tal senso (es.: mediante procura)
- I soggetti coinvolti nel processo che hanno la responsabilità di firmare atti o documenti con rilevanza all’esterno della Società (es.: pratiche di richiesta, studi di fattibilità, piani di progetto, etc.) devono essere formalmente delegati in tal senso (con idonea procura, se trattasi di un dipendente della Società o, nel caso di professionista esterno, tramite espressa previsione nel contratto)
- Qualora sia previsto il coinvolgimento di Società esterne nella predisposizione delle pratiche di richiesta, nella gestione del finanziamento o nella successiva esecuzione di attività connesse con i progetti finanziati, i contratti con tali Società devono contenere apposita dichiarazione di conoscenza della normativa di cui al D.Lgs. 231/2001 e di impegno al suo rispetto
Formazione del bilancio civilistico
- Devono essere diffuse al personale coinvolto in attività di predisposizione del bilancio, norme che definiscano con chiarezza i principi contabili da adottare per la definizione delle poste di bilancio civilistico e le modalità operative per la loro contabilizzazione. Tali norme devono essere tempestivamente integrate/aggiornate dalle indicazioni fornite dall’ufficio competente sulla base delle novità in termini di normativa civilistica e diffuse ai destinatari sopra indicati
- Devono essere previamente identificati i dati e le notizie da fornire alla Funzione Amministrazione in relazione alle chiusure annuali e infrannuali (per il bilancio civilistico), con esplicitazione di modalità e tempistiche
- Qualora siano formulate ingiustificate richieste di variazione dei criteri di rilevazione, registrazione e rappresentazione contabile o di variazione quantitativa dei dati rispetto a quelli già contabilizzati in base alle procedure correnti, deve essere previsto che la funzione preposta informi tempestivamente l’Organismo di Vigilanza
- La bozza di bilancio deve essere sempre messa a disposizione degli Amministratori con ragionevole anticipo rispetto alla riunione del Consiglio di Amministrazione che approva il progetto di bilancio
- Tutti i documenti contabili relativi agli argomenti indicati nell’ordine del giorno delle riunioni del Consiglio di Amministrazione devono essere completi e messi a disposizione degli Amministratori con ragionevole anticipo rispetto alla data della riunione
- I documenti riguardanti la formazione delle decisioni che governano le operazioni delle attività a rischio sopra indicate, nonché quelli che danno attuazione alle decisioni devono essere archiviati e conservati a cura della funzione competente per l’operazione
- L’accesso ai documenti già archiviati deve essere consentito solo alle persone autorizzate in base alle procedure operative aziendali, al Collegio Sindacale, alla Società di Revisione e all’Organismo di Vigilanza
- La trasmissione delle informazioni deve essere consentita alle sole persone autorizzate e avvenire attraverso mezzi tecnici che garantiscano la sicurezza dei dati e la riservatezza delle informazioni
- Ogni modifica ai dati contabili deve essere effettuata dalla sola Direzione/Funzione che li ha generati, garantendo la tracciabilità dell’operazione di modifica e previa formale autorizzazione del Direttore/Responsabile di Funzione
- Devono essere erogate, oltre che alle funzioni coinvolte nella redazione del bilancio e dei documenti connessi, attività di formazione di base (in merito alle principali nozioni e problematiche giuridiche e contabili sul bilancio) anche alle funzioni interessate alla attività di definizione delle poste valutative del bilancio
- Devono essere previste regole formalizzate che identifichino ruoli e responsabilità, relativamente alla tenuta, conservazione e aggiornamento del fascicolo di bilancio dall’approvazione del Consiglio di Amministrazione al deposito e pubblicazione (anche informatica) dello stesso e alla relativa archiviazione
- Per ciascuna funzione deve essere individuato un responsabile della raccolta e dell’elaborazione delle informazioni richieste e trasmesse al Collegio Sindacale previa verifica della loro completezza, inerenza e correttezza
- Le richieste e le trasmissioni di dati e informazioni, nonché ogni rilievo, comunicazione o valutazione espressa dal Collegio Sindacale, devono essere documentate e conservate a cura del responsabile di funzione
- Tutti i documenti all’ordine del giorno delle riunioni dell’Assemblea o del Consiglio di Amministrazione relativi a operazioni sulle quali il collegio sindacale debba esprimere parere devono essere messi a disposizione di quest’ultimo con ragionevole anticipo rispetto alla data della riunione.
