mappa delle aree aziendali a rischio
Transcript
mappa delle aree aziendali a rischio
Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio verso la Pubblica Amministrazione 1. Negoziazione, stipulazione, esecuzione di contratti per la fornitura di beni e servizi a. negoziazione e acquisizione di ordini di vendita alla PA Rischi potenziali Corruzione/ concussione Procedure aziendali di riferimento PO3.1- PO3.3 – PO3.4 – PO3.7 – PO13.3 (disponibili su portale aziendale InfoSacchi) Funzioni/figure coinvolte VE (Venditori Esterni) siano essi dipendenti, rappresentanti o procacciatori DIRVEN DIRAFC - - - induzione indebita a dare o promettere utilità PO3.1- PO3.3 – PO3.4 – PO3.7 – PO13.3 (disponibili su portale aziendale InfoSacchi) Procedure sistema informativo SAP VE (Venditori Esterni) siano essi dipendenti, rappresentanti o procacciatori DIRVEN DIRAFC TUTTA LA FORZA VENDITE, ovvero: VI (Venditori Interni) VB (Venditori Banco) GF (Gestori di Filiale) CA (Capo Area) CD (Capo Distretto) RUV (Resp.Ufficio Vendite) RCPV (Resp. Canale Punto Vendita) RTPV (Resp. - - - - Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 1 di 15 Sistema di controllo esistente Rischi residui CRM (Customer Relationship Management), ovvero (report visite effettuate presso il cliente, incluso la PA; controllo gerarchico da parte di DIRVEN, tramite organigrammi definiti e sistema di deleghe, nonché attraverso le autorizzazioni del sistema informativo SAP per il rilascio degli OdV diffusione codice etico e di comportamento tramite pianificazione di riunioni e incontri individuali con al forza vendita controllo flussi finanziari e controllo fatture controllo provvigioni forza vendite CRM (Customer Relationship Management), ovvero (report visite effettuate presso il cliente; controllo gerarchico da parte di DIRVEN, tramite organigrammi definiti e sistema di deleghe, nonché attraverso le autorizzazioni del sistema informativo SAP per il rilascio degli OdV diffusione codice etico e di comportamento tramite pianificazione di riunioni e incontri individuali con la forza vendita controllo flussi finanziari e controllo fatture controllo provvigioni forza vendite controlli di magazzino (inventario annuale, inventario - Forzatura DOLOSA del sistema informativo - False autorizzazioni - Accordo tra chi ha il contatto e chi autorizza, per indurre AFC al pagamento di fatture per forniture inesistenti o “gonfiate” copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale - Forzatura DOLOSA del sistema informativo - False autorizzazioni - Accordo tra chi ha il contatto e chi autorizza, per indurre AFC al pagamento di fatture per forniture inesistenti o “gonfiate” - False giustificazioni relative a merce mancante Note/appunti: Chi dà o promette utilità è punibile con una pena fino a 3 anni di reclusione Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio b. partecipazione a gare d’appalto della PA (verifica e preparazione della documentazione) Rischi potenziali Corruzione/ concussione/ truffa Procedure aziendali di riferimento PO3.1 (non esiste procedura specifica) Funzioni/figure coinvolte Sistema di controllo esistente Territ.Punti Vendita) RPV (Resp.Punto Vendita) a rotazione, report periodico rettifiche) monitoraggio periodico merce resa CRM (Customer Relationship Management), ovvero (report visite effettuate presso il cliente, incluso la PA; controllo gerarchico da parte di DIRVEN, tramite sistema di deleghe e attraverso le autorizzazioni del sistema informativo SAP per il rilascio degli OdV controllo flussi finanziari e controllo fatture controllo provvigioni forza vendite CRM (Customer Relationship Management), ovvero (report visite effettuate presso il cliente, incluso la PA; controllo gerarchico da parte di DIRVEN, tramite sistema di deleghe e attraverso le autorizzazioni del sistema informativo SAP per il rilascio degli OdV controllo flussi finanziari e controllo fatture controllo provvigioni forza vendite DIRGEN DIRVEN - - induzione indebita a dare o promettere utilità verso la Pubblica Amministrazione 2. Rapporti per l’ottenimento di autorizzazione e licenze per l’esercizio delle attività aziendali a. licenza di vendita al dettaglio (dichiarazione per superf.vendita, info del punto vendita, ecc.) b. Certificato di Prevenzione Incendi Corruzione/ concussione/ truffa / induzione indebita a dare o promettere utilità Corruzione/ concussione/ truffa / induzione indebita a PO3.1- PO3.3 – PO3.4 – PO3.7 – PO13.3 (disponibili su portale aziendale InfoSacchi) Procedure sistema informativo SAP VE (Venditori Esterni) siano essi dipendenti, rappresentanti o procacciatori DIRVEN DIRAFC GF (Gestori di Filiale) CA (Capo Area) CD (Capo Distretto) RUV (Resp.Ufficio Vendite) RCPV (Resp. Canale Punto Vendita) - nessuna DIRGEN DIRAFC Resp.Serv.Gen. - controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe nessuna DIRGEN RSPP - controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe - - copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 2 di 15 Rischi residui Note/appunti: - produzione di documenti falsi e dichiarazioni mendaci - False autorizzazioni - Accordo tra chi ha il contatto e chi autorizza, per indurre AFC al pagamento di fatture per forniture inesistenti o “gonfiate” - produzione di documenti falsi e dichiarazioni mendaci - False autorizzazioni - Accordo tra chi ha il contatto e chi autorizza, per indurre AFC al pagamento di fatture per forniture inesistenti o “gonfiate” - produzione di documenti falsi e dichiarazioni mendaci - ottenere trattamenti di favore dalla PA - comportamenti dolosi - produzione di documenti falsi e dichiarazioni mendaci - ottenere trattamenti di favore Chi dà o promette utilità è punibile con una pena fino a 3 anni di reclusione Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio Rischi potenziali Procedure aziendali di riferimento Funzioni/figure coinvolte dare o promettere utilità verso la Pubblica Amministrazione verso la Pubblica Amministrazione c. Concessioni Edilizie, concessioni pubblicitarie, pratiche autorizzative varie presso enti della P.A. comunali Corruzione/ concussione/ truffa / induzione indebita a dare o promettere utilità 3. Rapporti per adempimenti in materia di sicurezza del lavoro a. rapporti con l’ASL e ARPA (ispezioni, sanzioni, autorizzazioni, richieste di documentazione) Corruzione/ concussione/ Truffa Corruzione/ concussione/ truffa / induzione indebita a dare o promettere utilità b. rapporti con ASL o DPL a seguito di sopralluoghi in cantieri Corruzione/ concussione/ truffa / induzione indebita a dare o promettere utilità PO 9.7 (appalti) Corruzione/ concussione/ truffa / induzione indebita a dare o promettere utilità Corruzione/ concussione/ truffa / induzione indebita a dare o promettere utilità PO 9.6 (gestione rifiuti) Corruzione/ nessuna 4. Rapporti per adempimenti relativi alle normative in materia di ambiente e gestione rifiuti. a. dichiarazione superfici per applicazione tassa rifiuti – rapporti con il Comune b. rapporti con comune e ex-municipalizzate per attività di ritiro verso la Pubblica Amministrazione 5. Rapporti con gli Enti preposti alle normative in materia di rapporto di lavoro (inserimento lavorativo categorie protette, agevolazioni in fase di assunzione, ecc.) a. comunicazioni varie; nessuna DIRGEN Resp.Serv.Gen.. RSPP 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 3 di 15 Rischi residui - verifiche interne periodiche RSPP dalla PA - comportamenti dolosi - controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe verifiche interne periodiche RSPP controllo e verifica fatture - produzione di documenti falsi e dichiarazioni mendaci - ottenere trattamenti di favore dalla PA - comportamenti dolosi - DIRGEN/Datore di Lavoro RSPP RLS Preposti (GF, Resp.LOG) DIRGEN/Datore di Lavoro RSPP Preposto cantiere Geometra Interno/Esterno - controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi - ottenere trattamenti di favore dalla PA - controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe verifiche interne periodiche RSPP - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi - ottenere trattamenti di favore dalla PA DIRGEN Resp.Serv.Gen. - controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe controllo fatture - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi - ottenere trattamenti di favore dalla PA - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi - ottenere trattamenti di favore dalla PA - PO 9.6 (gestione rifiuti) Codice Definitivo Sistema di controllo esistente - PO14.1 (reg.infortuni); All.1.7 MQ “D.V.R.”; All.1.3 MQ “S.P.P:” Stato DIRGEN Resp.Serv.Gen. DIRAFC Preposti (GF, Resp.LOG) - - controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe controllo fatture DIRPERS - controllo gerarchico da parte copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale - produzione di documenti falsi e Note/appunti: Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia verso la Pubblica Amministrazione verso la Pubblica Amministrazione Processi / attività a rischio Rischi potenziali rapporti con il centro per l’impiego concussione/ truffa / induzione indebita a dare o promettere utilità 6. Rapporti relativi agli adempimenti in materia previdenziale, assistenziale, fiscale a. comunicazioni (anche telematiche) per l’amministrazione del personale e rapporti con vari enti (INAIL, INPS, DPL, centro per l’impiego; le causali sono molteplici, dalla richiesta del DURC per gare d’appalto, alla denuncia infortuni, all’eventuale ottenimento di agevolazioni o finanziamenti 7. Rapporti relativi alle attività di vigilanza da parte degli enti preposti alla verifica del rispetto di norme regolanti lo svolgimento delle attività industriali a. rapporti con enti quali ASL, ARPA (ispezioni, sanzioni, autorizzazioni, richieste di documentazione) b. rapporti con enti quali INAIL, INPS, Ispettorato del Lavoro (ispezioni, sanzioni, autorizzazioni, richieste di documentazione) c. rapporti con l’Agenzia delle Entrate Procedure aziendali di riferimento Funzioni/figure coinvolte Sistema di controllo esistente Rischi residui di DIRGEN, tramite sistema di deleghe dichiarazioni mendaci - comportamenti dolosi Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 