mappa delle aree aziendali a rischio

Transcript

Titolo
MAPPA DELLE AREE AZIENDALI A RISCHIO
Analisi dei rischi potenziali - Sistema dei controlli preventivi
Tipologia
ALLEGATO A MODELLO 231
Tipologia
Processi / attività a
rischio
verso la
Pubblica
Amministrazione
1. Negoziazione,
stipulazione, esecuzione
di contratti per la fornitura
di beni e servizi
a. negoziazione e
acquisizione di ordini di
vendita alla PA
Rischi
potenziali
Corruzione/
concussione
Procedure
aziendali di
riferimento
PO3.1- PO3.3 –
PO3.4 – PO3.7 –
PO13.3 (disponibili
su portale aziendale
InfoSacchi)
Funzioni/figure
coinvolte
VE (Venditori
Esterni) siano essi
dipendenti,
rappresentanti o
procacciatori
DIRVEN
DIRAFC
-
-
-
induzione indebita a
dare o promettere
utilità
PO3.1- PO3.3 –
PO3.4 – PO3.7 –
PO13.3 (disponibili
InfoSacchi)
Procedure sistema
informativo SAP
VE (Venditori
Esterni) siano essi
dipendenti,
rappresentanti o
procacciatori
DIRVEN
DIRAFC
TUTTA LA FORZA
VENDITE, ovvero:
VI (Venditori Interni)
VB (Venditori
Banco)
GF (Gestori di
Filiale)
CA (Capo Area)
CD (Capo Distretto)
RUV (Resp.Ufficio
Vendite)
RCPV (Resp.
Canale Punto
Vendita)
RTPV (Resp.
-
-
-
-
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
1 di 15
Sistema di controllo
esistente
Rischi residui
CRM (Customer Relationship
Management), ovvero (report
visite effettuate presso il
cliente, incluso la PA;
controllo gerarchico da parte
di DIRVEN, tramite
organigrammi definiti e
sistema di deleghe, nonché
attraverso le autorizzazioni del
sistema informativo SAP per il
rilascio degli OdV
diffusione codice etico e di
comportamento tramite
pianificazione di riunioni e
incontri individuali con al forza
vendita
controllo flussi finanziari e
controllo fatture
controllo provvigioni forza
vendite
cliente;
di DIRVEN, tramite
rilascio degli OdV
incontri individuali con la forza
vendita
controllo fatture
vendite
controlli di magazzino
(inventario annuale, inventario
- Forzatura DOLOSA del
sistema informativo
- False autorizzazioni
- Accordo tra chi ha il contatto e
chi autorizza, per indurre AFC
al pagamento di fatture per
forniture inesistenti o “gonfiate”
copia cartacea, il documento in corso di validità è anche disponibile sul portale aziendale
sistema informativo
- False giustificazioni relative a
merce mancante
Note/appunti:
Chi dà o promette utilità è
punibile con una pena fino
a 3 anni di reclusione
Titolo
Tipologia
Tipologia
rischio
b. partecipazione a gare
d’appalto della PA
(verifica e preparazione
della documentazione)
Rischi
potenziali
Corruzione/
concussione/ truffa
Procedure
aziendali di
riferimento
PO3.1 (non esiste
procedura specifica)
Funzioni/figure
coinvolte
esistente
Territ.Punti Vendita)
RPV (Resp.Punto
Vendita)
a rotazione, report periodico
rettifiche)
monitoraggio periodico merce
resa
di DIRVEN, tramite sistema di
deleghe e attraverso le
autorizzazioni del sistema
informativo SAP per il rilascio
degli OdV
controllo fatture
vendite
degli OdV
controllo fatture
vendite
DIRGEN
DIRVEN
-
-
dare o promettere
utilità
verso la
Pubblica
Amministrazione
2. Rapporti per
l’ottenimento di
autorizzazione e licenze
per l’esercizio delle attività
aziendali
a. licenza di vendita al
dettaglio (dichiarazione
per superf.vendita, info
del punto vendita, ecc.)
b. Certificato di
Prevenzione Incendi
Corruzione/
concussione/ truffa /
dare o promettere
utilità
Corruzione/
PO3.1- PO3.3 –
PO3.4 – PO3.7 –
PO13.3 (disponibili
InfoSacchi)
Procedure sistema
informativo SAP
VE (Venditori
Esterni) siano essi
dipendenti,
rappresentanti o
procacciatori
DIRVEN
DIRAFC
GF (Gestori di
Filiale)
CA (Capo Area)
CD (Capo Distretto)
RUV (Resp.Ufficio
Vendite)
RCPV (Resp.
Canale Punto
Vendita)
-
