Un approccio integrato e innovativo alla “compliance ... · aziende al tema della conformità dei...
-
Upload
truonghanh -
Category
Documents
-
view
215 -
download
0
Transcript of Un approccio integrato e innovativo alla “compliance ... · aziende al tema della conformità dei...
Un approccio integrato e innovativo alla “complianc e” aziendale: da obbligo normativo a vantaggio competit ivo
14 Aprile 2011
Un approccio integrato e innovativo alla “complianc e” aziendale: da obbligo normativo a vantaggio competit ivo
Aprile 2011
1. Il tema della compliance
2. L’evoluzione della percezione della compliance nel le aziende
3. Le norme sui Sistemi di Gestione
LA “COMPLIANCE”: DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO LA “COMPLIANCE”: DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO
3. Le norme sui Sistemi di Gestione
4. Le aree di integrazione
5. Oggetto dei diversi Sistemi di Gestione
6. Qualche dato numerico
7. L’approccio integrato per i modelli
8 . L’approccio integrato: i principi di riferimen to
9. Una sintesi per il governo dei diversi Sistemi d i Gestione
2. L’evoluzione della percezione della compliance nel le aziende
3. Le norme sui Sistemi di Gestione
LA “COMPLIANCE”: DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO LA “COMPLIANCE”: DA OBBLIGO NORMATIVO A VANTAGGIO COMPETITIVO
3. Le norme sui Sistemi di Gestione
5. Oggetto dei diversi Sistemi di Gestione
7. L’approccio integrato per i modelli
8 . L’approccio integrato: i principi di riferimen to
9. Una sintesi per il governo dei diversi Sistemi d i Gestione
2
Compliance: attività che individuano, valutano, supportano, controllano e decidono sulle azioni da intraprendere in merito al rischio di sanzioni legali o amministrative, perdite operative, deterioramento della reputazione aziendale dovute al mancato rispetto di
IL TEMA DELLA COMPLIANCE NELLE AZIENDE (1/2)IL TEMA DELLA COMPLIANCE NELLE AZIENDE (1/2)
reputazione aziendale dovute al mancato rispetto di
�Leggi
�Regolamenti
�Procedure e Codici di
�Best practice
attività che individuano, valutano, supportano, controllano e decidono sulle azioni da intraprendere in merito al rischio di sanzioni legali o amministrative, perdite operative, deterioramento della reputazione aziendale dovute al mancato rispetto di
IL TEMA DELLA COMPLIANCE NELLE AZIENDE (1/2)IL TEMA DELLA COMPLIANCE NELLE AZIENDE (1/2)
reputazione aziendale dovute al mancato rispetto di
di condotta
3
La forte evoluzione normativa degli ultimi anni ha determinato una maggiore attenzione da parte delle aziende al tema della conformità dei comportamenti e delle prassi aziendali, al dettato normativo e, in generale, alle
IL TEMA DELLA COMPLIANCE NELLE AZIENDE (2/IL TEMA DELLA COMPLIANCE NELLE AZIENDE (2/
prassi aziendali, al dettato normativo e, in generale, alle norme di autoregolamentazione, come ad esempio:
�Responsabilità amministrativa delle persone giuridiche
�Responsabilità Sociale
�Modelli caratteristici dei SGQ (certificazioni e
accreditamenti)
Privacy e tutela dei dati personali�Privacy e tutela dei dati personali
�Sicurezza delle informazioni
�Testo unico ambientale
�Salute e sicurezza sul lavoro
La forte evoluzione normativa degli ultimi anni ha determinato una maggiore attenzione da parte delle aziende al tema della conformità dei comportamenti e delle prassi aziendali, al dettato normativo e, in generale, alle
IL TEMA DELLA COMPLIANCE NELLE AZIENDE (2/2)IL TEMA DELLA COMPLIANCE NELLE AZIENDE (2/2)
prassi aziendali, al dettato normativo e, in generale, alle norme di autoregolamentazione, come ad esempio:
Responsabilità amministrativa delle persone giuridiche
Responsabilità Sociale
Modelli caratteristici dei SGQ (certificazioni e
Privacy e tutela dei dati personaliPrivacy e tutela dei dati personali
Sicurezza delle informazioni
Testo unico ambientale
Salute e sicurezza sul lavoro
4
�Visione più diffusa
Ostacolo alla efficienzaun diffuso eccesso di burocratizzazione
L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (1/3)L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (1/3)
�La risposta
Sviluppare sinergie tra i diversi Modelli Organizzativi
Infatti, pur perseguendo finalità diverse tutti i modelli condividono la ricerca della correttezza, trasparenza e tracciabilità nei processi organizzativi aziendali.
efficienza delle attività aziendali provocando burocratizzazione.
L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (1/3)L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (1/3)
tra i diversi Modelli Organizzativi
Infatti, pur perseguendo finalità diverse tutti i modelli ricerca della correttezza, trasparenza e
tracciabilità nei processi organizzativi aziendali.
5
Tra l’altro…..
Il mancato rispetto
L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (3/L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (3/
Il mancato rispetto
di:
�Le Buone Pratiche
Professionali
�D.Lgs. 231/2001
�D.Lgs. 196/2003
�D.Lgs. 81/2008�D.Lgs. 81/2008
Un qualunque “Incidente” quanto
costa??
Tra l’altro…..
Può portare a
L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (3/3)L’EVOLUZIONE DELLA PERCEZIONE DELLA COMPLIANCE (3/3)
Può portare a
�Perdita di clientela
�Sanzioni
�Richiesta di danni
�Contenziosi
�Danni di immagine
�Responsabilità Penali
Un qualunque “Incidente” quanto
costa??