4 di 15 Corruzione/ concussione/ truffa / induzione indebita a dare o promettere utilità nessuna DIRPERS - controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi - ottenere trattamenti di favore dalla PA Corruzione/ concussione/ truffa / induzione indebita a dare o promettere utilità PO14.1 (reg.infortuni); All.1.7 MQ “D.V.R.”; All.1.3 MQ “S.P.P:” DIRGEN/Datore di Lavoro RSPP RLS Preposti (GF, Resp.LOG) - - produzione di documenti falsi e dichiarazioni mendaci - ottenere trattamenti di favore dalla PA Corruzione/ concussione/ truffa / induzione indebita a dare o promettere utilità nessuna DIRGEN DIRPERS - controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe verifiche interne RSPP vigilanza da parte del RLS verifiche da parte del Collegio Sindacale controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe verifiche da parte del Collegio Sindacale Corruzione/ concussione/ truffa / induzione indebita a dare o promettere nessuna controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe bilancio certificato da parte di - produzione di documenti falsi e dichiarazioni mendaci - ottenere trattamenti di favore dalla PA - - DIRGEN DIRAFC - - copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale - produzione di documenti falsi e dichiarazioni mendaci - ottenere trattamenti di favore dalla PA Note/appunti: E’ opportuno responsabilizzare AMMPERS tramite lettere di incarico specifica per l’invio telematico di dichiarazioni e informazioni Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio Rischi potenziali Procedure aziendali di riferimento Funzioni/figure coinvolte Sistema di controllo esistente utilità verso la Pubblica Amministrazione 8. Rapporti relativi alla acquisizione e/o gestione di contributi, sovvenzioni, finanziamenti a. corsi di formazione finanziati Reati in tema di erogazioni pubbliche Corruzione/ concussione/ truffa / malversazione / induzione indebita a dare o promettere nessuna DIRGEN DIRPERS - - - b. contributi e finanziamenti per investimenti vari Reati in tema di erogazioni pubbliche Corruzione/ concussione/ truffa / malversazione / induzione indebita a dare o promettere nessuna DIRGEN DIRAFC - - - verso la Pubblica Amministrazione 9. Rapporti per la gestione degli adempimenti tributari in capo alla Società a. rapporti con l’Agenzia delle Entrate Corruzione/ concussione/ truffa / induzione indebita a dare o promettere nessuna DIRGEN DIRAFC - - Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 5 di 15 Rischi residui Note/appunti: controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe, sulla documentazione da presentare diffusione codice etico e di comportamento nelle riunioni di funzione DIRPERS bilancio certificato da parte di terzi (Società di Revisione) verifiche da parte del Collegio Sindacale - produzione di documenti falsi e dichiarazioni mendaci - ottenere trattamenti di favore dalla PA - utilizzare le erogazioni per scopi diversi da quelle previste dal bando controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe, sulla documentazione da presentare diffusione codice etico e di comportamento nelle riunioni di funzione DIRAFC bilancio certificato da parte di terzi (Società di Revisione) verifiche da parte del Collegio Sindacale verifiche da parte dei Consulenti Amministrativi dell’azienda - produzione di documenti falsi e dichiarazioni mendaci - ottenere trattamenti di favore dalla PA - utilizzare le erogazioni per scopi diversi da quelle previste dal bando Il rischio è limitato dal fatto che , di norma, ufficio DIRPERS non interloquisce direttamente con la PA ma tramite società specializzate. E’ opportuno che DIRPERS verifichi formalmente l’idoneità di tali società e richieda formalmente l’adozione del Codice Etico Sacchi da parte delle stesse. E’ opportuno che DIRAFC verifichi formalmente l’idoneità delle società di revisione e richieda formalmente l’adozione del Codice Etico Sacchi da parte delle stesse. controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe bilancio certificato da parte di terzi (Società di Revisione) verifiche da parte del Collegio Sindacale verifiche da parte dei - produzione di documenti falsi e dichiarazioni mendaci - ottenere trattamenti di favore dalla PA - comportamenti dolosi terzi (Società di Revisione) verifiche da parte del Collegio Sindacale copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale E’ opportuno che DIRAFC verifichi formalmente l’idoneità delle società di revisione e richieda formalmente l’adozione del Codice Etico Sacchi da parte delle stesse. Per quanto riguarda i Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio Rischi potenziali Procedure aziendali di riferimento Funzioni/figure coinvolte Sistema di controllo esistente Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 6 di 15 Rischi residui Consulenti Amministrativi dell’azienda Normativa in materia societaria 10. Redazione bilancio e situazioni contabili infrannuali a. processi amministrativi (contabilità) Falso in bilancio, false comunicazioni sociali in danno dei soci e creditori, falso di