nessuna
DIRGEN
DIRAFC
Resp.Serv.Gen.
-
di DIRGEN, tramite sistema di
deleghe
nessuna
DIRGEN
RSPP
-
deleghe
-
-
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
2 di 15
Rischi residui
Note/appunti:
- produzione di documenti falsi e
dichiarazioni mendaci
- ottenere trattamenti di favore
dalla PA
- comportamenti dolosi
Titolo
Tipologia
Tipologia
rischio
Rischi
potenziali
Procedure
aziendali di
riferimento
Funzioni/figure
coinvolte
dare o promettere
utilità
verso la
Pubblica
Amministrazione
verso la
Pubblica
Amministrazione
c. Concessioni Edilizie,
concessioni
pubblicitarie, pratiche
autorizzative varie
presso enti della P.A.
comunali
Corruzione/
dare o promettere
utilità
3. Rapporti per
adempimenti in materia di
sicurezza del lavoro
a. rapporti con l’ASL e
ARPA (ispezioni,
sanzioni,
autorizzazioni, richieste
di documentazione)
Corruzione/
concussione/
Truffa
Corruzione/
dare o promettere
utilità
b. rapporti con ASL o DPL
a seguito di
sopralluoghi in cantieri
Corruzione/
dare o promettere
utilità
PO 9.7 (appalti)
Corruzione/
dare o promettere
utilità
Corruzione/
dare o promettere
utilità
PO 9.6 (gestione
rifiuti)
Corruzione/
nessuna
4. Rapporti per
adempimenti relativi alle
normative in materia di
ambiente e gestione rifiuti.
a. dichiarazione superfici
per applicazione tassa
rifiuti – rapporti con il
Comune
b. rapporti con comune e
ex-municipalizzate per
attività di ritiro
verso la
Pubblica
Amministrazione
5. Rapporti con gli Enti
preposti alle normative in
materia di rapporto di
lavoro (inserimento
lavorativo categorie
protette, agevolazioni in
fase di assunzione, ecc.)
a. comunicazioni varie;
nessuna
DIRGEN
Resp.Serv.Gen..
RSPP
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
3 di 15
Rischi residui
-
verifiche interne periodiche
RSPP
dalla PA
-
deleghe
RSPP
controllo e verifica fatture
dalla PA
-
DIRGEN/Datore di
Lavoro
RSPP
RLS
Preposti (GF,
Resp.LOG)
DIRGEN/Datore di
Lavoro
RSPP
Preposto cantiere
Geometra
Interno/Esterno
-
deleghe
dalla PA
-
deleghe
RSPP
dalla PA
DIRGEN
Resp.Serv.Gen.
-
deleghe
controllo fatture
dalla PA
dalla PA
-
PO 9.6 (gestione
rifiuti)
Codice
Definitivo
esistente
-
PO14.1
(reg.infortuni);
All.1.7 MQ “D.V.R.”;
All.1.3 MQ “S.P.P:”
Stato
DIRGEN
Resp.Serv.Gen.
DIRAFC
Preposti (GF,
Resp.LOG)
-
-
deleghe
controllo fatture
DIRPERS
-
Note/appunti:
Titolo
Tipologia
Tipologia
verso la
Pubblica
Amministrazione
verso la
Pubblica
Amministrazione
rischio
Rischi
potenziali
rapporti con il centro
per l’impiego
dare o promettere
utilità
6. Rapporti relativi agli
adempimenti in materia
previdenziale,
assistenziale, fiscale
a. comunicazioni (anche
telematiche) per
l’amministrazione del
personale e rapporti
con vari enti (INAIL,
INPS, DPL, centro per
l’impiego; le causali
sono molteplici, dalla
richiesta del DURC per
gare d’appalto, alla
denuncia infortuni,
all’eventuale
ottenimento di
agevolazioni o
finanziamenti
7. Rapporti relativi alle
attività di vigilanza da
parte degli enti preposti
alla verifica del rispetto di
norme regolanti lo
svolgimento delle attività
industriali
a. rapporti con enti quali
ASL, ARPA (ispezioni,
sanzioni,
di documentazione)
b. rapporti con enti quali
INAIL, INPS,
Ispettorato del Lavoro
(ispezioni, sanzioni,
di documentazione)
c. rapporti con l’Agenzia
delle Entrate
Procedure
aziendali di
riferimento
Funzioni/figure
coinvolte
esistente
Rischi residui
deleghe
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
4 di 15
Corruzione/
dare o promettere
utilità
nessuna
DIRPERS
-
deleghe
dalla PA
Corruzione/
dare o promettere
utilità
PO14.1
(reg.infortuni);
All.1.7 MQ “D.V.R.”;
DIRGEN/Datore di
Lavoro
RSPP
RLS
Preposti (GF,
Resp.LOG)
-
dalla PA
Corruzione/
dare o promettere