�Responsabilità Penali
6
�Approccio al Mercato
LE NORME SUI SISTEMI LE NORME SUI SISTEMI
�D. Lgs. 152/2006
(T.U. ambiente)
�D. Lgs. 81/2008
(T.U. sicurezza lavoro)
�D. Lgs. 196/2003
(Privacy)(Privacy)
�D. Lgs. 231/2001
(Modelli organizzativi)
ISO 9001
LE NORME SUI SISTEMI DI GESTIONELE NORME SUI SISTEMI DI GESTIONE
ISO 14001
BS OHSAS 18001
ISO 27001
ISO 9001
BS OHSAS 18001
SA 8000
7
LE AREE LE AREE
SISTEMA Ex
ISO 27001 e D.Lgs. 196/2003
Reati personalità
Reati Ambientali Delitti contro P.A. patrimonio mediante frode, pubblica fede e reati societari,
LE AREE DI INTEGRAZIONELE AREE DI INTEGRAZIONE
ISO 9001Reati informatici e violazioni TU
Privacy
SISTEMA DI GESTIONE Ex D.Lgs 231/2001
SA 8000
ISO 27001 e D.Lgs. 196/2003
Reati personalità individuale
8
Delitti contro P.A. patrimonio mediante frode, pubblica fede e reati societari,
reati informatici, etc
Reati in materia di salute e sicurezza sul luogo di lavoro
� Qualità: Capacità di soddisfare le esigenze dei clienti
� Ambiente: Contesto nel quale l’organizzazione opera, comprendente l’aria, l’acqua, il terreno, le risorse naturali, la flora, la fauna, gli esseri umani e le loro
L’OGGETTO DEI DIVERSI SISTEMI L’OGGETTO DEI DIVERSI SISTEMI
naturali, la flora, la fauna, gli esseri umani e le loro interrelazioni
� Salute e Sicurezza nei luoghi di lavoro: fattori inerenti al benessere dei dipendenti, dei lavoratori temporanei, del personale con cui si interagisce, dei visitatori e di ogni altra persona dell’ambiente di lavoro
� Sicurezza delle informazioni: conservazione della riservatezza, integrità e disponibilità conservazione della riservatezza, integrità e disponibilità delle informazioni
� Responsabilità amministrativa e Responsabilità Sociale: L’insieme di pratiche di gestione che consentono di minimizzare i rischi connessi ai reati e l’impatto negativo delle attività dell’organizzazione sulla società
: Capacità di soddisfare le esigenze dei clienti
Contesto nel quale l’organizzazione opera, comprendente l’aria, l’acqua, il terreno, le risorse naturali, la flora, la fauna, gli esseri umani e le loro
L’OGGETTO DEI DIVERSI SISTEMI DI GESTIONE (1/2)L’OGGETTO DEI DIVERSI SISTEMI DI GESTIONE (1/2)
naturali, la flora, la fauna, gli esseri umani e le loro
Salute e Sicurezza nei luoghi di lavoro: Condizioni e fattori inerenti al benessere dei dipendenti, dei lavoratori temporanei, del personale con cui si interagisce, dei visitatori e di ogni altra persona dell’ambiente di lavoro
Sicurezza delle informazioni: Garanzia di conservazione della riservatezza, integrità e disponibilità conservazione della riservatezza, integrità e disponibilità
Responsabilità amministrativa e Responsabilità L’insieme di pratiche di gestione che consentono
di minimizzare i rischi connessi ai reati e l’impatto negativo delle attività dell’organizzazione sulla società
9
Qualità ambientale soddisfa i bisogni della collettività presente e futura nel quadro dello sviluppo sostenibile conseguibile mediante la certificazione di sistema ISO 14001, ovvero di prodotto mediante “etichette ambientali” Eco-label
Il passaggiodalla“qualità economica”:Finalizzata al soddisfacimento
L’OGGETTO DEI DIVERSI SISTEMI L’OGGETTO DEI DIVERSI SISTEMI
Eco-label
Qualità del lavoro tutela i bisogni di salute e sicurezza sul lavoro conseguibile tramite un adeguato approccio di sistema certificando i SGSL mediante la BS OHSAS 18001
Qualità delle informazioni consentire un efficace fruizione delle informazioni D. Lgs 196/2003 conseguibile mediante certificazioni di sistema ISO 27001
soddisfacimento delleesigenze del cliente nel quadro di unaspecifico rapporto contrattuale
Alla “qualità sociale”: una forma piùampia di qualità, diretta alla ISO 27001
Qualità etica riguarda la Responsabilità amministrativa e sociale delle imprese (CSR) e le problematiche di prevenzione dei rischi “reato” e sociali connesse con le attività aziendali gestendo gli adempimenti D. Lgs. 231/2001 ovvero approcci di sistema (SA 8000).
diretta alla soddisfazionedi una più vasta gamma di bisogniespressi da un più ampio contesto di partiinteressate
soddisfa i bisogni della collettività presente e futura nel quadro dello sviluppo sostenibile conseguibile mediante la certificazione di sistema ISO 14001, ovvero di prodotto mediante “etichette ambientali”
L’OGGETTO DEI DIVERSI SISTEMI DI GESTIONE (2/2)L’OGGETTO DEI DIVERSI SISTEMI DI GESTIONE (2/2)
tutela i bisogni di salute e sicurezza sul lavoro conseguibile tramite un adeguato approccio di sistema certificando i SGSL mediante la BS OHSAS 18001
Qualità delle informazioni protegge la riservatezza e a consentire un efficace fruizione delle informazioni D. Lgs 196/2003 conseguibile mediante certificazioni di sistema
riguarda la Responsabilità amministrativa e sociale delle imprese (CSR) e le problematiche di prevenzione dei rischi “reato” e sociali connesse con le attività aziendali gestendo gli adempimenti D. Lgs. 231/2001 ovvero approcci di sistema (SA 8000).