prospetto, illegale ripartizione degli utili e delle riserve Procedura sistema informativo SAP DIRGEN DIRAFC - - Normativa in materia societaria 11. Gestione rapporti con i soci, Società di revisione, collegio sindacale, consiglio di amministrazione a. Rapporti con il CdA b. Rapporti con la Società di Revisione Impedito controllo, illecita influenza sull’assemblea (tramite occultamento di documenti o informazioni, comunicazione parziale di dati, ecc.) Impedito controllo, illecita influenza sull’assemblea (tramite occultamento di documenti o informazioni, comunicazione parziale di dati, ecc.) nessuna DIRGEN DIRAFC - - nessuna DIRGEN DIRAFC - - consulenti, nella lettera di incarico o preventivo è opportuno che venga esplicitata l’attività di verifica e validazione sui processi amministrativi aziendali. controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe bilancio certificato da parte di terzi (Società di Revisione) verifiche da parte del Collegio Sindacale verifiche da parte dei Consulenti Amministrativi dell’azienda pianificazione di riunioni periodiche CdA - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi bilancio certificato da parte di terzi (Società di Revisione) verifiche da parte del Collegio Sindacale verifiche da parte dei Consulenti Amministrativi dell’azienda pianificazione di riunioni periodiche CdA - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi verifiche da parte del Collegio Sindacale verifiche da parte dei Consulenti Amministrativi dell’azienda pianificazione di riunioni periodiche CdA - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale Note/appunti: Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio c. Rapporti con i Sindaci Normativa in materia societaria 12. Rapporti con le autorità di vigilanza - comunicazioni Garante concorrenza - comunicazioni antiriciclaggio MEF - comunicazioni Garante Privacy Normativa in materia societaria 13. Operazioni sul capitale e destinazione dell’utile - indebita restituzione conferimenti Rischi potenziali Procedure aziendali di riferimento Funzioni/figure coinvolte Impedito controllo, illecita influenza sull’assemblea (tramite occultamento di documenti o informazioni, comunicazione parziale di dati, ecc.) nessuna DIRGEN DIRAFC - Mancata comunicazione Applicazione di sanzioni amministrative e penali nessuna Mancata comunicazione Applicazione di sanzioni amministrative e penali nessuna Mancata comunicazione Applicazione di sanzioni amministrative e penali DPS privacy DIRGEN DIRICT RGQ - Depauperamento patrimonio Applicazione di sanzioni penali nessuna DIRGEN DIRAFC - - - DIRGEN DIRAFC - DIRGEN DIRAFC - - Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 7 di 15 Sistema di controllo esistente Rischi residui bilancio certificato da parte di terzi (Società di Revisione) verifiche da parte dei Consulenti Amministrativi dell’azienda pianificazione di riunioni periodiche CdA - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi verifiche da parte del CdA verifiche da parte del Collegio Sindacale verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda verifiche da parte del CdA verifiche da parte del Collegio Sindacale verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda verifiche da parte del RGQ e DIRICT - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi verifiche da parte del CdA verifiche da parte del Collegio Sindacale verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda - comportamenti dolosi copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi - comportamenti dolosi Note/appunti: Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio - illegale ripartizione riserve Rischi potenziali Depauperamento patrimonio Applicazione di sanzioni penali Procedure aziendali di riferimento nessuna Funzioni/figure coinvolte DIRGEN DIRAFC - - illecite operazioni sulle azioni o quote sociali o della società controllante Depauperamento patrimonio Applicazione di sanzioni penali nessuna DIRGEN DIRAFC - - operazioni in pregiudizio dei creditori Depauperamento patrimonio Applicazione di sanzioni penali nessuna DIRGEN DIRAFC - - formazione fittizia del capitale Depauperamento patrimonio Applicazione di sanzioni penali nessuna DIRGEN DIRAFC - - infedeltà patrimoniale Depauperamento patrimonio Applicazione di sanzioni penali nessuna DIRGEN DIRAFC - Normativa in materia societaria 14. Comunicazione, svolgimento e verbalizzazione dell’assemblea CDA - denunce, comunicazione, depositi al Registro Imprese Mancata denuncia, comunicazione e deposito nessuna DIRGEN DIRAFC - Sistema di controllo esistente Rischi residui verifiche da parte del CdA verifiche da parte del Collegio Sindacale verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda verifiche da parte del CdA verifiche da parte del Collegio Sindacale verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda verifiche da parte del CdA verifiche da parte del Collegio Sindacale verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda verifiche da parte del CdA verifiche da parte del Collegio Sindacale verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda verifiche da parte del CdA verifiche da parte del Collegio Sindacale verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda - comportamenti dolosi verifiche da parte del CdA verifiche da parte del Collegio Sindacale - comportamenti dolosi copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale - comportamenti dolosi - comportamenti dolosi - comportamenti dolosi - comportamenti dolosi Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 8 di 15 Note/appunti: Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio Rischi potenziali Procedure aziendali di riferimento Funzioni/figure coinvolte Applicazione di sanzioni amministrative - omessa convocazione assemblea Irregolare funzionamento degli organi sociali Cattiva gestione Sistema di controllo esistente - nessuna DIRGEN DIRAFC - - manipolazione assemblea Irregolare funzionamento dell’assemblea Cattiva gestione nessuna DIRGEN DIRAFC - Reati contro la personalità dell'individuo (pornografia minorile; detenzione di materiale pornografico; pornografia virtuale) 15 . Utilizzo dei sistemi aziendali di accesso ad internet: a. al fine di promuovere l’attività aziendale o attirare nuovi clienti b. utilizzo posta elettronica collegamento a siti pornografici con mezzi aziendali (PC, PC portatili, telefonini) allo scopo di promuovere l’azienda D.P.S. (privacy) PO9.4-9.5-9.5a PO6.6 scambio di file a contenuto pornografico D.P.S. (privacy) PO9.4-9.5-9.5a PO6.6 DIRGEN DIRCICT DIRPERS DIRCOM DIRVEN TUTTI i dipendenti (che hanno possibilità di accesso a Internet) - DIRICT DIRPERS - tutti i dipendenti (che hanno una mail personale) - - - verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda verifiche da parte del CdA verifiche da parte del Collegio Sindacale verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda verifiche da parte del CdA verifiche da parte del Collegio Sindacale verifiche da parte della Società di Revisione verifiche da parte dei Consulenti Amministrativi dell’azienda controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe controlli interni da parte di DIRICT definizione filtri per la navigazione protezione informatica gestita da ICT per tutta l’azienda (protocolli di accesso, sistema di gestione e rinnovo password, software antivirus, antispamming, ecc.) controllo gerarchico da parte di DIRGEN, tramite sistema di deleghe definizione filtri per lo scambio di mail (limite max 10 MB) protezione informatica gestita da ICT per tutta l’azienda (protocolli di accesso, sistema di gestione e rinnovo copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 9 di 15 Rischi residui - comportamenti dolosi - comportamenti dolosi - materiale pornografico detenuto sulla rete locale e consegnato al cliente, con la promessa di acquisto di materiale - scambio di file pornografici con l’esterno (fino a 10 MB) con clienti, allo scopo di ricevere in cambio un beneficio Note/appunti: Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio Rischi potenziali Procedure aziendali di riferimento Funzioni/figure coinvolte Sistema di controllo esistente Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 10 di 15 Rischi residui Note/appunti: password, software antivirus, antispamming, ecc.) Violazione delle norme antinfortunistiche sulla tutela dell’igiene e della salute sul lavoro1 16. Obblighi inderogabili del Datore di Lavoro: a. valutazione dei rischi per ciascuna sede ed elaborazione del documento b. nomina del RSPP Violazione delle norme antinfortunistiche sulla tutela dell’igiene e della salute sul lavoro 17. Adempimenti in generale previsti dal Testo Unico Sicurezza D.Lgs.81/08: a. elaborazione Procedure di Sicurezza, emanazione regolamenti e disposizioni in materia b. applicazione delle disposizioni e delle procedure (es. consegna e uso DPI, norme di guida carrelli, gestione imprese di terzi, ecc.) c. predisposizione, vidimazione e tenuta del registro infortuni esclusione di alcuni rischi, mancata elaborazione del DVR entro i termini previsti, mancato aggiornamento periodico mancata nomina per la specifica sede, soprattutto per nuove aperture All.1.7 MQ “D.V.R.” mancata elaborazione o aggiornamento mancata applicazione, mancata sorveglianza mancata vidimazione e predisposizione presso la nuova sede DIRGEN/Datore di Lavoro R.S.P.P. R.L.S. Medico Competente - - sopralluoghi e verifiche periodiche da parte del RSPP, seguiti da apposito verbale riunioni periodiche annuali segnalazioni da parte dei RLS - comportamenti dolosi - scambio di informazioni inefficace - produzione di documenti falsi e dichiarazioni mendaci All.1.3 MQ “S.P.P:” DIRGEN/Datore di Lavoro R.S.P.P. R.L.S. - segnalazioni da parte dei RLS - comportamenti dolosi - scambio di informazioni inefficace - produzione di documenti falsi e dichiarazioni mendaci Manuale della Sicurezza aziendale (per mansione, sul portale dipendenti); DVR specifico della sede; PO9.7 Manuale della Sicurezza aziendale (per mansione, sul portale dipendenti) DVR specifico della sede PO 9.7 (appalti) PO14.1 (reg.infortuni) DIRGEN/Datore di Lavoro R.S.P.P. R.L.S. Medico Competente - sopralluoghi e verifiche periodiche