utilità
nessuna
DIRGEN
DIRPERS
-
deleghe
verifiche interne RSPP
vigilanza da parte del RLS
verifiche da parte del Collegio
Sindacale
deleghe
Sindacale
Corruzione/
dare o promettere
nessuna
deleghe
bilancio certificato da parte di
dalla PA
-
-
DIRGEN
DIRAFC
-
-
dalla PA
Note/appunti:
E’ opportuno
responsabilizzare
AMMPERS tramite lettere
di incarico specifica per
l’invio telematico di
dichiarazioni e
informazioni
Titolo
Tipologia
Tipologia
rischio
Rischi
potenziali
Procedure
aziendali di
riferimento
Funzioni/figure
coinvolte
esistente
utilità
verso la
Pubblica
Amministrazione
8. Rapporti relativi alla
acquisizione e/o gestione
di contributi, sovvenzioni,
finanziamenti
a. corsi di formazione
finanziati
Reati in tema di
erogazioni
pubbliche
Corruzione/
malversazione /
dare o promettere
nessuna
DIRGEN
DIRPERS
-
-
-
b. contributi e
finanziamenti per
investimenti vari
Reati in tema di
erogazioni
pubbliche
Corruzione/
malversazione /
dare o promettere
nessuna
DIRGEN
DIRAFC
-
-
-
verso la
Pubblica
Amministrazione
9. Rapporti per la
gestione degli
adempimenti tributari in
capo alla Società
a. rapporti con l’Agenzia
delle Entrate
Corruzione/
dare o promettere
nessuna
DIRGEN
DIRAFC
-
-
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
5 di 15
Rischi residui
Note/appunti:
deleghe, sulla
documentazione da
presentare
comportamento nelle riunioni
di funzione DIRPERS
terzi (Società di Revisione)
Sindacale
dalla PA
- utilizzare le erogazioni per
scopi diversi da quelle previste
dal bando
deleghe, sulla
documentazione da
presentare
comportamento nelle riunioni
di funzione DIRAFC
Sindacale
verifiche da parte dei
Consulenti Amministrativi
dell’azienda
dalla PA
- utilizzare le erogazioni per
scopi diversi da quelle previste
dal bando
Il rischio è limitato dal fatto
che , di norma, ufficio
DIRPERS non
interloquisce direttamente
con la PA ma tramite
società specializzate.
E’ opportuno che
DIRPERS verifichi
formalmente l’idoneità di
tali società e richieda
formalmente l’adozione del
Codice Etico Sacchi da
parte delle stesse.
E’ opportuno che DIRAFC
verifichi formalmente
l’idoneità delle società di
revisione e richieda
parte delle stesse.
deleghe
Sindacale
dalla PA
Sindacale
E’ opportuno che DIRAFC
verifichi formalmente
l’idoneità delle società di
revisione e richieda
parte delle stesse.
Per quanto riguarda i
Titolo
Tipologia
Tipologia
rischio
Rischi
potenziali
Procedure
aziendali di
riferimento
Funzioni/figure
coinvolte
esistente
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
6 di 15
Rischi residui
dell’azienda
Normativa in
materia
societaria
10. Redazione bilancio e
situazioni contabili
infrannuali
a. processi amministrativi
(contabilità)
Falso in bilancio,
false comunicazioni
sociali in danno dei
soci e creditori, falso
di prospetto, illegale
ripartizione degli utili
e delle riserve
Procedura sistema
informativo SAP
DIRGEN
DIRAFC
-
-
Normativa in
materia
societaria
11. Gestione rapporti
con i soci, Società di
revisione, collegio
sindacale, consiglio di
amministrazione
a. Rapporti con il CdA
b. Rapporti con la Società
di Revisione
Impedito controllo,
illecita influenza
sull’assemblea
(tramite
occultamento di
documenti o
informazioni,
comunicazione
parziale di dati,
ecc.)
Impedito controllo,
illecita influenza
sull’assemblea
(tramite
occultamento di
documenti o
informazioni,
comunicazione
parziale di dati,
ecc.)
nessuna
DIRGEN
DIRAFC
-
-
nessuna
DIRGEN
DIRAFC
-
-
consulenti, nella lettera di
incarico o preventivo è
opportuno che venga
esplicitata l’attività di
verifica e validazione sui
processi amministrativi
aziendali.
deleghe
Sindacale
dell’azienda
pianificazione di riunioni
periodiche CdA
Sindacale
