Pubblicato il di

5 errori da evitare quando inizi a sviluppare il modello 231 per un cliente

Come consulente esperto D.lgs 231/01, ci sono alcuni errori comuni che ho notato che le aziende commettono quando iniziano a sviluppare un modello 231. Ecco cinque errori da evitare:

1. Non coinvolgere tutti i dipartimenti: il modello 231 riguarda tutte le attività dell’azienda, quindi è importante coinvolgere tutti i dipartimenti nella sua creazione. Non coinvolgere tutti i dipartimenti può portare a una mancanza di consapevolezza e di comprensione del modello 231.
2. Non identificare tutti i rischi: è importante identificare tutti i rischi di corruzione e di non conformità per garantire che il modello 231 sia completo ed efficace. Non identificare tutti i rischi può portare a una gestione inadeguata dei rischi e a una mancanza di conformità.


3. Non definire i controlli adeguati: definire controlli adeguati è essenziale per prevenire e gestire i rischi di corruzione e di non conformità. Non definire controlli adeguati può portare a una gestione inadeguata dei rischi e a una mancanza di conformità.
4. Non monitorare regolarmente l’efficacia del modello 231: è importante monitorare regolarmente l’efficacia del modello 231 per garantire che sia sempre aggiornato e efficace. Non monitorare regolarmente l’efficacia del modello 231 può portare a una mancanza di consapevolezza dei problemi e a una gestione inadeguata dei rischi.

5. Non formare adeguatamente il personale: il personale dell’azienda deve essere adeguatamente formato sul modello 231 e sui rischi di corruzione e di non conformità. Non formare adeguatamente il personale può portare a una mancanza di consapevolezza dei problemi e a una gestione inadeguata dei rischi.

Per evitare questi errori, è importante coinvolgere tutti i dipartimenti, identificare tutti i rischi, definire controlli adeguati, monitorare regolarmente l’efficacia del modello 231 e formare adeguatamente il personale. Inoltre, è importante mantenere una comunicazione costante con l’azienda per garantire una collaborazione efficace e una realizzazione del modello 231 conforme alle normative.

Autore: Dr. Matteo Rapparini – titolare Edirama.org

Pubblicato il di

Tre errori da evitare quando si definisce l’ambito della ISO 27001

La definizione dell’ambito della ISO 27001 è un passaggio cruciale nella pianificazione dell’implementazione del sistema di gestione della sicurezza dell’informazione (SGSI). Ecco tre errori comuni da evitare durante questo processo:

  1. Ambito troppo ampio: definire un ambito troppo ampio può portare a una pianificazione e implementazione del SGSI troppo complessa e costosa. Inoltre, può essere difficile ottenere la conformità e mantenere l’efficacia del sistema.

  2. Ambito troppo limitato: definire un ambito troppo limitato può compromettere l’efficacia del sistema, poiché potrebbero essere trascurati alcuni rischi significativi. Inoltre, potrebbe essere difficile estendere il SGSI in futuro per includere ulteriori attività o processi.

  3. Ambito ambiguo: definire un ambito ambiguo può portare a un’interpretazione errata delle attività e dei processi da includere nel SGSI. Ciò potrebbe compromettere l’efficacia del sistema e portare a una non conformità con i requisiti della norma ISO 27001.

Per evitare questi errori, è importante coinvolgere le parti interessate nel processo di definizione dell’ambito e assicurarsi che ci sia una comprensione chiara e condivisa delle attività e dei processi da includere nel SGSI.

Pubblicato il di

Quesito risolto – Con il nuovo decreto sul Whistleblowing, come cambiano le segnalazioni all’ODV 231?

Secondo il nuovo decreto D.lgs 24/2023, le imprese che hanno un organismo di vigilanza interno potranno semplificare la procedura di gestione delle segnalazioni, evitando di dover applicare alcune delle misure previste dal Decreto 231/01.