da parte del RSPP, seguiti da apposito verbale riunioni periodiche annuali segnalazioni da parte dei RLS - comportamenti dolosi - scambio di informazioni inefficace - produzione di documenti falsi e dichiarazioni mendaci DIRGEN/Datore di Lavoro Tutti i Top Manager Resp.Serv.Gen. - sopralluoghi e verifiche periodiche da parte del RSPP, seguiti da apposito verbale segnalazioni da parte dei RLS - comportamenti dolosi - scambio di informazioni inefficace - produzione di documenti falsi e dichiarazioni mendaci - scarsa sorveglaizna da parte di dirigenti e preposti comportamenti dolosi - - DIRPERS GF per tenuta e compilazione presso propria sede RSPP per controllo - sopralluoghi e verifiche periodiche da parte del RSPP, seguiti da apposito verbale Esiste lettera d’incarico specifica per ciascuna sede,depositata sia nella sede stessa che presso ufficio RSPP; prima del TU veniva inviata a ASL e DPL di competenza esiste lettera di incarico specifica per ciascun preposto (GFIL e DIRLOG) 1 Legge 123/07, Art. 9 “Modifica del decreto legislativo 8 giugno 2001, n. 231”: 1. Dopo l'articolo 25-sexies del decreto legislativo 8 giugno 2001, n. 231, e' inserito il seguente: "Art. 25-septies. - (Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro) - 1. In relazione ai delitti di cui agli articoli 589 e 590, terzo comma, del codice penale, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sui lavoro, si applica una sanzione pecuniaria in misura non inferiore a mille quote. 2. Nel caso di condanna per uno dei delitti di cui al comma 1, si applicano le sanzioni interdittive di cui all'articolo 9, comma 2, per una durata non inferiore a tre mesi e non superiore ad un anno". copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Violazione delle norme antinfortunistiche sulla tutela dell’igiene e della salute sul lavoro Processi / attività a rischio 18. Gestione sicurezza negli appalti: a. DUVRI art.26 d.lgs.81/08 b. apertura cantieri (es. apertura filiali, restyling) Rischi potenziali mancata applicazione informativa sui rischi, valutazione idoneità del fornitore, coordinamento ecc. mancata applicazione di quanto previsto dal titolo IV d.lgs.81/08 Procedure aziendali di riferimento PO 9.7 (appalti) Funzioni/figure coinvolte DIRGEN/Datore di Lavoro Tutti i Top Manager Resp.Serv.Gen. - - PO 9.7 (appalti) DIRGEN/Datore di Lavoro Resp.Serv.Gen. C.E.L. (esterno) Geometra interno/esterno - - Reati ambientali 19. Gestione rifiuti aziendali: a. attività di gestione non autorizzata (art.256 d.l.152/06), traffico illecito di rifiuti b. denuncia MUD, tenuta dei registi e dei formulari (art. 258 d.l.152/06) Reati ambientali 20. Scarichi di acque reflue a. violazioni concernenti gli scarichi Attività di raccolta, trasporto, smaltimento, commercio e intermediazione di rifiuti in mancanza di autorizzazione specifica PO 9.6 (gestione rifiuti) Informazioni errate (quantità e tipologia rifiuto) PO 9.6 (gestione rifiuti) Scarichi non autorizzati ; inquinamento da sostanze provenienti dal ciclo produttivo DIRGEN/Datore di Lavoro Resp.Serv.Gen. RSPP Società specializzate per smaltimento rifiuti - - - nessuna Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 11 di 15 Sistema di controllo esistente Rischi residui Note/appunti: sopralluoghi e verifiche periodiche da parte del RSPP, seguiti da apposito verbale segnalazioni da parte dei RLS - scambio di informazioni inefficace - scarsa sorveglianza da parte di dirigenti e preposti sopralluoghi e verifiche periodiche da parte del RSPP, seguiti da apposito verbale pianificazione visite da parte di geom. interno/esterno, segnalazioni da parte dello stesso segnalazioni da parte dei RLS - scarsa sorveglianza da parte di RSPP e geometra - dichiarazioni mendaci da parte delle imprese esecutrici dei lavori E’ opportuno richiedere in TUTTI I CONTRATTI DI APPALTO la condivisione e accettazione del Codice Etico Sacchi da parte dell’Appaltatore e dei suoi dipendenti E’ opportuno richiedere in TUTTI I CONTRATTI DI APPALTO la condivisione e accettazione del Codice Etico Sacchi da parte dell’Appaltatore e dei suoi dipendenti sopralluoghi e verifiche periodiche da parte del RSPP o RGQ, seguiti da apposito verbale verifica preventiva delle autorizzazioni in possesso dalle ditte specializzate denuncia annuale MUD gestita centralmente da SERV.GEN. sopralluoghi e verifiche periodiche da parte del RSPP o RGQ, seguiti da apposito verbale denuncia annuale MUD e distribuzione di formulari e registri gestita centralmente da SERV.GEN. - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi E’ opportuno richiedere in TUTTI I CONTRATTI DI APPALTO la condivisione e accettazione del Codice Etico Sacchi da parte dell’Appaltatore e dei suoi dipendenti - produzione di documenti falsi e dichiarazioni mendaci - comportamenti dolosi E’ opportuno richiedere in TUTTI I CONTRATTI DI APPALTO la condivisione e accettazione del Codice Etico Sacchi da parte dell’Appaltatore e dei suoi dipendenti - comportamenti dolosi Gli scarichi dell’attività Sacchi sono assimilabili di norma ai domestici; l’eventuale inquinamento di falde