dell’azienda
periodiche CdA
Sindacale
dell’azienda
periodiche CdA
Note/appunti:
Titolo
Tipologia
Tipologia
rischio
c. Rapporti con i Sindaci
Normativa in
materia
societaria
12. Rapporti con le
autorità di vigilanza
- comunicazioni Garante
concorrenza
- comunicazioni
antiriciclaggio MEF
- comunicazioni Garante
Privacy
Normativa in
materia
societaria
13. Operazioni sul
capitale e destinazione
dell’utile
- indebita restituzione
conferimenti
Rischi
potenziali
Procedure
aziendali di
riferimento
Funzioni/figure
coinvolte
Impedito controllo,
illecita influenza
sull’assemblea
(tramite
occultamento di
documenti o
informazioni,
comunicazione
parziale di dati,
ecc.)
nessuna
DIRGEN
DIRAFC
-
Mancata
comunicazione
Applicazione di
sanzioni
amministrative e
penali
nessuna
Mancata
comunicazione
Applicazione di
sanzioni
amministrative e
penali
nessuna
Mancata
comunicazione
Applicazione di
sanzioni
amministrative e
penali
DPS privacy
DIRGEN
DIRICT
RGQ
-
Depauperamento
patrimonio
Applicazione di
sanzioni penali
nessuna
DIRGEN
DIRAFC
-
-
-
DIRGEN
DIRAFC
-
DIRGEN
DIRAFC
-
-
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
7 di 15
esistente
Rischi residui
dell’azienda
periodiche CdA
verifiche da parte del CdA
Sindacale
verifiche da parte della
Società di Revisione
dell’azienda
Sindacale
dell’azienda
verifiche da parte del RGQ e
DIRICT
Sindacale
dell’azienda
Note/appunti:
Titolo
Tipologia
Tipologia
rischio
- illegale ripartizione
riserve
Rischi
potenziali
Depauperamento
patrimonio
Applicazione di
sanzioni penali
Procedure
aziendali di
riferimento
nessuna
Funzioni/figure
coinvolte
DIRGEN
DIRAFC
-
- illecite operazioni sulle
azioni o quote sociali o
della società controllante
Depauperamento
patrimonio
Applicazione di
sanzioni penali
nessuna
DIRGEN
DIRAFC
-
- operazioni in pregiudizio
dei creditori
Depauperamento
patrimonio
Applicazione di
sanzioni penali
nessuna
DIRGEN
DIRAFC
-
- formazione fittizia del
capitale
Depauperamento
patrimonio
Applicazione di
sanzioni penali
nessuna
DIRGEN
DIRAFC
-
- infedeltà patrimoniale
Depauperamento
patrimonio
Applicazione di
sanzioni penali
nessuna
DIRGEN
DIRAFC
-
Normativa in
materia
societaria
14. Comunicazione,
svolgimento e
verbalizzazione
dell’assemblea CDA
- denunce,
comunicazione, depositi al
Registro Imprese
Mancata denuncia,
comunicazione e
deposito
nessuna
DIRGEN
DIRAFC
-
esistente
Rischi residui
Sindacale
dell’azienda
Sindacale
dell’azienda
Sindacale
dell’azienda
Sindacale
dell’azienda
Sindacale
dell’azienda
Sindacale
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
8 di 15
Note/appunti:
Titolo
Tipologia
Tipologia
rischio
Rischi
potenziali
Procedure
aziendali di
riferimento
Funzioni/figure
coinvolte
Applicazione di
sanzioni
amministrative
- omessa convocazione
assemblea
Irregolare
funzionamento degli
organi sociali
Cattiva gestione
esistente
-
nessuna
DIRGEN
DIRAFC
-
- manipolazione
assemblea
Irregolare
funzionamento
dell’assemblea
Cattiva gestione
nessuna
DIRGEN
DIRAFC
-
Reati contro la
personalità
dell'individuo
(pornografia
minorile;
detenzione di
materiale
pornografico;
pornografia
virtuale)
15 . Utilizzo dei sistemi
aziendali di accesso ad
internet:
a. al fine di promuovere
l’attività aziendale o
attirare nuovi clienti
b. utilizzo posta
elettronica
collegamento a siti
pornografici con
mezzi aziendali (PC,
PC portatili,
telefonini) allo scopo
di promuovere
l’azienda
D.P.S. (privacy)
PO9.4-9.5-9.5a
PO6.6
scambio di file a
contenuto
pornografico
D.P.S. (privacy)
PO9.4-9.5-9.5a
PO6.6
DIRGEN
DIRCICT
DIRPERS
DIRCOM
DIRVEN
TUTTI i dipendenti
(che hanno
possibilità di
accesso a Internet)
-
DIRICT
DIRPERS
-
tutti i dipendenti
(che hanno una mail
personale)
-
-
-
dell’azienda
Sindacale
dell’azienda
Sindacale
dell’azienda
deleghe
controlli interni da parte di
DIRICT
definizione filtri per la
navigazione
protezione informatica gestita
da ICT per tutta l’azienda
(protocolli di accesso, sistema
di gestione e rinnovo
password, software antivirus,
antispamming, ecc.)
deleghe
definizione filtri per lo
scambio di mail (limite max 10
MB)
protezione informatica gestita
da ICT per tutta l’azienda
(protocolli di accesso, sistema
di gestione e rinnovo
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
9 di 15
Rischi residui
- materiale
pornografico
detenuto sulla rete locale e
consegnato al cliente, con la
promessa di acquisto di
materiale
- scambio di file pornografici con
l’esterno (fino a 10 MB) con
clienti, allo scopo di ricevere in
cambio un beneficio
Note/appunti:
Titolo
Tipologia
Tipologia
rischio
Rischi
potenziali
Procedure
aziendali di
riferimento
Funzioni/figure
coinvolte
esistente
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
10 di 15
Rischi residui
Note/appunti:
password, software antivirus,
antispamming, ecc.)
Violazione delle
norme
antinfortunistiche
sulla tutela
dell’igiene e
della salute sul
lavoro1
16. Obblighi inderogabili
del Datore di Lavoro:
a. valutazione dei rischi
per ciascuna sede ed
elaborazione del
documento
b. nomina del RSPP
Violazione delle
norme
antinfortunistiche
sulla tutela
dell’igiene e
della salute sul
lavoro
17. Adempimenti in
generale previsti dal Testo
Unico Sicurezza
D.Lgs.81/08:
a. elaborazione
Procedure di
Sicurezza, emanazione
regolamenti e
disposizioni in materia
b. applicazione delle
disposizioni e delle
procedure (es.
consegna e uso DPI,
norme di guida carrelli,
gestione imprese di
terzi, ecc.)
c. predisposizione,
vidimazione e tenuta
del registro infortuni
esclusione di alcuni
rischi, mancata
elaborazione del
DVR entro i termini
previsti, mancato
aggiornamento
periodico
mancata nomina per
la specifica sede,
soprattutto per
nuove aperture
All.1.7 MQ “D.V.R.”
mancata
elaborazione o
aggiornamento
mancata
applicazione,
mancata
sorveglianza
mancata
vidimazione e
predisposizione
presso la nuova
sede
DIRGEN/Datore di
Lavoro
R.S.P.P.
R.L.S.
Medico Competente
-
-
sopralluoghi e verifiche
periodiche da parte del
RSPP, seguiti da apposito
verbale
riunioni periodiche annuali
segnalazioni da parte dei RLS
- scambio di informazioni
inefficace
DIRGEN/Datore di
Lavoro
R.S.P.P.
R.L.S.
-
inefficace
Manuale della
Sicurezza aziendale
(per mansione, sul
portale dipendenti);
DVR specifico della
sede;
PO9.7
Manuale della
Sicurezza aziendale
(per mansione, sul
portale dipendenti)
DVR specifico della
sede
PO 9.7 (appalti)
PO14.1
(reg.infortuni)
DIRGEN/Datore di
Lavoro
R.S.P.P.
R.L.S.
Medico Competente
-
verbale
riunioni periodiche annuali
inefficace
DIRGEN/Datore di
Lavoro
Tutti i Top Manager
Resp.Serv.Gen.
-
verbale
inefficace
- scarsa sorveglaizna da parte di
dirigenti e preposti
comportamenti dolosi
-
-
DIRPERS
GF per tenuta e
compilazione presso
propria sede
RSPP per controllo
-
verbale
Esiste lettera d’incarico
specifica per ciascuna
sede,depositata sia nella
sede stessa che presso
ufficio RSPP; prima del TU
veniva inviata a ASL e
DPL di competenza
esiste lettera di incarico
specifica per ciascun
preposto (GFIL e
DIRLOG)
1 Legge 123/07, Art. 9 “Modifica del decreto legislativo 8 giugno 2001, n. 231”:
1. Dopo l'articolo 25-sexies del decreto legislativo 8 giugno 2001, n. 231, e' inserito il seguente: "Art. 25-septies. - (Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro) - 1. In relazione ai
delitti di cui agli articoli 589 e 590, terzo comma, del codice penale, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sui lavoro, si applica una sanzione pecuniaria in misura non inferiore a mille quote.