Continua su www.alert231.it

Pubblicato il di

DPO – Cosa deve fare quando entra in contrasto con il titolare trattamento dei dati

DPO – Cosa deve fare quando entra in contrasto con il titolare trattamento dei dati

Il Data Protection Officer (DPO) è una figura chiave nell’ambito della protezione dei dati personali e ha il compito di garantire che l’organizzazione rispetti le normative sulla privacy. Tuttavia, in alcune situazioni, potrebbe esserci un conflitto tra il DPO e il titolare del trattamento dei dati personali. In questo articolo, vedremo cosa può fare il DPO quando entra in contrasto con il titolare del trattamento dei dati.

In primo luogo, il DPO dovrebbe cercare di risolvere il conflitto in modo informale. Potrebbe essere utile avere un incontro con il titolare del trattamento dei dati per discutere le questioni in questione e trovare un compromesso. In alcuni casi, la situazione può essere risolta con una maggiore comunicazione e cooperazione tra il DPO e il titolare del trattamento.

Se l’approccio informale non funziona, il DPO dovrebbe considerare di sollevare la questione al livello successivo dell’organizzazione. Potrebbe essere necessario coinvolgere il comitato esecutivo o il consiglio di amministrazione dell’organizzazione per risolvere il conflitto. Il DPO dovrebbe fornire una relazione dettagliata del conflitto e delle misure che sono state adottate per cercare di risolverlo.

Se il conflitto non può essere risolto internamente all’organizzazione, il DPO può rivolgersi all’autorità di controllo competente per ottenere un parere sul conflitto. L’autorità di controllo potrebbe fornire una consulenza sulle norme applicabili e sulla posizione del DPO.

In alcune situazioni, il DPO potrebbe anche considerare di dimettersi dalla sua posizione. Questo potrebbe essere necessario se il conflitto di interessi è troppo grande da risolvere e non è possibile continuare a svolgere il lavoro in modo efficace e imparziale. Tuttavia, prima di prendere questa decisione, il DPO dovrebbe cercare di risolvere il conflitto in modo informale e discutere la questione con il titolare del trattamento dei dati.

In conclusione, il conflitto tra il DPO e il titolare del trattamento dei dati può essere risolto in modo informale, coinvolgendo il livello successivo dell’organizzazione o rivolgendosi all’autorità di controllo competente. In alcuni casi, il DPO potrebbe anche considerare di dimettersi dalla sua posizione. È importante ricordare che il DPO ha la responsabilità di proteggere i dati personali degli interessati e garantire la conformità alle normative sulla privacy.

Pubblicato il di

Certificazione parità di genere – FAQ risolta sui KPI Quantitativi per organizzazione MICRO

Se un’organizzazione appartiene al cluster “MICRO”, i KPI applicabili saranno: 5.2.1, 5.3.1, 5.4.1, 5.4.6, 5.5.1, 5.6.1, 5.7.2, 5.7.3? Il conteggio complessivo di tali KPI considerandoli tutti soddisfatti è 35.25 (punteggio ottenuto considerando anche la percentuale di peso definita per ogni area). È corretto affermare che l’organizzazione risulta certificabile se raggiunge un punteggio ≥ 21 (21 è stato calcolato come il 60% del punteggio massimo ottenibile per la tipologia) MICRO)?

RISPOSTA – L’organizzazione risulta certificabile se raggiunge un punteggio ≥ 21 calcolato per le micro imprese.

Pubblicato il di

Aggiornamento settimanale D.lgs 231/01 – www.alert231.it

Pubblicato il di

Modello organizzativo 231 e la Direttiva UE 2019/1937 sul Whistleblowing a confronto: cosa cambia adesso

La Legge n. 179 del 2017 ha introdotto il whistleblowing nella disciplina del D. lgs. 231/01. L’art. 6, comma 2-bis, richiede che il Modello organizzativo debba fornire ai dipendenti canali per effettuare segnalazioni sulle condotte illecite all’interno dell’azienda. Queste segnalazioni devono essere basate su elementi di fatto precisi e concordanti, e riguardare violazioni dei precetti stabiliti dal Modello stesso. L’assenza di un efficace sistema di segnalazione all’interno dell’organizzazione priva il Modello organizzativo di idoneità preventiva. Il sistema di segnalazioni in 231 rappresenta attualmente l’unica forma codificata di whistleblowing del settore privato in Italia.