o immissione di sostanze pericolose in fognatura deriva DIRGEN/Datore di Lavoro Resp.Serv.Gen. RSPP GF - RLOG Società specializzate per smaltimento rifiuti - DIRGEN/Datore di Lavoro Resp.Serv.Gen. Tutti i dipendenti nessuno - Stato copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio Rischi potenziali Procedure aziendali di riferimento Funzioni/figure coinvolte Sistema di controllo esistente Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 12 di 15 Rischi residui Note/appunti: essenzialmente da atti dolosi. Rapporti tra privati 21. tutte le attività che includono trattative tra soggetti privati a. negoziazione e acquisizione di ordini di vendita b. trattative per gare d’appalto indette da società private Corruzione, induzione indebita a dare o promettere utilità Corruzione, induzione indebita a dare o promettere utilità PO3.1- PO3.3 – PO3.4 – PO3.7 – PO13.3 (disponibili su portale aziendale InfoSacchi) Procedure sistema informativo SAP PO3.1- PO3.3 – PO3.4 – PO3.7 – PO13.3 (disponibili su portale aziendale InfoSacchi) Procedure sistema informativo SAP VE (Venditori Esterni) siano essi dipendenti, rappresentanti o procacciatori DIRVEN DIRAFC TUTTA LA FORZA VENDITE, ovvero: VI (Venditori Interni) VB (Venditori Banco) GF (Gestori di Filiale) CA (Capo Area) CD (Capo Distretto) RUV (Resp.Ufficio Vendite) RCPV (Resp. Canale Punto Vendita) RTPV (Resp. Territ.Punti Vendita) RPV (Resp.Punto Vendita) - VE (Venditori Esterni) siano essi dipendenti, rappresentanti o procacciatori DIRVEN DIRAFC GF (Gestori di Filiale) CA (Capo Area) CD (Capo Distretto) RUV (Resp.Ufficio Vendite) RCPV (Resp. Canale Punto Vendita) - - - - - - - CRM (Customer Relationship Management), ovvero (report visite effettuate presso il cliente; controllo gerarchico da parte di DIRVEN, tramite organigrammi definiti e sistema di deleghe, nonché attraverso le autorizzazioni del sistema informativo SAP per il rilascio degli OdV diffusione codice etico e di comportamento tramite pianificazione di riunioni e incontri individuali con la forza vendita controllo flussi finanziari e controllo fatture controllo provvigioni forza vendite controlli di magazzino (inventario annuale, inventario a rotazione, report periodico rettifiche) monitoraggio periodico merce resa CRM (Customer Relationship Management), ovvero (report visite effettuate presso il cliente, incluso la PA; controllo gerarchico da parte di DIRVEN, tramite sistema di deleghe e attraverso le autorizzazioni del sistema informativo SAP per il rilascio degli OdV controllo flussi finanziari e controllo fatture controllo provvigioni forza vendite copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale - Forzatura DOLOSA del sistema informativo - False autorizzazioni - Accordo tra chi ha il contatto e chi autorizza, per indurre AFC al pagamento di fatture per forniture inesistenti o “gonfiate” - False giustificazioni relative a merce mancante Chi dà o promette utilità è punibile con una pena fino a 3 anni di reclusione - produzione di documenti falsi e dichiarazioni mendaci - False autorizzazioni - Accordo tra chi ha il contatto e chi autorizza, per indurre AFC al pagamento di fatture per forniture inesistenti o “gonfiate” Chi dà o promette utilità è punibile con una pena fino a 3 anni di reclusione Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio c. negoziazione ed emissione di ordini di acquisto di prodotti e servizi Mercato del lavoro 22. assunzione di personale diretto a. assunzione di personale extra UE 22. verifica contratti di appalto e di servizio a. outsourcing di servizi (movim.magazzino, pulizie, trasporti, ecc.) Rischi potenziali Procedure aziendali di riferimento Funzioni/figure coinvolte Corruzione, induzione indebita a dare o promettere utilità PO 6.1, PO 6.2, PO 6.3, PO 6.4, PO 6.5, PO 9.7, PO 13.5 (disponibili sul portale aziendale InfoSacchi) Procedure sistema informativo SAP DIRCOM Resp.ACQ Buyer ACQ DIRPERS Resp.SERVGEN DIRICT Resp.MKT DIRSUPPLYCHAIN Resp.LOG DIRAFC DIRGEN - DIRPERS DIRGEN - Impiego di cittadini di paesi terzi il cui soggiorno è irregolare PO 18.2 Impiego di cittadini di paesi terzi il cui soggiorno è irregolare PO 9.7 - - DIRPERS DIRSUPPLYCHAIN Resp.SERVGEN DIRGEN - Privacy e Trattamento dei dati 23. Trattamento dei Dati a. raccolta e tenuta dei dati relativi ai clienti Trattamento illecito dei dati (es. invio pubblicità e MKT senza il consenso del cliente); invio di dati a soggetti non autorizzati al trattamento e per scopi diversi da quanto previsto dal codice privacy PO 9.5 PO 9.5a PO 9.8 All.9.5.4 All.9.5.3 DPS DIRICT DIRMKT DIRVEN - - - b. raccolta e tenuta dei dati Trattamento illecito PO 9.5 DIRICT - Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 13 di 15 Sistema di controllo esistente Rischi residui controllo gerarchico da parte dei vari responsabili, tramite sistema di deleghe e attraverso le autorizzazioni del sistema informativo SAP per il rilascio degli OdA e OdS controllo rispetto del BDG da parte di COGEST controllo fatture da parte di CONT controllo premi fornitori a fine anno da parte di DIRCOM e DIRAFC - produzione