10
Certificazioni di Qualità:settembre 2010, fatturato globale dei primi 7 enti certificatori €196 mln. oltre l’indotto? (consulenti, addetti interni, investimenti per adeguamento sistemi)
Certificazioni ambientali
QUALCHE DATO NUMERICO …QUALCHE DATO NUMERICO …
Certificazioni ambientalicertificazioni “verdi” standard ISO 14001 e simili (dati ACCREDIA)
Certificazioni sicurezza delle informazioni:300 società certificate tra gruppi industriali, società di servizi, finanziarie e piccole organizzazioni con un forte incremento nell’ultimo anno (dati ACCREDIA)
Certificazioni salute e sicurezza del lavoro:Certificazioni salute e sicurezza del lavoro:anni +50% anno di certificazioni negli ultimi 3 anni incidenti su imprese con certificazioni accreditate (dati INAIL)
Certificazioni Qualità etica:8000) Italia primo posto al mondo, 34,29% dei siti certificati su scala mondiale 199.835 lavoratori coinvolti (14,64% del totale) terzo posto mondiale
Certificazioni di Qualità: 140 mila siti accreditati al 30 settembre 2010, fatturato globale dei primi 7 enti certificatori 196 mln. oltre l’indotto? (consulenti, addetti interni, investimenti per adeguamento sistemi)
Certificazioni ambientali: Italia 4° posto al mondo per le
QUALCHE DATO NUMERICO …QUALCHE DATO NUMERICO …
Certificazioni ambientali: Italia 4° posto al mondo per le certificazioni “verdi” standard ISO 14001 e simili (dati
Certificazioni sicurezza delle informazioni: In Italia circa 300 società certificate tra gruppi industriali, società di servizi, finanziarie e piccole organizzazioni con un forte incremento nell’ultimo anno (dati ACCREDIA)
Certificazioni salute e sicurezza del lavoro: negli ultimi 3 Certificazioni salute e sicurezza del lavoro: negli ultimi 3 anni +50% anno di certificazioni negli ultimi 3 anni -20% incidenti su imprese con certificazioni accreditate (dati INAIL)
Certificazioni Qualità etica: approccio di sistema (SA 8000) Italia primo posto al mondo, 34,29% dei siti certificati su scala mondiale 199.835 lavoratori coinvolti (14,64% del totale) terzo posto mondiale
11
UN APPROCCIO INTEGRATO PER I MODELLI (1/2)UN APPROCCIO INTEGRATO PER I MODELLI (1/2)
Riesame e miglioramento
Attuazione e modalità operative
UN APPROCCIO INTEGRATO PER I MODELLI (1/2)UN APPROCCIO INTEGRATO PER I MODELLI (1/2)
Miglioramento Continuo
Esame iniziale
Politica
Pianificazione
12
Act (RE Agire): metterein atto azioniopportune a fronte dei risultati dei controlli
UN APPROCCIO INTEGRATO PER I MODELLI (2/UN APPROCCIO INTEGRATO PER I MODELLI (2/
risultati dei controlli
Check (controllare):Check (controllare):eseguire i controllipianificati nella fasePlan, misurando ivalori e analizzando i risultati
Plan (pianificare):Fissare obiettivi,risorse, metodi,indicatori, livelli
…… tramite questo approccio
UN APPROCCIO INTEGRATO PER I MODELLI (2/2)UN APPROCCIO INTEGRATO PER I MODELLI (2/2)
Do (fare): Applicare
indicatori, livellidi accettabilità,modalità esecutive
Do (fare): Applicarequanto pianificato
13
1°°°° Principio : Approccio basato sui processi
L’APPROCCIO INTEGRATO : I PRINCIPI L’APPROCCIO INTEGRATO : I PRINCIPI
a) Identificare i processi necessari per l’applicazione in tutta l'organizzazione dei vari Sistemi di Gestione (Responsabilità Amministrativa e Sociale, Sicurezza e Tutela, Qualità …)
b) Stabilire la significatività, la sequenza e l'interazione di questi processi
c) Determinare i criteri e i metodi necessari per assicurare l‘adeguata rappresentazione, l’efficiente attuazione e l’efficace controllo di questi processi
d) Assicurare la disponibilità di risorse e di informazioni necessarie per supportare l'attuazione e il monitoraggio di necessarie per supportare l'attuazione e il monitoraggio di questi processi
e) Misurare, monitorare e analizzare questi processi
f) Adottare azioni necessarie per raggiungere i risultati pianificati e il miglioramento continuo di questi processi
Principio : Approccio basato sui processi
L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (1/7)L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (1/7)
Identificare i processi necessari per l’applicazione in tutta l'organizzazione dei vari Sistemi di Gestione (Responsabilità Amministrativa e Sociale, Sicurezza e Tutela, Qualità …)
Stabilire la significatività, la sequenza e l'interazione di
Determinare i criteri e i metodi necessari per assicurare l‘adeguata rappresentazione, l’efficiente attuazione e l’efficace controllo di questi processi
Assicurare la disponibilità di risorse e di informazioni necessarie per supportare l'attuazione e il monitoraggio di
14
necessarie per supportare l'attuazione e il monitoraggio di
Misurare, monitorare e analizzare questi processi
Adottare azioni necessarie per raggiungere i risultati pianificati e il miglioramento continuo di questi processi
L’approccio è caratterizzato da:
� Standardizzazione delle all’interno di ciascun processo,
1°°°° Principio : Approccio basato sui processi (segue)
L’APPROCCIO INTEGRATO : I PRINCIPI L’APPROCCIO INTEGRATO : I PRINCIPI
all’interno di ciascun processo, la decisione (autorizzazione ed impulso decisionale), il soggetto che esegue soggetti cui è affidato il controllo “segregazione delle funzioni”);
� Rispetto del principio della separazione delle funzioniin base al quale nessuno può gestire in autonomia un intero processo e la definizione di poteri autorizzativi coerenti con le responsabilità assegnate;responsabilità assegnate;
� Traccia scritta di ciascun passaggio rilevante del processo (c.d. “tracciabilità”) sorveglianza sul sistema ed il monitoraggio sull’aderenza agli standard e alle procedure;
� Adeguato livello di formalizzazionecomunicazione efficace.
L’approccio è caratterizzato da:
delle attività con la distinzione, all’interno di ciascun processo, tra il soggetto che assume
Principio : Approccio basato sui processi (segue)
L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (2/7)L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (2/7)
all’interno di ciascun processo, tra il soggetto che assume (autorizzazione ed impulso decisionale), il
soggetto che esegue tale decisione e il soggetto o i cui è affidato il controllo del processo (c.d.
“segregazione delle funzioni”);
Rispetto del principio della separazione delle funzioni, in base al quale nessuno può gestire in autonomia un intero processo e la definizione di poteri autorizzativi coerenti con le responsabilità assegnate;responsabilità assegnate;
ciascun passaggio rilevante del processo (c.d. “tracciabilità”) per assicurare la sorveglianza sul sistema ed il monitoraggio sull’aderenza agli standard e alle procedure;
formalizzazione per una comunicazione efficace.