2. Nel caso di condanna per uno dei delitti di cui al comma 1, si applicano le sanzioni interdittive di cui all'articolo 9, comma 2, per una durata non inferiore a tre mesi e non superiore ad un anno".
Titolo
Tipologia
Tipologia
Violazione delle
norme
antinfortunistiche
sulla tutela
dell’igiene e
della salute sul
lavoro
rischio
18. Gestione sicurezza
negli appalti:
a. DUVRI art.26
d.lgs.81/08
b. apertura cantieri (es.
apertura filiali, restyling)
Rischi
potenziali
mancata
applicazione
informativa sui
rischi, valutazione
idoneità del
fornitore,
coordinamento ecc.
mancata
applicazione di
quanto previsto dal
titolo IV d.lgs.81/08
Procedure
aziendali di
riferimento
PO 9.7 (appalti)
Funzioni/figure
coinvolte
DIRGEN/Datore di
Lavoro
Tutti i Top Manager
Resp.Serv.Gen.
-
-
PO 9.7 (appalti)
DIRGEN/Datore di
Lavoro
Resp.Serv.Gen.
C.E.L. (esterno)
Geometra
interno/esterno
-
-
Reati ambientali
19. Gestione rifiuti
aziendali:
a. attività di gestione non
autorizzata (art.256
d.l.152/06), traffico
illecito di rifiuti
b. denuncia MUD, tenuta
dei registi e dei
formulari (art. 258
d.l.152/06)
Reati ambientali
20. Scarichi di acque
reflue
a. violazioni concernenti
gli scarichi
Attività di raccolta,
trasporto,
smaltimento,
commercio e
intermediazione di
rifiuti in mancanza di
autorizzazione
specifica
PO 9.6 (gestione
rifiuti)
Informazioni errate
(quantità e tipologia
rifiuto)
PO 9.6 (gestione
rifiuti)
Scarichi non
autorizzati ;
inquinamento da
sostanze
provenienti dal ciclo
produttivo
DIRGEN/Datore di
Lavoro
Resp.Serv.Gen.
RSPP
Società
specializzate per
smaltimento rifiuti
-
-
-
nessuna
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
11 di 15
esistente
Rischi residui
Note/appunti:
verbale
inefficace
- scarsa sorveglianza da parte di
dirigenti e preposti
verbale
pianificazione visite da parte
di geom. interno/esterno,
segnalazioni da parte dello
stesso
- scarsa sorveglianza da parte di
RSPP e geometra
- dichiarazioni mendaci da parte
delle imprese esecutrici dei
lavori
E’ opportuno richiedere in
TUTTI I CONTRATTI DI
APPALTO la condivisione
e accettazione del Codice
Etico Sacchi da parte
dell’Appaltatore e dei suoi
dipendenti
dipendenti
periodiche da parte del RSPP
o RGQ, seguiti da apposito
verbale
verifica preventiva delle
autorizzazioni in possesso
dalle ditte specializzate
denuncia annuale MUD
gestita centralmente da
SERV.GEN.
periodiche da parte del RSPP
o RGQ, seguiti da apposito
verbale
denuncia annuale MUD e
distribuzione di formulari e
registri gestita centralmente
da SERV.GEN.
dipendenti
dipendenti
Gli scarichi dell’attività
Sacchi sono assimilabili di
norma ai domestici;
l’eventuale inquinamento
di falde o immissione di
sostanze pericolose in
fognatura deriva
DIRGEN/Datore di
Lavoro
Resp.Serv.Gen.
RSPP
GF - RLOG
Società
specializzate per
smaltimento rifiuti
-
DIRGEN/Datore di
Lavoro
Resp.Serv.Gen.
Tutti i dipendenti
nessuno
-
Stato
Titolo
Tipologia
Tipologia
rischio
Rischi
potenziali
Procedure
aziendali di
riferimento
Funzioni/figure
coinvolte
esistente
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
12 di 15
Rischi residui
Note/appunti:
essenzialmente da atti
dolosi.
Rapporti tra
privati
21. tutte le attività che
includono trattative tra
soggetti privati
a. negoziazione e
acquisizione di ordini di
vendita
b. trattative per gare
d’appalto indette da
società private
Corruzione,
dare o promettere
utilità
Corruzione,
dare o promettere
utilità
PO3.1- PO3.3 –
PO3.4 – PO3.7 –
PO13.3 (disponibili
InfoSacchi)
Procedure sistema
informativo SAP
PO3.1- PO3.3 –
PO3.4 – PO3.7 –
PO13.3 (disponibili
InfoSacchi)
Procedure sistema
informativo SAP
VE (Venditori