Gestione , amministrazione e manutenzione degli apparati telematici
- La politica sulla sicurezza delle informazioni deve esser redatta, formalmente approvata, aggiornata periodicamente e comunicata a tutto il personale aziendale
- Le policies e le procedure relative alla gestione della sicurezza delle informazioni devono esser allineate all’orientamento indicato nella politica, devono esser aggiornate periodicamente e diffuse a tutti gli utenti
- Gestione della Sicurezza Logica
- I requisiti di autenticazione ai sistemi per l’accesso ai dati, per l’accesso alle applicazioni ed alla rete devono essere individuali ed univoci
- La procedura che definisce le regole per la creazione delle password di accesso alla rete, alle applicazioni, al patrimonio informativo aziendale e ai sistemi critici o sensibili (ad esempio: lunghezza minima della password, regole di complessità, scadenza, etc.) deve esser formalizzata e comunicata a tutti gli utenti per la selezione e l’utilizzo della parola chiave
- L’assegnazione dell’accesso remoto ai sistemi da parte di soggetti terzi quali consulenti e fornitori deve essere regolato mediante l’esecuzione delle attività definite in una procedura formalizzata
- La gestione di account e di profili di accesso deve prevedere l’utilizzo di un sistema formale di autorizzazione e registrazione dell’attribuzione, modifica e cancellazione dei profili di accesso ai sistemi; devono essere formalizzate procedure per l’assegnazione e l’utilizzo di privilegi speciali (amministratore di sistema, super user, etc.)
- Devono essere condotte verifiche periodiche dei profili utente al fine di convalidare il livello di responsabilità dei singoli con i privilegi concessi; i risultati devono essere opportunamente registrati
- La rilevazione e risoluzione degli incidenti di sicurezza logica deve esser regolamentata da procedure idonee in cui siano definiti i criteri di classificazione degli incidenti e livelli di escalation a seconda della tipologia dell’anomalia segnalata, sia prevista la comunicazione degli stessi ai soggetti interessati e siano condotte attività di reporting sui risultati ottenuti
- La generazione e la protezione dei log delle attività sui sistemi, almeno nel contesto delle attività relative a dati sensibili, devono esser disciplinate da apposite procedure formalizzate
- Gestione della Sicurezza Fisica
- La gestione della sicurezza fisica dei siti ove risiedono le infrastrutture deve includere in una apposita procedura formalizzata le misure di sicurezza adottate, le modalità di vigilanza, la frequenza, le responsabilità, il processo di reporting delle violazioni/effrazioni dei locali tecnici o delle misure di sicurezza, le contromisure da attivare
- L’accesso fisico ai locali riservati in cui risiedono le infrastrutture IT deve esser garantito mediante l’utilizzo di codici di accesso, token authenticator, pin, badge, valori biometrici; devono esser effettuati controlli periodici sulla corrispondenza delle abilitazioni concesse ed il ruolo ricoperto dall’utente autorizzato
- Gestione Continuità Operativa
- A fronte di eventi disastrosi la Società deve prevedere un piano di Business Continuity, al fine di garantire la continuità dei sistemi informativi e dei processi ritenuti critici
- Le soluzioni individuate devono esser periodicamente aggiornate e testate
- Gestione Back-up e restore dei dati
- La gestione del back up deve esser disciplinata da una procedura in cui siano definite le attività di back up dei dati per ogni applicazione e database in uso presso l’azienda, la frequenza dell’attività, le modalità, il numero di copie, il periodo di conservazione dei dati
- Gestione Componente hardware
- La gestione dei sistemi hardware deve prevedere la compilazione e la manutenzione di un inventario aggiornato dell’hardware in uso presso la Società e regolamentare le responsabilità, le modalità operative in caso di implementazione e/o manutenzione di hardware in una procedura formalizzata
- Gestione Componente software
- La gestione dei sistemi software deve includere la compilazione e manutenzione di un inventario aggiornato del software in uso presso la società, l’utilizzo di software formalmente autorizzato e certificato e l’effettuazione, sui principali sistemi, di verifiche periodiche sui software installati e sulle memorie di massa dei sistemi in uso
- Il processo di change management inteso come manutenzione al software o nuove implementazioni deve esser definito da procedure formali per il controllo ed il test del nuovo software rilasciato sia da personale interno che da fornitori in outsourcing.