15
� Individuazione delle attività o situazioni che possono essere Fonti di Rischio
L’APPROCCIO INTEGRATO : I PRINCIPI L’APPROCCIO INTEGRATO : I PRINCIPI
2°°°° Principio : Focalizzazione sui rischi
essere Fonti di Rischio
�Valutazione dell’ Ampiezza e Impatto volta identificate le attività sensibili fonti rischio
�Gestione dei rischidi controllo” (misure volte al loro contenimento) tenendo conto del livello accettabile di rischio e delle risorse disponibili
delle attività o situazioni che possono Fonti di Rischio
L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (3/7)L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (3/7)
Principio : Focalizzazione sui rischi
Fonti di Rischio
Ampiezza e Impatto dei Rischi una volta identificate le attività sensibili fonti rischio
tramite l’Adozione di “Protocolli ” (misure volte al loro contenimento)
tenendo conto del livello accettabile di rischio e delle
16
3°°°° Principio : Approccio sistemico della gestione (Governo dei processi)
�Consapevolezza dell’identificazione, comprensione e gestione di un sistema di processi interconnessi
L’APPROCCIO INTEGRATO : I PRINCIPI L’APPROCCIO INTEGRATO : I PRINCIPI
gestione di un sistema di processi interconnessimirati a determinati obiettivi
�Definizione di una struttura standard redazione integratae altra documentazione relativa a qualità, ambiente, sicurezza e tutela della salute, privacy, etica e responsabilità amministrativa)
�Razionalizzazionelivello monitoraggio dei processi, 23° livello Certificazioni/Attestazioni da parte di un Ente Terzo)
Principio : Approccio sistemico della gestione
dell’identificazione, comprensione e sistema di processi interconnessi,
L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (4/7)L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (4/7)
sistema di processi interconnessi, mirati a determinati obiettivi
struttura standard per la integrata della documentazione (procedure
e altra documentazione relativa a qualità, ambiente, sicurezza e tutela della salute, privacy, etica e responsabilità amministrativa)
delle modalità di controllo (1°livello monitoraggio dei processi, 2° livello Audit Interni, livello Certificazioni/Attestazioni da parte di un Ente
17
4°°°° Principio : Alto commitment del management e coinvolgimento del personale
�Creazione e sostegno
L’APPROCCIO INTEGRATO : I PRINCIPI L’APPROCCIO INTEGRATO : I PRINCIPI
�Creazione e sostegnovalori comuni e modelli correttezza da estendere a tutti i livelli dell’organizzazione.
�Coinvolgimento di tuttedell’organizzazione, solo la loro permette di porre le loro organizzazione.
�Valutazione costante della sistema di regole consanzioni connesse alla loro mancata attuazione.
Principio : Alto commitment del management e coinvolgimento del personale
sostegno, da parte del vertice aziendale, di
L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (5/7)L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (5/7)
sostegno, da parte del vertice aziendale, di modelli di regole etiche e di
da estendere a tutti i livelli
tutte le risorse umanedell’organizzazione, solo la loro piena partecipazione permette di porre le loro capacità al servizio di tutta la
costante della effettiva attuazione del di regole con la coerente applicazione delle connesse alla loro mancata attuazione.
18
5°°°° Principio : Valutazione, definizione, adeguamento protocolli organizzativi
� I “protocolli” vanno definiscono le regole attraverso le quali si esplicano
L’APPROCCIO INTEGRATO : I PRINCIPI L’APPROCCIO INTEGRATO : I PRINCIPI
definiscono le regole attraverso le quali si esplicano gli adempimenti e i comportamentidipendenti della società debbono delle loro mansioni, al fine di prevenire o mitigare i rischi previsti dal Modello e da successive integrazioni.
� I protocolli devono essere interna della società, intendendo con ciò le disposizioni interna della società, intendendo con ciò le disposizioni emanate dai vertici aziendali che conferiscono, ai vari livelli dell’organizzazione, compiti e poteri, definiscono le modalità procedurali e prescrivono i comportamenti relativi all’applicazione di leggi e normative delle Autorità di riferimento.
Principio : Valutazione, definizione, adeguamento protocolli organizzativi
” vanno intesi come tutti gli atti che definiscono le regole attraverso le quali si esplicano
L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (6/7)L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (6/7)
definiscono le regole attraverso le quali si esplicano gli adempimenti e i comportamenti ai quali i dipendenti della società debbono attenersi nell’esercizio
al fine di prevenire o mitigare i previsti dal Modello e da successive integrazioni.
devono essere desumibili dalla normativa della società, intendendo con ciò le disposizioni della società, intendendo con ciò le disposizioni
emanate dai vertici aziendali che conferiscono, ai vari livelli dell’organizzazione, compiti e poteri, definiscono le modalità procedurali e prescrivono i comportamenti relativi all’applicazione di leggi e normative delle Autorità
19
6°°°° Principio : Miglioramento Continuo
�Il Miglioramento continuoobiettivo permanente
L’APPROCCIO INTEGRATO : I PRINCIPI L’APPROCCIO INTEGRATO : I PRINCIPI
�Presuppone attività di pianificazione delle misurazione e monitoraggio
�Modalità (tempi e modi) dell’efficacia ed efficienza dei Sistemi di Gestione adottati
Principio : Miglioramento Continuo
Il Miglioramento continuo dovrebbe essere un obiettivo permanente dell’organizzazione
L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (7/7)L’APPROCCIO INTEGRATO : I PRINCIPI DI RIFERIMENTO (7/7)
attività di definizione degli obiettivi e delle azioni , nonché modalità di monitoraggio dei risultati
(tempi e modi) prestabilite per il Riesamedell’efficacia ed efficienza dei Sistemi di Gestione adottati
20
ISO 9001
Politica x
Obiettivi x
UNA SINTESI PER IL GOVERNO DEI DIVERSI SISTEMI UNA SINTESI PER IL GOVERNO DEI DIVERSI SISTEMI
Obiettivi x
Gestione Risorse x
Formazione eaddestramento x
Gestione Documenti x
Registrazioni x
Controlli x
Monitoraggi x
NC, AC, AP xNC, AC, AP x
Audit interni del SG x
Riesame della direzione x
Miglioramento x
Certificabilità x
ISO 9001 ISO 14001OHSAS 18001