Esterni) siano essi
dipendenti,
rappresentanti o
procacciatori
DIRVEN
DIRAFC
TUTTA LA FORZA
VENDITE, ovvero:
VI (Venditori Interni)
VB (Venditori
Banco)
GF (Gestori di
Filiale)
CA (Capo Area)
CD (Capo Distretto)
RUV (Resp.Ufficio
Vendite)
RCPV (Resp.
Canale Punto
Vendita)
RTPV (Resp.
Territ.Punti Vendita)
RPV (Resp.Punto
Vendita)
-
VE (Venditori
Esterni) siano essi
dipendenti,
rappresentanti o
procacciatori
DIRVEN
DIRAFC
GF (Gestori di
Filiale)
CA (Capo Area)
CD (Capo Distretto)
RUV (Resp.Ufficio
Vendite)
RCPV (Resp.
Canale Punto
Vendita)
-
-
-
-
-
-
-
cliente;
di DIRVEN, tramite
rilascio degli OdV
incontri individuali con la forza
vendita
controllo fatture
vendite
controlli di magazzino
(inventario annuale, inventario
a rotazione, report periodico
rettifiche)
monitoraggio periodico merce
resa
degli OdV
controllo fatture
vendite
sistema informativo
- False giustificazioni relative a
merce mancante
Titolo
Tipologia
Tipologia
rischio
c. negoziazione ed
emissione di ordini di
acquisto di prodotti e
servizi
Mercato del
lavoro
22. assunzione di
personale diretto
a. assunzione di
personale extra UE
22. verifica contratti di
appalto e di servizio
a. outsourcing di servizi
(movim.magazzino,
pulizie, trasporti, ecc.)
Rischi
potenziali
Procedure
aziendali di
riferimento
Funzioni/figure
coinvolte
Corruzione,
dare o promettere
utilità
PO 6.1, PO 6.2, PO
6.3, PO 6.4, PO 6.5,
PO 9.7, PO 13.5
(disponibili sul
portale aziendale
InfoSacchi)
Procedure sistema
informativo SAP
DIRCOM
Resp.ACQ
Buyer
ACQ
DIRPERS
Resp.SERVGEN
DIRICT
Resp.MKT
DIRSUPPLYCHAIN
Resp.LOG
DIRAFC
DIRGEN
-
DIRPERS
DIRGEN
-
Impiego di cittadini
di paesi terzi il cui
soggiorno è
irregolare
PO 18.2
Impiego di cittadini
di paesi terzi il cui
soggiorno è
irregolare
PO 9.7
-
-
DIRPERS
DIRSUPPLYCHAIN
Resp.SERVGEN
DIRGEN
-
Privacy e
Trattamento dei
dati
23. Trattamento dei Dati
a. raccolta e tenuta dei dati
relativi ai clienti
Trattamento illecito
dei dati (es. invio
pubblicità e MKT
senza il consenso
del cliente); invio di
dati a soggetti non
autorizzati
al
trattamento e per
scopi diversi da
quanto previsto dal
codice privacy
PO 9.5
PO 9.5a
PO 9.8
All.9.5.4
All.9.5.3
DPS
DIRICT
DIRMKT
DIRVEN
-
-
-
b. raccolta e tenuta dei dati
Trattamento illecito
PO 9.5
DIRICT
-
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
13 di 15
esistente
Rischi residui
dei vari responsabili, tramite
sistema di deleghe e
rilascio degli OdA e OdS
controllo rispetto del BDG da
parte di COGEST
controllo fatture da parte di
CONT
controllo premi fornitori a fine
anno da parte di DIRCOM e
DIRAFC
- Invio ai dipendenti presso sedi
diverse da quelle di lavoro di
regali e omaggi di valore
importante
controllo preventivo dei
documenti di soggiorno
raccolta di referenze
- contraffazione dei documenti di
soggiorno regolare
- accordi tra chi assume e il
candidato
controllo preventivo dei
documenti di soggiorno
verifica del DURC della
società
controlli a campione sul
personale dell’appaltatore
- contraffazione dei documenti di
soggiorno regolare
- accordi tra chi sottoscrive il
contratto di sevizio e
l’appaltatore
rilascio utenze da parte di
DIRICT
regole privacy gestite da ICT
(es. obbligo aggiornamento
pw)
misure preventive previste nel
DPS
custodia dei server con i dati
aziendali da parte di terzi:
verifica
delle
condizioni
contrattuali
relative
al
trattamento dei dati
sistemi di protezione dei dati
contro virus e hacker
codice etico aziendale e
informativa ai clienti (sito,
poster,
cartaceo
per
inserimento anagrafica clienti)
- raccolta e trasmissione dei dati
sensibili
a
soggetti
non
autorizzati
- inefficacia dei sistemi di
protezione dei dati contro
intrusione da parte di terzi