Continua su www.alert231.it

Pubblicato il di

Recepita la Direttiva europea sul whistleblowing

Il Consiglio dei Ministri dello scorso 9 marzo 2023 ha approvato, in esame definitivo, il Decreto legislativo di attuazione della Direttiva UE 2019/1937 del Parlamento Europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone (whistleblower) che segnalano violazioni del diritto dell’Unione. Il testo tiene conto dei pareri espressi dalle Commissioni parlamentari competenti.

Il decreto legislativo disciplina la protezione dei cosiddetti whistleblower, le persone che segnalano violazioni di disposizioni normative nazionali o dell’Unione europea che ledono l’interesse pubblico o l’integrità dell’amministrazione pubblica o dell’ente privato, di cui siano venute a conoscenza in un contesto lavorativo pubblico o privato.

La Direttiva europea nasce con l’obiettivo di uniformare le normative nazionali in materia di whistleblowing e quindi di rendere omogeneo ed efficace il sistema di tutela nei confronti di chi segnala violazioni (i whistleblower) di cui sono venuti a conoscenza nell’ambito del proprio contesto lavorativo, in qualità di:

  • dipendenti o collaboratori;
  • lavoratori subordinati e autonomi;
  • liberi professionisti;
  • tirocinanti anche non retribuiti;
  • gli azionisti e le persone con funzioni di amministrazione, direzione, controllo, vigilanza o rappresentanza.

Inoltre, le misure di protezione si applicano anche ai cosiddetti “facilitatori”, colleghi, parenti o affetti stabili di chi ha segnalato. In concreto i segnalanti non possono subire ritorsioni tra cui:

  • il licenziamento;
  • la sospensione;
  • a retrocessione di grado o la mancata promozione;
  • il mutamento di funzioni;
  • il cambiamento del luogo di lavoro;
  • la riduzione dello stipendio;
  • la modifica dell’orario di lavoro;
  • la sospensione della formazione;
  • le note di merito negative;
  • l’adozione di misure disciplinari o di altra sanzione anche pecuniaria;
  • la coercizione;
  • l’intimidazione;
  • le molestie o l’ostracismo;
  • la discriminazione o comunque il trattamento sfavorevole;
  •  la mancata conversione di un contratto di lavoro a termine in un contratto di lavoro a tempo indeterminato;
  • laddove il lavoratore avesse una legittima aspettativa a detta conversione;
  • il mancato rinnovo o la risoluzione anticipata di un contratto di lavoro a termine;
  • i danni, anche alla reputazione della persona, in particolare sui social media, o i pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e la perdita di redditi;
  • l’annullamento di una licenza o di un permesso;
  • la richiesta di sottoposizione ad accertamenti psichiatrici o medici

Sia i soggetti del settore pubblico che i soggetti del settore privato devono dotarsi di propri canali di segnalazione, che garantiscano la riservatezza dell’identità del whistleblower.

  • Tutte le aziende con più di 250 dipendenti dovranno, obbligatoriamente, avere un software whistleblowing a partire dal 15 luglio 2023;
  • Le aziende con più di 50 dipendenti dovranno ottemperare ai suddetti obblighi di legge a partire dal 17 dicembre 2023.Fonte: Mygovernance.it
Pubblicato il di

Consigli pratici per il controllo della revisione dei documenti nei sistemi di gestione

Un sistema di controllo della revisione dei documenti è la spina dorsale del programma di garanzia della qualità. È fondamentale per l’implementazione di qualsiasi sistema di gestione. Questo sistema documenta i metodi utilizzati dall’organizzazione per controllare, rivedere e approvare la propria documentazione.

Di seguito è riportato un elenco di elementi da considerare e documentare durante la creazione del sistema di controllo della revisione dei documenti.