ISO27001 SA 8000
x x x x x
x x x x x
UNA SINTESI PER IL GOVERNO DEI DIVERSI SISTEMI DI GESTIONEUNA SINTESI PER IL GOVERNO DEI DIVERSI SISTEMI DI GESTIONE
x x x x x
x x x x
x x x x
x x x x
x x x x x
x x x x
x x x x x
x x x x xx x x x x
x x x x
x x x x x
x x x x
x x x x x
21
Un approccio integrato e innovativo alla “complianc e” aziendale: Sistema di Gestione della Sicurezza delle Informazioni
(ISO 27001:2005)14 Aprile 2011
Un approccio integrato e innovativo alla “complianc e” aziendale: Sistema di Gestione della Sicurezza delle Informazioni
(ISO 27001:2005)Aprile 2011
1. La Norma ISO/IEC 27001:2005
2. D.Lgs. 196/2003 ISO/IEC 27001
3. ISO/IEC 27001 : vantaggi dell’adozione
SISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONISISTEMA DI GESTIONE PER LA SICUREZZA DELLE INFORMAZIONI
3. ISO/IEC 27001 : vantaggi dell’adozione
4. Il percorso per l’implementazione di un SGSI
1. La Norma ISO/IEC 27001:2005
196/2003 ISO/IEC 27001 D.Lgs. 231/2001:aspetti comuni
3. ISO/IEC 27001 : vantaggi dell’adozione
GESTIONE PER LA SICUREZZA DELLE INFORMAZIONIGESTIONE PER LA SICUREZZA DELLE INFORMAZIONI
3. ISO/IEC 27001 : vantaggi dell’adozione
4. Il percorso per l’implementazione di un SGSI
23
La norma ISO/IEC 27001:2005 rappresenta oggi il riferimento riconosciuto a livello mondiale per la certificazione del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) delle Organizzazioni di tutti i settori e di tutte le dimensioni e rappresenta:
LA NORMA ISO/IEC 27001: 2005
•un approccio sistematico per pianificare, attuare, monitorare e migliorare un SGSI mediante un approccio basato sul ciclo PLAN-DO-CHECK-ACT di Deming e un processo di miglioramento continuo;
•uno standard gestionale, non tecnicoconsiderazione tutti gli aspetti della sicurezza delle informazioni: Organizzazione, Persone, Luoghi Fisici, Documenti Cartacei, Sistemi IT;Sistemi IT;
•uno standard certificabile;
•uno standard per gli audit;
•un approccio basato sulla valutazione del rischio;
•un framework di controllo per la gestione della sicurezza delle informazioni (Annex A –
La norma ISO/IEC 27001:2005 rappresenta oggi il riferimento riconosciuto a livello mondiale per la certificazione del Sistema di Gestione per la Sicurezza delle Informazioni (SGSI) delle Organizzazioni di tutti i settori e di tutte le dimensioni e
LA NORMA ISO/IEC 27001: 2005
un approccio sistematico per pianificare, attuare, monitorare e migliorare un SGSI mediante un approccio basato sul ciclo
ACT di Deming e un processo di miglioramento continuo;
uno standard gestionale, non tecnico-informatico, che prende in considerazione tutti gli aspetti della sicurezza delle informazioni: Organizzazione, Persone, Luoghi Fisici, Documenti Cartacei,
24
uno standard certificabile;
uno standard per gli audit;
un approccio basato sulla valutazione del rischio;
un framework di controllo per la gestione della sicurezza delle – Obiettivi di controllo e controlli).
ISO/IEC 27001 – D.Lgs. 196/2003 – D.Lgs 231/2001: ASPETTI COMUNI (1/3)
ISO/IEC 27001:2005
D.Lgs231/2001
D.Lgs196/2003
D.Lgs 231/2001: ASPETTI COMUNI (1/3)
Aspetti comuni del modello di gestione ISO/IEC 27001, con
D.lgs/196/2003 e D.Lgs231/2001
•Attività periodiche di analisi e trattamento del rischio (par. 4.2.1, ,4.2.2, 4.2.3);,4.2.2, 4.2.3);
•Definizione di piani di formazione e consapevolezza (par 4.2.2 e 5.2.2);
•Attività periodiche di controllo, monitoraggio e audit (par. 4.2.3 e 6);
•Specifici controlli nei processi di gestione del personale e delle Terze Parti (Annex A – A.6 e A.8)
•Specifici controlli nei processi di controllo degli accessi fisici e logici (Annex A – A.9 e A.11);
25
(Annex A – A.9 e A.11);•Specifici controlli nei processi di sviluppo software ,changemanagement e manutenzione dei sistemi (Annex A – A.10 e A.12);
•Specifici controlli nei processi di continuità operativa (Annex A –A.14).
• La norma ISO/IEC 27001:2005 presenta all’interno dell’Annex A una sezione specifica di obiettivi di controllo e controlli specificamente alla compliance (A.15 particolare focus sulla conformità alle normative (Privacy,
ISO/IEC 27001 – D.Lgs. 196/2003 – D.Lgs 231/2001: ASPETTI COMUNI (2/3)
particolare focus sulla conformità alle normative (Privacy, Diritto d’Autore, ecc.).
• Lo scopo della norma comprende non solo i Dati Personali ma tutte le informazioni che possono avere un forte impatto sul business dell’organizzazione: di conseguenza l’ambito di applicazione è più ampio dei requisiti del Codice in Materia di Protezione dei Dati Personali che ne vengono ricompresi.
La norma ISO/IEC 27001:2005 presenta all’interno dell’Annex A una sezione specifica di obiettivi di controllo e controlli
alla compliance (A.15 – Compliance) con un particolare focus sulla conformità alle normative (Privacy,
D.Lgs 231/2001: ASPETTI COMUNI (2/3)
particolare focus sulla conformità alle normative (Privacy,
Lo scopo della norma comprende non solo i Dati Personali ma tutte le informazioni che possono avere un forte impatto sul business dell’organizzazione: di conseguenza l’ambito di applicazione è più ampio dei requisiti del Codice in Materia di Protezione dei Dati Personali che ne vengono ricompresi.
26
• La prevenzione dei rischi relativi a reati informatici previsti dal D.Lgs.231/2001 è direttamente correlata alla gestione della sicurezza delle informazioni per specifiche tipologie di dati trattati (es. Art. 24 – Truffa in danno dello stato e frode
ISO/IEC 27001 – D.Lgs. 196/2003 – D.Lgs 231/2001: ASPETTI COMUNI (3/3)
trattati (es. Art. 24 – Truffa in danno dello stato e frode informatica, Art. 24 bis –illecito dei dati, ecc.).
• Molti dei processi previsti dalla ISO/IEC 27001:2005 sono comuni al Modello di gestione della Privacy e al Modello di Organizzazione e Gestione 231/01.
La prevenzione dei rischi relativi a reati informatici previsti dal D.Lgs.231/2001 è direttamente correlata alla gestione della sicurezza delle informazioni per specifiche tipologie di dati
Truffa in danno dello stato e frode
D.Lgs 231/2001: ASPETTI COMUNI (3/3)
Truffa in danno dello stato e frode – Delitti informatici e trattamento
Molti dei processi previsti dalla ISO/IEC 27001:2005 sono comuni al Modello di gestione della Privacy e al Modello di Organizzazione e Gestione 231/01.
27
ISO/IEC 27001 – D.Lgs. 196/2003 – D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE (1/3)
La certificazione ISO/IEC 27001:2005 è una tangibile dimostrazione dell’impegno delle Organizzazioni nella Gestione delle Informazioni.
Essa può offrire vantaggi chiave nei processi di compliance alle Essa può offrire vantaggi chiave nei processi di compliance alle normative applicabili in termini di:
• Efficientamento dei Modelli di Compliance
• Minimizzazione dei rischi
• Audit indipendenti
D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE (1/3)
La certificazione ISO/IEC 27001:2005 è una tangibile dimostrazione dell’impegno delle Organizzazioni nella Gestione
Essa può offrire vantaggi chiave nei processi di compliance alle Essa può offrire vantaggi chiave nei processi di compliance alle normative applicabili in termini di:
Efficientamento dei Modelli di Compliance
Minimizzazione dei rischi
Audit indipendenti
28
ISO/IEC 27001 – D.Lgs. 196/2003 – D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE (2/3)
Efficientamento dei Modelli di Compliance
L’implementazione di un SGSI conforme alla norma ISO/IEC27001:2005, avendo un ambito esteso alla protezione di tutto il patrimonio informativo significativo per di tutto il patrimonio informativo significativo per l’organizzazione, può supportare le aziende nella razionalizzazione delle procedure di compliance e controllo esistenti, incrementando l’efficacia e l’efficienza delle stesse, attraverso la creazione di un modello integrato che preveda una piattaforma trasversale.
Ciò consente di evitare la replicazione di attività tipiche dei modelli di organizzazione, compliance e controllo (es. formazione, gestione e trattamento del rischio, ecc.), formazione, gestione e trattamento del rischio, ecc.), mantenendole all’interno di un quadro di processo chiaro e coerente.
In altre Nazioni Europee i sistemi ISO/IEC 27001 sono stati raccomandati come mezzi per essere conformi alle normative sulla gestione e protezione dei dati.
D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE (2/3)
Efficientamento dei Modelli di Compliance
L’implementazione di un SGSI conforme alla norma ISO/IEC27001:2005, avendo un ambito esteso alla protezione di tutto il patrimonio informativo significativo per di tutto il patrimonio informativo significativo per l’organizzazione, può supportare le aziende nella razionalizzazione delle procedure di compliance e controllo esistenti, incrementando l’efficacia e l’efficienza delle stesse, attraverso la creazione di un modello integrato che preveda una piattaforma trasversale.
Ciò consente di evitare la replicazione di attività tipiche dei modelli di organizzazione, compliance e controllo (es. audit, formazione, gestione e trattamento del rischio, ecc.),
29
formazione, gestione e trattamento del rischio, ecc.), mantenendole all’interno di un quadro di processo chiaro e
In altre Nazioni Europee i sistemi ISO/IEC 27001 sono stati raccomandati come mezzi per essere conformi alle normative sulla gestione e protezione dei dati.
ISO/IEC 27001 – D.Lgs. 196/2003 – D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE(3/3)
Minimizzazione dei rischi
I controlli e i processi definiti dalla Norma consentono di instaurare un frameworkrischi relativi alla sicurezza delle informazioni, compresi quelli inerenti alla commissione di illeciti e all’infrazione della inerenti alla commissione di illeciti e all’infrazione della legislazione applicabile attraverso il ricorso ad un processo di miglioramento continuo per l’intera rete informativa aziendale, a tutti i livelli.
Audit indipendenti
I sistemi di gestione, strutturati secondo norme tecniche internazionali previste espressamente per la certificazione da parte di un Ente terzo indipendente, sono un potente parte di un Ente terzo indipendente, sono un potente strumento per tenere sotto controllo e governare i rischi legati alle attività di un’organizzazione, compresi i rischi di compliance.
Ciò consente di ottenere una visione obiettiva in grado conferire una maggior fiducia nelle misure di sicurezza aziendale secondo la miglior esperienza di settore.
D.Lgs 231/2001: I VANTAGGI DELL’ADOZIONE(3/3)
Minimizzazione dei rischi
I controlli e i processi definiti dalla Norma consentono di framework orientato alla minimizzazione dei
rischi relativi alla sicurezza delle informazioni, compresi quelli inerenti alla commissione di illeciti e all’infrazione della inerenti alla commissione di illeciti e all’infrazione della legislazione applicabile attraverso il ricorso ad un processo di miglioramento continuo per l’intera rete informativa aziendale,
I sistemi di gestione, strutturati secondo norme tecniche internazionali previste espressamente per la certificazione da parte di un Ente terzo indipendente, sono un potente
30
parte di un Ente terzo indipendente, sono un potente strumento per tenere sotto controllo e governare i rischi legati alle attività di un’organizzazione, compresi i rischi di
Ciò consente di ottenere una visione obiettiva in grado conferire una maggior fiducia nelle misure di sicurezza aziendale secondo la miglior esperienza di settore.
IL PERCORSO PER L’IMPLEMENTAZIONE DI UN SGSI (1/2)
La realizzazione di un SGSI consente di instaurare un processo continuo di controllo e miglioramento nella sicurezza delle informazioni e nella compliance alle normative ad esse legate (D.Lgs. 196/2003, D.Lgs. 231/2001, D.Lgs. 262:2005, Protezione del diritto d’autore e di altri diritti connessi al suo Protezione del diritto d’autore e di altri diritti connessi al suo esercizio: Legge 633/41 e Decreto Legislativo n. 518 del 29/12/1992, ecc.).
IL PERCORSO PER L’IMPLEMENTAZIONE DI UN SGSI (1/2)
La realizzazione di un SGSI consente di instaurare un processo continuo di controllo e miglioramento nella sicurezza delle informazioni e nella compliance alle normative ad esse legate (D.Lgs. 196/2003, D.Lgs. 231/2001, D.Lgs. 262:2005, Protezione del diritto d’autore e di altri diritti connessi al suo Protezione del diritto d’autore e di altri diritti connessi al suo esercizio: Legge 633/41 e Decreto Legislativo n. 518 del
31
L’implementazione di un SGSI conforme alla Norma ISO/IEC 27001:2005 ha una durata dipendente dal contesto aziendale e dalla maturità del modello interno di security e compliance in termini di policy, procedure, attività di controllo e di gestione del rischio.