- comportamento dolosa da
parte dei soggetti autorizzati al
trattamento
DPS da aggiornare
- raccolta e trasmissione dei dati
DPS da aggiornare
Note/appunti:
Titolo
Tipologia
Tipologia
rischio
relativi ai dipendenti
Rischi
potenziali
dei dati; invio di dati
a
soggetti
non
autorizzati
al
trattamento e per
scopi diversi da
quanto previsto dal
codice
privacy;
utilizzo
dei
dati
sensibili
personali
da parte dei soggetti
incaricati per scopi
diversi da quanto
consentito
dal
d.l.196/03
Procedure
aziendali di
riferimento
PO 9.5a
PO 9.8
All.9.5.7
All.9.5.3
DPS
Funzioni/figure
coinvolte
DIRPERS
Tutti i responsabili
che
gestiscono
persone
-
-
-
23. Rapporti con il
Garante
a. falsità
dichiarazioni
notificazioni
Garante
codice etico aziendale
b. violazione delle norme
in materia di “misure
di sicurezza”, in tutti i
processi aziendali
Violazione
delle
misure di sicurezza
previste dal MQ e
DPS
PO 9.5
PO 9.5a
PO 9.8
All.9.5.4
All.9.5.3
DPS
DIRICT
Tutti i collaboratori
-
-
DIRICT
pw)
DPS
codice etico aziendale
verifiche da parte di ICT
organigramma privacy chiaro
frode
informatica
-
privacy policy
informativa ai dipendenti
applicazione del Codice Etico
24. sostituzione di
identità digitale (identità
false o indebitamente
sostituite)
a. tutti
i
processi
(vendite, acquisto) che
prevedono
al
Mancata
predisposizione
delle
misure
richieste
dal
Garante
DPS
DIRICT
Sostituirsi ad altre
persone/società per
ottenere
vantaggi
PO 9.5
PO 9.5a
PO 9.8
DIRICT
DIPERS
Pagina
Pellegatta G.
14 di 15
- comunicazione
parziale
o
errata rispetto a quanto
previsto dal d.l196/03
mendaci
- forzatura dolosa del sistema
informativo e delle regole
previste da ICT
-
dei
del
05/02/13
Autore
sensibili
a
soggetti
non
autorizzati
- inefficacia dei sistemi di
protezione dei dati contro
intrusione da parte di terzi
- comportamento
DIRICT
c. inosservanza
provvedimenti
Garante
Data revisione
01
DIRICT e DIRPERS
pw)
regole
privacy
interne
DIRPERS
DPS
verifica
delle
condizioni
contrattuali
relative
al
trattamento dei dati da parte di
terzi (es. INAZ)
codice etico aziendale e
informativa ai dipendenti (a
cura DirPers)
DPS
-
231.RISCHI
Indice revisione
Rischi residui
Invio dichiarazioni e
notifiche false al
garante
-
Codice
Definitivo
esistente
nelle
e
al
-
Stato
Note/appunti:
- comunicazione
ed
organizzazione inefficacia in
caso
di
notifica
e
provvedimenti da parte del
garante
- comportamento dolosa
parte dei dipendenti
da
Titolo
Tipologia
Tipologia
rischio
comunicazione e lo
scambio di dati tramite
strumenti informatici
Carte di Credito
Rischi
potenziali
Procedure
aziendali di
riferimento
per l’azienda (da
parte di dipendenti)
All.9.5.7
All.9.5.3
DPS
????
????
Funzioni/figure
coinvolte
esistente
-
verifica a campione da parte
di ICT
-
Policy per utilizzo carte di
credito?
Rischi residui
25. utilizzo indebito,
falsificazione o
alterazione di carte di
credito o di pagamento
a. ????
DIRPERS
DIRAFC
-
- Dolo?
-
Stato
Codice
Definitivo
231.RISCHI
Indice revisione
Data revisione
01
05/02/13
Autore
Pagina
Pellegatta G.
15 di 15
Note/appunti:

mappa delle aree aziendali a rischio

Transcript

Documenti analoghi

FO R M AT O EUR O P EO P ER IL CUR R ICUL UM V IT AE N om e

CU R R ICU LU M V ITA E Cognom e e Nom e T e le fo n o 0372

dichiarazione certificazione luogo e data di nascita

Certificato di nascita - Comune di Settimo San Pietro

Autocertificazione della Data e Luogo di Nascita

corso per addetti alle macchine movimento terra

MODELLO 7 Apertura ed esercizio punto di prelievo decentrato di

Autocertificazione circa le caratteristiche dell`Ufficio di Informazioni

biglietto treno DICHIARAZIONE SOSTITUTIVA DI CERTIFICAZIONE

CORSO di FORMAZIONE a DISTANZA in E