LA NOSTRA POLITICA PER LA COMPLIANCE E LA GESTIONE DEI RISCHI

POLITICA

Governance, Risk Management, Compliance  (standard 19600 e ISO 31000)

 

Gentile Cliente,

Gentile Collaboratore,

Gentile Fornitore,

Gentile Business Partner,

 

Abbiamo costruito il nostro successo gestendo in modo integrato tutti gli aspetti di governance, risk management e compliance relativi al nostro innovativo modello di business. Questo ci ha consentito di mantenere e sviluppare la nostra reputazione di centro di competenza riconosciuto ed affidabile, in grado di soddisfare le diverse e complesse  esigenze dei nostri clienti.

 

Il nostro contesto di riferimento

Siamo una società fondatrice e partecipante in Minerva Group Service (MGS) www.minervagroupservice.com , che rappresenta l’hub di un network di società partecipate, controllate e business partner.

La nostra missione strategica consiste nell’erogazione di servizi professionali alle imprese (consulenza, formazione, audit e business assurance).  Supportiamo i nostri clienti nel delicato compito di assicurare la compliance del loro business a requisiti cogenti e regolamentari, tecnici, contrattuali e interni.

Operiamo  in diversi settori, in diverse aree geografiche e con diverse tipologie di clienti. Ai nostri clienti ed in generale ai nostri stakeholders dobbiamo assicurare adeguati livelli di governance, di risk management e di compliance nello svolgimento dei nostri processi, nella gestione delle nostre risorse e nell’erogazione dei nostri servizi.

 

Il nostro impegno per la governance, il risk management, la compliance

Con la presente politica ci impegniamo ad adottare e a incorporare nel nostro modello di business, nei processi e nei servizi da noi erogati i seguenti principi per la governance, il risk management, la compliance:

1.     Gestione della governance mediante assegnazione di ruoli, responsabilità e autorità a livello di organo direttivo, di direzione, di area organizzativa, di singolo processo e di singolo progetto;

2.     Gestione dei rischi a livello di azienda, di area di business, di area organizzativa, di processo e di servizio erogato;

3.     Gestione della compliance a requisiti cogenti e regolamentari, contrattuali, tecnici e interni (politiche e codici etici);

A tale scopo adottiamo una politica per Governance, il Risk Management e la compliance. La presente politica è comunicata a tutti i nostri stakeholders ed è disponibile sul nostro sito internet www.alpemi.it  

 

I nostri obiettivi per la governance, il risk management, la compliance

Il nostro impegno

Ci impegniamo a perseguire in modo sistematico e pianificato obiettivi di governance, risk management e compliance e ad integrarli nei più generali obiettivi strategici ed operativi.

 

Figura 1 obiettivi strategici, obiettivi GRC e obiettivi operativi.

 

 

Obiettivi strategici

Gli obiettivi di GRC supportano il perseguimento dei nostri obiettivi strategici. Gli obiettivi strategici includono:

1.     obiettivi economico finanziari;

2.     obiettivi competitivi, correlati al nostro posizionamento sul mercato;

3.     obiettivi di soddisfazione degli stakeholders;

 

Obiettivi di GRC

Gli obiettivi del Sistema di gestione integrato supportano il perseguimento dei nostri obiettivi di GRC. Gli obiettivi di GRC includono:

1.     obiettivi di Governance. Questi obiettivi sono correlati ad obiettivi di individuazione de gestione degli stakeholders, a obiettivi di  corretta assegnazione di ruoli, responsabilità e autorità ai diversi livelli dell’organizzazione (inclusi processi e progetti),  a obiettivi di pianificazione di processi e relativi deliverables,  a obiettivi di messa a disposizione e sviluppo delle risorse (finanziarie, infrastrutturali fisiche , infrastrutturali IT, risorse e umane e loro competenze, informazioni documentate), a obiettivi di controllo e di riesame, a obiettivi di miglioramento continuo;

2.     obiettivi di Risk Management. Questi obiettivi sono correlati a obiettivi di valutazione dei rischi e a obiettivi di trattamento dei rischi mediante l’individuazione e l’applicazione di controlli operativi (obiettivi di controllo).

3.     obiettivi di compliance management. Questi obiettivi sono correlati a obiettivi di  monitoraggio e di valutazione della compliance ai  requisiti cogenti e regolamentari, contrattuali, tecnici e di politiche interne applicabili al contesto aziendale ed ai servizi erogati ai nostri clienti.

In particolare abbiamo definito i seguenti criteri per la ponderazione dei rischi e la relativa accettabilità:

1.     Rischi di perdita di compliance: tutti i rischi di compliance ai requisiti legali, regolamentari, contrattuali e tecnici sono per noi inaccettabili. Questi rischi devono essere ridotti al livello ragionevolmente più basso possibile (“alarp”) . Anche qualora tali rischi siano valutati già a livello basso, ulteriori controlli operativi per il trattamento devono essere prudenzialmente applicabili.