IL PERCORSO PER L’IMPLEMENTAZIONE DI UN SGSI (2/2)
L’implementazione di un SGSI conforme alla Norma ISO/IEC 27001:2005 ha una durata dipendente dal contesto aziendale e dalla maturità del modello interno di security e compliance in termini di policy, procedure, attività di controllo e di gestione del
IL PERCORSO PER L’IMPLEMENTAZIONE DI UN SGSI (2/2)
32
Un approccio integrato e innovativo alla “complianc e” aziendale: Sistema di Gestione della Tutela della Privacy (D.L gs. 196/03)
14 Aprile 2011
Un approccio integrato e innovativo alla “complianc e” aziendale: Sistema di Gestione della Tutela della Privacy (D.L gs. 196/03)
Aprile 2011
1. Il D.Lgs.196/2003
2. D.Lgs. 196/2003 - ISO/IEC 27001
3. D.Lgs. 196/2003: vantaggi dell’adozione
SISTEMA DI GESTIONE PER LA TUTELA DELLA PRIVACYSISTEMA DI GESTIONE PER LA TUTELA DELLA PRIVACY
3. D.Lgs. 196/2003: vantaggi dell’adozione
4. Il percorso per l’implementazione
ISO/IEC 27001 - D.Lgs. 231/2001:aspetti comuni
196/2003: vantaggi dell’adozione
SISTEMA DI GESTIONE PER LA TUTELA DELLA PRIVACYSISTEMA DI GESTIONE PER LA TUTELA DELLA PRIVACY
196/2003: vantaggi dell’adozione
4. Il percorso per l’implementazione
34
IL D.LGS, 196/2003IL D.LGS, 196/2003
Il D.Lgs 196/2003 riconosce il diritto dell’individuo alla tutela
dei propri dati personali, e conseguentemente disciplina le
diverse operazioni di gestione (tecnicamente diverse operazioni di gestione (tecnicamente
dei dati, riguardante la raccolta, l'elaborazione, il raffronto,
la cancellazione, la modificazione, la comunicazione o la
diffusione degli stessi garantendo quindi ’’che il trattamento
dei dati personali si svolga nel rispetto dei diritti e delle
libertà fondamentali, nonché della dignità dell'interessato,
con particolare riferimento alla riservatezza, all'identità
personale e al diritto alla protezione dei dati personali’’.
, 196/2003, 196/2003
Il D.Lgs 196/2003 riconosce il diritto dell’individuo alla tutela
dei propri dati personali, e conseguentemente disciplina le
diverse operazioni di gestione (tecnicamente ’’trattamento’’) diverse operazioni di gestione (tecnicamente ’’trattamento’’)
dei dati, riguardante la raccolta, l'elaborazione, il raffronto,
la cancellazione, la modificazione, la comunicazione o la
diffusione degli stessi garantendo quindi ’’che il trattamento
dei dati personali si svolga nel rispetto dei diritti e delle
libertà fondamentali, nonché della dignità dell'interessato,
35
con particolare riferimento alla riservatezza, all'identità
personale e al diritto alla protezione dei dati personali’’.
IL D.LGS.
NORMATIVA PRIVACY
Il contesto normativo europeo esercita un crescente impatto sui rapporti economici e sociali massivi (società complessa = società dell’informazione)
L’intento dei legislatori:
� Armonizzazione
� Equilibrio
� Particolare attenzione a situazioni soggettive di svantaggio
(società complessa = società dell’informazione)
Peculiarità
della normativa
sulla privacy
D.LGS. 196/2003
NORMATIVA PRIVACY – INQUADRAMENTO E TENDENZE
Il contesto normativo europeo esercita un crescente impatto sui rapporti economici e sociali massivi (società complessa = società dell’informazione)
L’intento dei legislatori:
Armonizzazione
Particolare attenzione a situazioni soggettive di svantaggio
“the right to be alone”
(società complessa = società dell’informazione)
“the right to be alone”
“the right to privacy”
Disciplina organica
e norme aperte
Integrazione tra fonti
normative
IL D.LGS. 196/2003
PRINCIPALI FILONI DI DISCIPLINA DEL T.U.
Tutelare gli interessati (consumatori,
utenti, cittadini, contraenti, pazienti, ecc.)
trasparenzasia nel
settore
pubblico
che
privato
presso il Garante,
IL D.LGS. 196/2003
PRINCIPALI FILONI DI DISCIPLINA DEL T.U.
Tutelare gli interessati (consumatori,
utenti, cittadini, contraenti, pazienti, ecc.)
trasparenza sicurezza dei
dati
misure di
natura fisica,
logica,
organizzativa,
procedurale,
etc
strumenti di
tutela
etc
presso il Garante,
oltre che
giurisdizionali
IL D.LGS. 196/2003
Riservatezza dei dati “the right to be alone”
Integrità dei dati
IL D.LGS. 196/2003
Riservatezza dei dati “the right to be alone”
Integrità dei dati
Correttezza dei dati
“diritto di controllo e trasparenza”
“diritto di controllo e trasparenza”
38
Aggiornamento dei dati
“diritto di controllo e trasparenza”
D.Lgs. 196/2003 - ISO/IEC 27001
1.COMPLIANCE FORMALE (ADEMPIMENTI BASILARI)
Tutela dei dati personali
1.COMPLIANCE FORMALE (ADEMPIMENTI BASILARI)
2.COMPLIANCE SOSTANZIALE (VANTAGGI STRATEGICI)
Redazione ed
Aggiornamento
del DPS
Definizione
processi
Organigramma
privacy
ISO/IEC 27001 – D.Lgs. 231/2001: aspetti comuni
1.COMPLIANCE FORMALE (ADEMPIMENTI BASILARI)
Tutela dei dati personali
1.COMPLIANCE FORMALE (ADEMPIMENTI BASILARI)
2.COMPLIANCE SOSTANZIALE (VANTAGGI STRATEGICI)
Adempimento di
prescrizioni
specifiche
Adempimento
delle misure
minime
Organigramma
privacy
Privacy policy
integrata: oltre le
misure minime
Aggiornamento
continuo e sviluppo
di cultura in
materia di privacy
D.LGS. 196/2003: VANTAGGI DELL’ADOZIONE
LIVELLO DI RISCHIO 1
Si effettuano solo alcuni trattamenti di dati
personali comuni, nell’ambito di un numero
ridotto e stabile di processi aziendali.ridotto e stabile di processi aziendali.
LIVELLO
Si effettuano trattamenti di dati personali anche
sensibili e/o giudiziari, ma nell’ambito di un
numero ridotto e stabile di processi aziendali.