di documenti falsi e dichiarazioni mendaci - False autorizzazioni - Accordo tra chi ha il contatto e chi autorizza, per indurre AFC al pagamento di fatture per forniture inesistenti o “gonfiate” - Invio ai dipendenti presso sedi diverse da quelle di lavoro di regali e omaggi di valore importante controllo preventivo dei documenti di soggiorno raccolta di referenze - contraffazione dei documenti di soggiorno regolare - accordi tra chi assume e il candidato controllo preventivo dei documenti di soggiorno verifica del DURC della società controlli a campione sul personale dell’appaltatore - contraffazione dei documenti di soggiorno regolare - accordi tra chi sottoscrive il contratto di sevizio e l’appaltatore rilascio utenze da parte di DIRICT regole privacy gestite da ICT (es. obbligo aggiornamento pw) misure preventive previste nel DPS custodia dei server con i dati aziendali da parte di terzi: verifica delle condizioni contrattuali relative al trattamento dei dati sistemi di protezione dei dati contro virus e hacker codice etico aziendale e informativa ai clienti (sito, poster, cartaceo per inserimento anagrafica clienti) rilascio utenze da parte di - raccolta e trasmissione dei dati sensibili a soggetti non autorizzati - inefficacia dei sistemi di protezione dei dati contro intrusione da parte di terzi - comportamento dolosa da parte dei soggetti autorizzati al trattamento DPS da aggiornare - raccolta e trasmissione dei dati DPS da aggiornare copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale Note/appunti: Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio relativi ai dipendenti Rischi potenziali dei dati; invio di dati a soggetti non autorizzati al trattamento e per scopi diversi da quanto previsto dal codice privacy; utilizzo dei dati sensibili personali da parte dei soggetti incaricati per scopi diversi da quanto consentito dal d.l.196/03 Procedure aziendali di riferimento PO 9.5a PO 9.8 All.9.5.7 All.9.5.3 DPS Funzioni/figure coinvolte DIRPERS Tutti i responsabili che gestiscono persone - - - 23. Rapporti con il Garante a. falsità dichiarazioni notificazioni Garante codice etico aziendale b. violazione delle norme in materia di “misure di sicurezza”, in tutti i processi aziendali Violazione delle misure di sicurezza previste dal MQ e DPS PO 9.5 PO 9.5a PO 9.8 All.9.5.4 All.9.5.3 DPS DIRICT Tutti i collaboratori - - rilascio utenze da parte di DIRICT regole privacy gestite da ICT (es. obbligo aggiornamento pw) misure preventive previste nel DPS sistemi di protezione dei dati contro virus e hacker codice etico aziendale verifiche da parte di ICT organigramma privacy chiaro frode informatica - privacy policy informativa ai dipendenti applicazione del Codice Etico 24. sostituzione di identità digitale (identità false o indebitamente sostituite) a. tutti i processi (vendite, acquisto) che prevedono al Mancata predisposizione delle misure richieste dal Garante DPS DIRICT Sostituirsi ad altre persone/società per ottenere vantaggi PO 9.5 PO 9.5a PO 9.8 DIRICT DIPERS Pagina Pellegatta G. 14 di 15 - comunicazione parziale o errata rispetto a quanto previsto dal d.l196/03 - produzione di documenti falsi e mendaci - forzatura dolosa del sistema informativo e delle regole previste da ICT - dei del 05/02/13 Autore sensibili a soggetti non autorizzati - inefficacia dei sistemi di protezione dei dati contro intrusione da parte di terzi - comportamento DIRICT c. inosservanza provvedimenti Garante Data revisione 01 DIRICT e DIRPERS regole privacy gestite da ICT (es. obbligo aggiornamento pw) regole privacy interne DIRPERS misure preventive previste nel DPS verifica delle condizioni contrattuali relative al trattamento dei dati da parte di terzi (es. INAZ) sistemi di protezione dei dati contro virus e hacker codice etico aziendale e informativa ai dipendenti (a cura DirPers) DPS - 231.RISCHI Indice revisione Rischi residui Invio dichiarazioni e notifiche false al garante - Codice Definitivo Sistema di controllo esistente nelle e al - Stato copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale Note/appunti: - comunicazione ed organizzazione inefficacia in caso di notifica e provvedimenti da parte del garante - comportamento dolosa parte dei dipendenti da Titolo MAPPA DELLE AREE AZIENDALI A RISCHIO Analisi dei rischi potenziali - Sistema dei controlli preventivi Tipologia ALLEGATO A MODELLO 231 Tipologia Processi / attività a rischio comunicazione e lo scambio di dati tramite strumenti informatici Carte di Credito Rischi potenziali Procedure aziendali di riferimento per l’azienda (da parte di dipendenti) All.9.5.7 All.9.5.3 DPS ???? ???? Funzioni/figure coinvolte Sistema di controllo esistente - verifica a campione da parte di ICT - Policy per utilizzo carte di credito? Rischi residui 25. utilizzo indebito, falsificazione o alterazione di carte di credito o di pagamento a. ???? DIRPERS DIRAFC - copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale - Dolo? - Stato Codice Definitivo 231.RISCHI Indice revisione Data revisione 01 05/02/13 Autore Pagina Pellegatta G. 15 di 15 Note/appunti: