Ti trovi in: Home > Consulenza >
Regulatory & Assurance
- Conformità al D.Lgs.231/2001 (Responsabilità delle aziende per reati contro la P.A. e reati societari)
Il Decreto legislativo 08706/01 n. 231 modifica in modo sostanziale il quadro normativo preesistente sulla responsabilità penale delle aziende e stabilisce una responsabilità diretta delle aziende nei procedimenti penali - con sanzioni molto rilevanti - per i reati commessi nell'interesse od a vantaggio dell'ente dai suoi rappresentanti, manager e dipendenti, con riferimento ai reati di corruzione, concussione, truffa in danno dello Stato od altro ente pubblico o per il conseguimento di erogazioni pubbliche, nonchà in relazione ai reati societari, di cui al recente D.L.vo 11 aprile 2002 n. 61 "Disciplina degli illeciti penali ed amministrativi riguardanti le società commerciali".
Le sanzioni previste contemplano pene pecuniarie, la sospensione ed interdizione dell'attività, il divieto di contrattare con la Pubblica Amministrazione, l'esclusione dai finanziamenti e contribuiti dell'attività e l'eventuale revoca di quelli già concessi, il divieto di pubblicizzare beni e servizi.
Le misure interdittive previste, inoltre, possono essere applicate anche in via provvisoria e cautelativa in attesa del processo.
In base a quanto previsto dalla legge delega, tale disciplina verrà estesa anche ad altre fattispecie, in particolare in materia di incolumità pubblica, ambiente e territorio, beni culturali e sicurezza sul lavoro.
La competenza a conoscere gli illeciti dell'ente appartiene al giudice penale competente per i reati dai gli stessi dipendono.
Il Legislatore ha ammesso l'esenzione o la limitazione della responsabilità penale dell'azienda nel caso in cui questa abbia attivato prima della commissione del reato lo schema legale definito dal D.Lgs. 231/01: ovvero abbia elaborato ed adottato modelli di organizzazione, gestione e controllo idonei a prevenire la realizzazione del reato e si sia dotata di un organismo (dotato di propri poteri) con funzioni di vigilanza sul funzionamento e sull'osservanza dei modelli, nonchà sul loro aggiornamento (negli enti di piccoli dimensione i compiti di vigilanza possono essere svolti dall'organo dirigente), in modo tale da configurare la commissione del reato come ascrivibile al solo comportamento fraudolento dell'autore materiale dello stesso.
La mancata predisposizione dei modelli previsti dal D.Lgs231/01 configura infatti una "colpa in organizzazione" dell'Ente.
Al contrario, la predisposizione di modelli organizzativi di gestione e controllo e la loro reale e corretta integrazione nelle procedure aziendali comportano un'esclusione di responsabilità nei confronti delle aziende e, quindi, dei loro amministratori.
In ragione del profilo penalistico ed organizzativo proprio della disciplina in oggetto, Attitude si avvale di consulenti senior ed avvocati senior per supportare le aziende nella realizzazione degli adempimenti previsti dalla normativa 231/2001 con l'obiettivo dell'esito positivo di tale giudizio d'idoneità.
La metodologia di lavoro utilizzata per conseguire tale obiettivo si articola sulle fasi di seguito descritte:
- 1) identificazione dei rischi in relazione ai reati che possono essere commessi;
- 2) progettazione (ideazione e formalizzazione) di un sistema di controllo preventivo, realizzato attraverso il disegno di un sistema organizzativo adeguato e la formulazione di procedure che regolino determinate attività;
- 3) formulazione e adozione di un codice etico e di un sistema di sanzioni disciplinari applicabili in caso di mancato rispetto delle misure previste dal modello, al fine di conservarne la valenza;
- 4) individuazione dei criteri per la scelta di un organismo di controllo interno all'impresa, dotato delle funzioni necessarie, deputato a vigilare sull'efficacia e l'applicazione del modello.
Attraverso l'integrazione di specifiche competenze organizzative e legali, avvalendosi delle proprie esperienze progettuali su aziende internazionali e gruppi italiani di primo rilievo, Attitude è in grado di supportare aziende ed enti nella realizzazione di un Sistema di Gestione del Rischio in linea con i modelli indicati nel D.Lgs. n. 231/2001, assicurando la necessaria assistenza per un'efficace prevenzione organizzativa e tutela legale.
- Conformità alla L.262/2005 (Tutela del Risparmio)
Nell'ambito dei mercati azionari si è posta la necessità di disporre di un valido modello di riferimento per poter identificare, valutare e gestire i rischi in modo efficace e di conseguenza dotarsi di un adeguato modello di controllo interno.
Nella stessa direzione si è orientata anche la normativa italiana, che ha di recente disposto la vigenza della L.262/2005 "Disposizione per la tutela del risparmio e la disciplina dei mercati finanziari", con l'obiettivo di riconquistare la fiducia dei risparmiatori attraverso la garanzia di un maggior livello di controllo sull'informativa economico-finanziaria e rafforzando l'esigenza di una efficace valutazione dei rischi.
La nuova normativa è rivolta a Società quotate e a Società emittenti di strumenti finanziari per il pubblico e dispone i seguenti adempimenti:
- Responsabilità personale del Dirigente Preposto al quale è affidata la "certificazione" dell'adeguatezza e dell'effettiva applicazione delle procedure aziendali;
- Sensibilizzazione dei dirigenti e dei process-owner nello svolgimento di attività sensibili e nella gestione/controllo dei processi aziendali critici;
- Valorizzazione delle competenze distintive dei vari organi preposti alla vigilanza ed al controllo;
- Attuazione di adeguati sistemi organizzativi amministrativi e contabili;
- Inasprimento delle sanzioni penali e amministrative in caso di violazione delle norme introdotte.
Si pongono quindi per le imprese diverse nuove esigenze:
- - conformarsi al dettato di legge mediante interventi di adeguamento in grado di valorizzare la cultura del - controllo e senza generare un appesantimento dei processi aziendali
- - dotare l'organizzazione ed il management di strumenti pià efficienti per l'analisi, il monitoraggio e la gestione del rischio
- -fornire un segnale forte al mercato ed agli stakeholder sul radicamento etico e la capacità di gestire il rischio dell'impresa.
L'approccio proposto da Attitude si basa sulla metodologia tracciata a livello internazionale dal "Framework for Enterprise Risk Management (ERM)" della Committee of Sponsoring Organizations of the Treadway Commission (CoSO), opportunamente adattato alle specifiche esigenze delle aziende italiane e strutturato in modalità tali da coinvolgere, attraverso un comune linguaggio del rischio, tutte le dinamiche aziendali sotto il profilo strategico e operativo.
La metodologia di lavoro utilizzata è finalizzata al conseguimento di tre obiettivi:
- a) Sviluppare un processo di Risk Assessment;
- b) Definire un Modello di Controllo interno;
- c) Identificare e predisporre i requisiti organizzativi e gestionali per l'adeguamento alle disposizioni della
L.262/2005.
Attitude, integra specifiche competenze organizzative, legali e contabili e supporta aziende internazionali a grandi gruppi italiani nella realizzazione di un sistema di Gestione del Rischio in linea con la normativa indicata nel L262/2005.
L'intervento di conformità si articola sulle seguenti fasi metodologiche:
Analisi dei requisiti L.262/05 applicabili all'azienda ed elaborazione del piano di assessment
Definizione delle metriche e criteri per la rilevazione e valutazione dei rischi
Analisi dei rischi (Identificazione cause; Ponderazione effetti su scala incrociata Probabilità/Impatto)
Analisi delle coperture
Valutazione delle priorità e logiche di controllo
Definizione delle opzioni di risposte al rischio
Elaborazione del nuovo modello aziendale di Risk Management
- Conformità al D.Lgs.196/03 (Tutela privacy)
Obblighi di legge
Il Codice in materia di protezione dei dati personali ne disciplina prescrivendo:
- - l'informativa nei confronti dei soggetti (persone fisiche e giuridiche, clienti, fornitori, partner, dipendenti)
di cui si raccolgono e gestiscono i dati;
- - la notifica al Garante da parte dei Titolari che eseguono i trattamenti riconducibili alle ipotesi previste
dall'art. 37 del Codice;
- - l'adozione di misure di sicurezza previste dal Disciplinare Tecnico per i trattamenti eseguiti con strumenti
elettronici e per i trattamenti eseguiti senza l'ausilio di strumenti elettronici.
Il "Disciplinare Tecnico" inoltre indica la natura del il contenuto del Documento Programmatico della Sicurezza (DPS),
la cui adozione è prescritta in caso di trattamenti di dati personali effettuato con strumenti elettronici (art.34
lett.g del Codice), nell'ambito del quale analizzare e rappresentare formalmente il disegno e lo stato del sistema informativo aziendale, delle banche dati e dei livelli di sicurezza fisici, logici e organizzativi raggiunti.
Le normative privacy italiane pongono una serie di adempimenti, procedure, obblighi e diritti tra privati e tra questi e
lo Stato, con responsabilità civili, penali e amministrative.