Gestione e sicurezza delle informazioni in formato digitale
- L’utilizzo di specifiche tecniche di crittografia per la protezione e/o trasmissione delle informazioni deve esser regolamentato in una procedura formalizzata in cui siano definite le modalità operative e le responsabilità dei soggetti coinvolti nel processo di gestione
- Deve essere implementato un sistema di gestione delle chiavi a sostegno dell’uso delle tecniche crittografiche per la generazione, distribuzione, revoca ed archiviazione delle chiavi
- Devono esser predisposti ed opportunamente documentati i controlli per la protezione delle chiavi da possibili modifiche, distruzioni, utilizzi non autorizzati
- Devono esser formalizzate le procedure che regolamentano la gestione dell’utilizzo della firma digitale nei documenti, disciplinandone responsabilità, livelli autorizzativi, regole di adozione di sistemi di certificazione, eventuale utilizzo ed invio dei documenti, modalità di archiviazione e distruzione degli stessi
- La procedura di archiviazione, produzione e manutenzione di un documento informatico deve esser redatta e diffusa a tutti i soggetti che sono coinvolti nel processo di gestione di un documento informatico
Piano di prevenzione della corruzione
Tutto quanto previsto nel D.lgs 231 e menzionato già altre “procedure 231” non viene ripetuto in questa procedura, ma vale anche per il “Piano di prevenzione della corruzione”, ad esempio il MOGC, l’OdV, Codice Etico, Aree e attività a rischio, Analisi dei rischi,etc.
• La Legge n.190 del 6 novembre 2012, revisionata e semplificata dal D.lgs 25 maggio 2016, n. 97 in materia di prevenzione della corruzione, pubblicità’ e trasparenza, nota anche come “Legge Anticorruzione” introduce, nell’ambito dell’ordinamento giuridico italiano specifiche misure di prevenzione e repressione degli eventuali fenomeni di corruzione e illegalità nella Pubblica Amministrazione
Segnalazione di sospetti-Wistleblowing
Con il D.Lgs n.24 del 10 marzo 2023 il processo di Whistleblowing, nato per la prevenzione delle fattispecie dei reati presupposto e per la segnalazione di eventuali violazioni del Modello 231 ha subito consistenti modifiche che hanno interessato principalmente l’oggetto delle violazioni, la platea dei soggetti segnalanti, l’attivazione dei canali di segnalazione e le modalità di utilizzo, il coinvolgimento dell’ANAC, e l’estensione delle misure di protezione a persone od enti che affiancano il segnalante.
Scopo del presente processo è di disciplinare la protezione delle persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrita’ dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.
La procedura mira, inoltre, a rimuovere i possibili fattori che possono disincentivare il ricorso alla segnalazione, quali dubbi e incertezze circa:
• la procedura da seguire
• i timori di ritorsioni o discriminazioni da parte dei vertici aziendali, dei superiori gerarchici, etc.
• l’eventuale rivelazione di segreti di ufficio, professionali, scientifici o industriali.
In tale prospettiva, il proposito perseguito dalla presente procedura è quello di fornire al segnalante chiare indicazioni operative circa oggetto, contenuti, destinatari e modalità di trasmissione delle segnalazioni, nonché le forme di tutela offerte nel nostro ordinamento.