  • Lo schema di numerazione
  • Il processo di creazione di nuova documentazione
  • Il processo di aggiornamento della documentazione corrente
  • Chi è tenuto a rivedere, approvare e firmare la documentazione
  • La differenza tra copie master, di controllo e non di controllo
  • Identificazione della Master List
  • Il metodo per tenere traccia della posizione di tutti i documenti
  • Chi è responsabile della conduzione delle attività di controllo dei documenti
  • Il metodo per rendere obsoleti i documenti indesiderati
  • Un processo di revisione dei documenti obbligatorio/automatico
  • Il metodo utilizzato per prevenire l’uso involontario di documenti non di controllo o vecchi documenti.
  • La politica sulla leggibilità dei documenti
  • Le modalità di conservazione della documentazione

Qualsiasi informazione utilizzata per la qualità del prodotto o il sistema di gestione della qualità deve essere incorporata nel sistema di controllo dei documenti.

Ciò comprende:

  • Sistemi di gestione della qualità
  • Procedure di processo
  • Istruzioni di lavoro per i dipendenti
  • Specifiche
  • Software
  • Manuali di funzionamento della macchina
  • Disegni CAD
  • Notifica di modifica del processo
  • Formati record 
  • Diagrammi di flusso

Schema di numerazione

All’interno del tuo sistema di revisione del controllo dei documenti, delinea il tuo schema di numerazione per la documentazione. Rendi lo schema appropriato per la tua organizzazione. Considera questi fattori:

  • Fase di processo
  • Numeri di reparto
  • Tipo di documento
  • Revisione del documento
  • Posizioni dei documenti
  • Facilità di identificazione
  • Formato documento
  • Numero ID sequenziale
  • Data di origine

Il sistema di controllo dei documenti dovrebbe avere un documento principale (master) in cui è presente una sola copia di questo documento. Specificare la posizione del documento master. Assicurarsi che nessuno possa manomettere la copia master.

Il master può essere digitale, cartaceo o una combinazione di entrambi. Mantieni i master nella stessa posizione. Se la copia master è digitale, è possibile archiviare i file in una directory intitolata “Documentazione master”. Se il master è una copia cartacea, puoi timbrare il documento con “Master”. La copia master deve essere facilmente identificabile come master.

Mantieni un elenco di documenti master a cui è possibile accedere facilmente se necessario. Questo elenco deve mostrare il numero del documento, il nome del documento, l’ultima lettera di revisione e la data di origine del documento.

Un documento di controllo è normalmente una copia del documento master. Una copia di controllo viene solitamente posizionata nel punto di utilizzo. Questi documenti dovrebbero anche essere facilmente riconosciuti come controllati. Vuoi essere sicuro che i dipendenti non utilizzino documenti non controllati.

La posizione di questi documenti controllati deve essere tracciata. Quando si aggiorna in modo permanente il documento master, la funzione di controllo del documento aggiorna anche i documenti di controllo. 

La revisione/approvazione del documento dipende dalla natura del documento e dalla struttura di gestione dell’organizzazione. Si consiglia un minimo obbligatorio di due persone per esaminare il documento. Per le piccole imprese potrebbe essere l’autore e l’utente principale del documento. Per una procedura di processo di un’azienda più grande potrebbe essere lo scrittore, il proprietario del processo, l’ingegneria, il controllo qualità e produzione.

Quando un documento viene rivisto e approvato, deve essere utilizzata una firma. Questo potrebbe essere scritto a mano o digitale. Durante un audit è necessario dimostrare che il documento è stato rivisto e approvato.

Funzione di controllo della revisione del documento

Il sistema di controllo della revisione dei documenti deve specificare chi è responsabile della manutenzione del sistema di controllo dei documenti. Documenta chi completa queste attività:

  • Designa il documento master
  • Tiene traccia delle posizioni dei documenti di controllo
  • Distribuisce i documenti
  • Assicura che i documenti vengano esaminati
  • Assicura che siano leggibili
  • Assicura che siano disponibili in tutti i punti di utilizzo
  • Mantiene l’elenco principale

Modifiche al controllo di revisione del documento

Quando si verificano modifiche a un documento, il sistema di controllo dei documenti dovrebbe specificare questi elementi:

  • Come fare un cambiamento
  • Il metodo utilizzato dall’autore per documentare le modifiche
  • Chi è responsabile della revisione e dell’approvazione delle modifiche
  • Il processo su come il vecchio documento viene rimosso dal sistema e da tutti i punti di utilizzo.