2.     Rischi di perdita di reputazione: tutti i rischi di perdita di reputazione sono per noi inaccettabili. Questi rischi devono essere ridotti al livello ragionevolmente più basso possibile (“alarp”) . Anche qualora tali rischi siano valutati già a livello basso, ulteriori controlli operativi per il trattamento devono essere prudenzialmente applicabili.

3.     Rischi di perdita di trasparenza ed eticità: tutti i rischi di perdita di trasparenza ed eticità sono per noi inaccettabili. Questi rischi devono essere ridotti al livello ragionevolmente più basso possibile (“alarp”) . Anche qualora tali rischi siano valutati già a livello basso, ulteriori controlli operativi per il trattamento devono essere prudenzialmente applicabili.

4.     Rischi di perdita di diritti e liberà fondamentali: tutti i rischi di perdita di diritti e libertà fondamentali (inclusi i rischi inerenti salute e sicurezza sul lavoro, il trattamento di dati personali, la discriminazione) sono per noi inaccettabili. Questi rischi devono essere ridotti al livello ragionevolmente più basso possibile (“alarp”) . Anche qualora tali rischi siano valutati già a livello basso, ulteriori controlli operativi per il trattamento devono essere prudenzialmente applicabili.

5.     Rischi di perdita di opportunità di innovazione: tutti i rischi di perdita di significative opportunità di innovazione sono inaccettabili. Tutte le opportunità di innovazione devono essere individuate e valutate.

 

Obiettivi del Sistema di gestione integrato

Gli obiettivi del Sistema di gestione integrato includono gli obiettivi applicabili ai seguenti modelli di organizzazione e sistemi di gestione:

1.     Obiettivi di prevenzione dei reati richiamati dal d.lgs. 231/01  come da nostro codice etico disponibile sul nostro sito internet www.alpemi.it )

2.     Obiettivi di trasparenza, integrità e prevenzione della corruzione (standard ISO 37001) come da nostra politica anticorruzione disponibile sul nostro sito internet www.alpemi.it  ;

3.     Obiettivi di qualità (standard ISO 9001) per la conformità dei nostri servizi erogati e la soddisfazione dei nostri clienti come da nostra politica qualità disponibile sul nostro sito internet www.alpemi.it );

4.     Obiettivi di innovazione (standard ISO 56002), come da nostra politica per l’innovazione disponibile sul nostro sito internet www.alpemi.it );

5.     Obiettivi di continuità operativa (standard ISO 22301), come da nostra politica per la continuità operativa disponibile sul nostro sito internet www.alpemi.it );

6.     Obiettivi di sicurezza delle informazioni (standard ISO 27001 e ISO 27701), come da nostra politica per la sicurezza delle informazioni disponibile sul nostro sito internet www.alpemi.it );

7.     Obiettivi di protezione dei dati personali (GDPR) e relative informative per gli interessati al trattamento, disponibili sul nostro sito internet www.alpemi.it );

 

Il nostro Sistema di Gestione Integrato  GRC

Al fine di perseguire in modo sistematico ed integrato i nostri obiettivi di GRC  abbiamo adottato un sistema di gestione integrato che include aspetti di Governance e di Sistema di Controllo Interno, aspetti di Risk Management (con riferimento alle linee guida dello standard ISO 31000) e aspetti di Compliance (con riferimento alle linee guida dello standard ISO 19600).

Il Sistema di Gestione Integrato GRC si articola in diversi modelli di organizzazione e sistemi di gestione che ne indirizzano l’applicazione nelle diverse aree gestionali: Codice Etico d.lgs. 231/01, Anticorruzione ISO 37001, Qualità ISO 9001, Data Protection GDPR, Information Security ISO 27001 e ISO 27701, Business Continuity ISO 22301, Innovation ISO 56002.

Abbiamo nominato un responsabile del sistema di gestione integrato (ISO System Manager) con il compito di pianificare, attuare, controllare e migliorare il nostro sistema di gestione integrato. Abbiamo anche  istituto  un Project Management  Office (PMO) per indirizzare in modo uniforme la gestione di tutti i nostri progetti (progetti interni e progetti relativi ai servizi erogati ai nostri clienti) con riferimento alle linee guida dello standard ISO 21500 (project management).

Ci impegniamo ad adeguare e a migliorare continuamente il nostro Sistema di Gestione Integrato GRC e a sensibilizzare e formare i nostri stakeholders in merito alla sua corretta applicazione.

 

I nostri canali di contatto

Per ogni segnalazione di vulnerabilità, minaccia, di opportunità di miglioramento, di non conformità potete contattare il nostro ISO System Manager al seguente indirizzo email: PMO@alpemi.it  

 

Alpemi Consulting