L'ente pubblico italiano che regola, controlla e sanziona l'applicazione della normativa sul data privacy è "l'Autorità Garante per la Tutela dei dati personali".
Il Garante (insieme all'autoritàAntitrust italiana) ha stipulato con il corpo militare
della Guardia di Finanza una convenzione, in base alla quale essa può impiegare e indirizzare gli agenti
di tale corpo di polizia, insieme ai propri funzionari civili, per l'attività di accesso, ispezione e controllo presso aziende e uffici.
Sanzioni
Sono quindi previste sanzioni civili, penali ed amministrative:
A seconda della fattispecie sono previste pene pecuniarie e detentive da 10.000 a 50.000 euro e la reclusione da 6 mesi a 3 anni, "salvo che il fatto non costituisca un più grave reato".
A seconda della fattispecie, è previsto il pagamento di una somma che varia da un minimo di 3000 euro ad un massimo
60.000 euro
In particolare per l'ipotesi di omissione o rifiuto di fornire informazioni o esibire documenti all'Autorità
è prevista la condanna al pagamento di una somma che può variare dai 2.500 ai 15.000 Euro.
Per tutti i delitti previsti dal codice è prevista la pena accessoria della pubblicazione della sentenza di condanna (art.172 del Codice).
In alcuni casi la pena pecuniaria può essere aumentata sino al triplo in ragione delle condizioni economiche del colpevole.
Attività per l'adeguamento alle prescrizioni di legge
In termini operativi, l'intervento di adeguamento alla prescrizioni di legge vigenti prevede la predisposizione di un sistema di gestione delle banche dati conforme alle specifiche del D.Lgs.196/03 e relativo Allegato B (Disciplinare Tecnico in Materia di Misure Minime di Sicurezza).
Le attività da realizzare sono:
- 1. Individuazione delle banche dati, delle tipologie dei dati personali gestiti (comuni, sensibili e dati il cui trattamento "comporta rischi specifici" *art. 17 Codice) e delle relative modalità di gestione.
- 2. Tracciatura e formalizzazione dei flussi dati orientati all'interno ed all'esterno dell'Azienda e determinazione (classificazione) delle modalità di trattamento dei dati, finalità ed ambiti di diffusione e/o comunicazione.
- 3. Individuazione dei ruoli e delle responsabilità dei soggetti coinvolti nella gestione dei dati personali (Titolare, Responsabili, Incaricati al trattamento).
- 4. Verifica dei contratti di incarico ai fornitori ed outsourcer al fine di valutare eventuali responsabilità in ordine al trattamento dei dati personali e di provvedere alla loro regolare formalizzazione ex lege.
- 5. Individuazione degli adempimenti richiesti dal D.Lgs.196/03 e relativo Allegato B, effettuati, da effettuare, o da rinnovare, quali, ad es.: informativa a clienti, fornitori e dipendenti, scelta incaricati e nomine responsabili, comunicazioni agli incaricati, nomina di responsabili.
- 6. Predisposizione della modulistica aziendale in conformità alle previsioni di legge ed alle pronunce del Garante; elaborazione delle clausole da inserire nelle lettere e comunicazioni commerciali.
- 7. Formalizzazione del mapping dell'intero sistema aziendale di gestione dei dati, (informatico, cartaceo, altri supporti) e analisi dei livelli di rischio.
- 8. Elaborazione e redazione del "Documento Programmatico della Sicurezza", integrante i dispositivi elaborati.
- 9. Intervento formativo (obbligatorio) per l'applicazione della normativa sulla Privacy in Azienda ai ruoli organizzativi preposti.
- 10. Verifica circa la necessità di provvedere alla notifica al Garante, necessaria qualora i trattamenti dei dati effettuati in azienda rientrano tra le ipotesi previste dalla norma (art.37 Codice).
- 11. Compilazione del modulo di notifica (eventuale).
- Certificazione OHSAS 18001
Attitude avvalendosi della collaborazione di un partner specializzato offre supporto alle aziende per il conseguimento della Certificazione OHSAS 18001 (Occupational Healt and Safety Assessment Series).
Il servizio è finalizzato alla realizzazione di un Sistema di Gestione dei Rischi per la Salute e la Sicurezza dei lavoratori dell'impresa conferme alle indicazioni di legge ed al conseguimento dello standard internazionale.
Supportiamo le aziende nella progettazione del sistema di gestione dei rischi, nella sua declinazione operativa e nella suo esercizio a regime.
Il servizio prevede le attività di risk assessment, la progettazione delle modalità di gestione e controllo e contenimento dei rischi, la formazione e l'addestramento del personale, l'assistenza per il superamento degli audit obbligatori ai sensi della certificazione.
La progettazione del Sistema OHSAS 18001 viene realizzata con una metodologia finalizzata alla sua integrazione sistemica con il modello di Organizzazione e Controllo ex D.Lgs.231.01, così da garantire all'azienda il conseguimento dell'esimente speciale per i reati collegati all'applicazione delle norme sulla salute e la sicurezza dei lavoratori.
- Conformità alle norme ISO 27100
L'ISO/IEC 27001 è uno standard di gestione della sicurezza delle informazioni indicato per la protezione di tutte le informazioni in termini di riservatezza, integrità, disponibilità. Tali caratteristiche - oltre a rappresentare i tre requisiti fondamentali della sicurezza del dato - sono anche le componenti fondamentali da cui dipendono la competitività dell'Azienda, i suoi profitti, la sua conformità ad obblighi legali e la sua stessa immagine.
Un sistema certificato garantisce il valore del patrimonio aziendale, protegge le informazioni riservate e i sistemi, valorizza i Service Level Agreement con i fornitori (se certificati o almeno opportunamente controllati), riduce i rischi legali e di reputazione, tutela i Clienti/Utenti dell'organizzazione, diffonde una cultura aziendale proattiva volta al miglioramento incrementale.
Un sistema certificato BS7799 (Iso Iec 27001) o caratterizzato da buone pratiche ISO IEC 17799 configura un fattore concreto di miglioramento dell'efficacia dei processi aziendali e di valorizzazione degli stessi.
Alle organizzazioni che intendono ottenere la certificazione ISO 27001 o che presentano l'esigenza di gestire un sistema di sicurezza secondo normative e standard globali, Attitude offre competenze legale, informatiche e gestionali per realizzare i seguenti servizi:
Consulenza e un supporto tecnico e organizzativo per la realizzazione della Risk Analysis;
Creazione di un Service Management.
Le fasi metodologiche previste sono:
- Individuazione e tassonomia dei processi di business
- Gap analysis e Requirement analysis
- Inventario e valorizzazione degli asset
- Individuazione di minacce, vulnerabilità, rischi
- Assessment dei rischi
- Individuazione dei controlli
- Individuazione di politiche, procedure, pratiche, strumenti gestionali
- Monitoraggio e misura degli SLA.
- Conformità alla norma ISO 9001
La ISO 9001:2000 (VISION 2000) è il riferimento per la certificazione del sistema di gestione per la qualità delle organizzazioni di tutti i settori produttivi. La norma ISO ha come principale obiettivo l'applicabilità ad ogni tipologia aziendale e un'impostazione redazionale totalmente per una gestione integrata con altre norme certificabili .
La ISO 9001:2000 pone al centro della realizzazione di un sistema di gestione:
- il cliente e la sua soddisfazione;
- la visione dell'azienda come un insieme di processi integrati ed atti a fornire prodotti che rispondano in modo costante ai requisiti fissati;
- il perseguire il miglioramento continuo delle prestazioni.
Gestire la qualità significa gestire l'efficacia e l'efficienza dei propri processi attraverso:
- la conoscenza, la gestione e il monitoraggio dei processi;
- la capacità di coinvolgere le risorse umane;
- la centralità del ruolo management aziendale.
- Sicurezza Dati
L'informazione è una risorsa pregiata funzionale alla generazione del valore dell'azienda. Le informazioni sono per lo piàยน conservate su supporti informatici: i rischi di attacco e di violazione dei sistemi di sicurezza risultano in continuo aumento e per tale ragione a carico di ogni impresa esistono oggi precisi obblighi in materia di data privacy, sostenuti e disciplinati da normative nazionali e internazionali. Inoltre a livello internazionale è stato approvato lo standard ISO 27001:2005, finalizzato alla standardizzazione delle modalità di protezione di dati e informazioni da minacce di ogni genere, al fine di assicurarne la riservatezza, l'integrità, e la disponibilità. Lo standard indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) per una corretta gestione dei dati dell'azienda.
Attitude integra competenze tecniche e legali ed offre alle organizzazioni soluzioni per la progettazione e per l'implementazione di Sistemi di Gestione della Sicurezza delle Informazioni conformi allo standard BS7799.
In particolare:
- Progettazione di Sistemi di Gestione per la Sicurezza delle Informazioni - BS7799 compliant
- Information Risk Analysis & Risk management
- Piani di continuità operativa BS7799 oriented
- Disaster Recovery
- Formazione e consulenza (tecnica, legale, standard BS7799).