LIVELLO DI RISCHIO 3
Si effettuano trattamenti di dati personali
anche sensibili e/o giudiziari nell’ambito
di complessi e/o numerosi processi aziendali.
D.LGS. 196/2003: VANTAGGI DELL’ADOZIONE
LIVELLO DI RISCHIO 1 – STANDARD
Si effettuano solo alcuni trattamenti di dati
personali comuni, nell’ambito di un numero
ridotto e stabile di processi aziendali.ridotto e stabile di processi aziendali.
LIVELLO DI RISCHIO 2 - ELEVATO
Si effettuano trattamenti di dati personali anche
sensibili e/o giudiziari, ma nell’ambito di un
numero ridotto e stabile di processi aziendali.
LIVELLO DI RISCHIO 3 - CRITICO
Si effettuano trattamenti di dati personali
anche sensibili e/o giudiziari nell’ambito
di complessi e/o numerosi processi aziendali.
DA OBBLIGO NORMATIVO A OPPORTUNITA’
La compliance sostanziale permette:
D.LGS. 196/2003: VANTAGGI DELL’ADOZIONE
• L’effettivo adempimento dei requisiti di cui al sistema normativo
• Lo sviluppo di Best Practice
• Un miglioramento dell’immagine aziendale percepita da utenti/clienti, fornitori, lavoratori, terzi ecc.
• Una riduzione dei rischi di sanzioni e di possibili richieste di danni
• Business continuity
• Un’accresciuta capacità di allineamento all’evoluzione in materia di protezione dei dati personali e di sicurezza dei dati
DA OBBLIGO NORMATIVO A OPPORTUNITA’
DA ONERE A INVESTIMENTO
La compliance sostanziale permette:
D.LGS. 196/2003: VANTAGGI DELL’ADOZIONE
L’effettivo adempimento dei requisiti di cui al sistema
Lo sviluppo di Best Practice
Un miglioramento dell’immagine aziendale percepita da utenti/clienti, fornitori, lavoratori, terzi ecc.
Una riduzione dei rischi di sanzioni e di possibili richieste di
Un’accresciuta capacità di allineamento all’evoluzione in materia di protezione dei dati personali e di sicurezza dei dati
art. 15 TU “
Alcuni esempi di norme che rendono necessaria una compliance
sostanziale integrata (D.Lgs. 231/2001, ISO 27001):
D.LGS. 196/2003: VANTAGGI DELL’ADOZIONE
•art. 15 TU “
altri per effetto del trattamento dei dati
personali è tenuto al risarcimento ai sensi
dell’art. 2050 del codice civile
•art. 161 TU “
disposizioni di cui all‘art. 13 (disposizioni di cui all‘art. 13 (
informativa) è punita con la sanzione
amministrativa del pagamento di una
somma da Euro 6.000 a 36.000
art. 15 TU “Chiunque cagiona danno ad
Alcuni esempi di norme che rendono necessaria una compliance
sostanziale integrata (D.Lgs. 231/2001, ISO 27001):
D.LGS. 196/2003: VANTAGGI DELL’ADOZIONE
art. 15 TU “Chiunque cagiona danno ad
altri per effetto del trattamento dei dati
personali è tenuto al risarcimento ai sensi
art. 2050 del codice civile”
art. 161 TU “La violazione delle
disposizioni di cui all‘art. 13 (i.e. disposizioni di cui all‘art. 13 (i.e.
) è punita con la sanzione
amministrativa del pagamento di una
Euro 6.000 a 36.000”
IL PERCORSO PER L’IMPLEMENTAZIONE
Preliminari Progettuale
Dominio del sistema
normativo di tutela
Analisi processi,
rischi, minacce e
dei dati personali
Individuazione delle
norme da applicare
alle fattispecie
concrete
Assessment iniziale;
analisi e classificaz.
criticità
Definizione
privacy policy e
controlli
delle attività
aziendali e dei
relativi processi
Piano di progetto
Costituzione gruppi
di lavoro
IL PERCORSO PER L’IMPLEMENTAZIONE
Progettuale Applicativa Controllo
Analisi processi,
rischi, minacce e
Sviluppo
organizzativo
Audit
6/9/12 mesi
criticità
Definizione
privacy policy e
controlli
Implementazione
misure
organizzative,
logiche, fisiche e
procedurali
Definizione azioni
correttive
Controlli
periodici dei
livelli di
adeguamento
Aggiornamento
rispetto alla
normativa
Formazione
COMMITMENT ALTA
DIREZIONE
• Capitale
umano
• Know how
IL PERCORSO PER L’IMPLEMENTAZIONE
COINVOLGIMENTO
STRUTTURE AZIENDALI
DI COORDINAMENTO E
SUPPORTO
• Capitale
umano
• Know how
COINVOLGIMENTO
STRUTTURE
AZIENDALI
OPERATIVE
(*) Business Process Reengineering (**) Information & Communication Technology
• Coordinamento del
progetto
• Indirizzo del lavoro
• Impulso organizzativo
COMMITMENT ALTA
DIREZIONE
IL PERCORSO PER L’IMPLEMENTAZIONE
•Competenze
• Impulso organizzativo
TEAM DI LAVORO
BUSINESS VALUE
•Competenze
multidisciplinari:
• business strategy
• BPR*
• legale
• ICT**
COINVOLGIMENTO
STRUTTURE
AZIENDALI
OPERATIVE
(*) Business Process Reengineering (**) Information & Communication Technology
I RISULTATI DELL’USO DI UNA METODOLOGIA INTEGRATA
R
Naturalmente la compliance privacy
ma soprattutto…
RISULTAT
individuazione
miglioramento
del
coordinamento TI
individuazione
di opportunità
strategiche
extra-privacy
intragruppo
I RISULTATI DELL’USO DI UNA METODOLOGIA INTEGRATA
Naturalmente la compliance privacy
miglioramento
coordinamento
impatto
positivo sulla
motivazione
delle risorse
umane
corretta
interpretazione
dei processi
operativi
intragruppo
R
Ma anche…
I RISULTATI DELL’USO DI UNA METODOLOGIA INTEGRATA
RISULTAT
maggiore
efficienza ed
riduzione dei
rischi sulla
continuità del
business
TI
efficienza ed
efficacia
nell’utilizzo dei
sistemi e delle
reti
I RISULTATI DELL’USO DI UNA METODOLOGIA INTEGRATA
riduzione dei
rischi sulla
continuità del
business
garanzia
dell’adeguamento
specifico alle altre
normative di
compliance