Servizi

SISTEMI DI COMPLIANCE A NORME COGENTI O VOLONTARIE

Compliance

D.Lgs. 231/2001 - Responsabilità amministrativa degli enti

Attestazione dell’attenuazione del rischio reati, ovvero la valutazione dei modelli di organizzazione e gestione, strumento di riesame dell’adeguatezza del proprio modello organizzativo il sistema 231 viene adottato dall’impresa per assicurare comportamenti responsabili e rispettosi delle norme attinenti alla responsabilità di impresa: ha una funzione preventiva e di indirizzo.

Supportiamo l’azienda nel trattamento di disposizioni organizzative, forme di organizzazione, linee guida, principi, istruzioni, modulistica, codici di comportamento concepiti in maniera tale da rendere minore la probabilità di commissione di determinati reati.

Le nostre competenze e qualificazioni ci consentono di far parte di Organismi di vigilanza e di progettare e realizzare modelli a bassi costi di mantenimento.

iso 9001

ISO 9001 - Qualità (SGQ)

La ISO 9001 è lo standard di riferimento internazionalmente riconosciuto per la gestione della Qualità di qualsiasi organizzazione che intenda rispondere contemporaneamente all’esigenza dell’aumento dell’efficacia ed efficienza dei processi interni e alla crescente competitività nei mercati attraverso il miglioramento della soddisfazione e della fidelizzazione dei clienti.

Siamo presenti in questo mercato fin dal 1994 con numerosissime esperienze di certificazione all’attivo sia come consulenti di seconda parte sia come valutatori di terza parte per conto dei più importanti Enti di certificazione.

Nel tempo abbiamo operato nei più svariati settori: dalla metalmeccanica/mecatronica all’alimentare, dal farmaceutico al militare, dal privato al pubblico, permettendoci così di mettere a punto modelli di approccio estremamente trasversali ed ottimizzati che consentono ai nostri Clienti di raggiungere l’obiettivo con tempi e costi di progettazione, realizzazione e mantenimento davvero ridotti.

Affianchiamo tutte le aziende che desiderano ottenere la Certificazione in tutto il percorso.

Fondo

NIS 2

La direttiva NIS 2 (Network and Information Security) rappresenta un’evoluzione significativa nel panorama della sicurezza digitale dell’Unione Europea.

NIS 2 rafforza ulteriormente le disposizioni della sua predecessora, NIS, ponendo l’accento sulla protezione delle infrastrutture critiche e dei servizi digitali essenziali.

Questa direttiva si concentra sull’identificazione e sulla gestione delle minacce cibernetiche avanzate, promuovendo una maggiore cooperazione tra Stati membri, fornitori di servizi digitali e autorità competenti.

NIS 2 mira a migliorare la resilienza e la capacità di risposta agli attacchi informatici, istituendo requisiti più rigorosi in materia di sicurezza, monitoraggio e notifica degli incidenti. L’obiettivo principale è garantire un’elevata protezione delle reti e delle informazioni digitali, salvaguardando così la fiducia dei cittadini e delle imprese nell’ambiente digitale in continua evoluzione.

Scopri come puoi adeguarti in questa pagina

Responsabile della Conservazione Digitale

Responsabile della Conservazione Digitale

Dal 1° Gennaio 2022 vige l’obbligo della Conservazione Digitale dei documenti, e della conseguente nomina del Responsabile della Conservazione Digitale. In caso di affidamento a terzi del sistema di conservazione sostitutiva l’azienda deve avere due distinti responsabili della conservazione: un “titolare” e un “delegato”.

Il responsabile della conservazione (RDC) è una delle figure (parallelamente, ad esempio, al DPO o all’RSPP) che il legislatore ha inserito nel nostro ordinamento con ruoli di responsabilità specifici legati a particolari processi, spesso condizionati al progresso tecnologico.
Compito del responsabile della conservazione è quello di garantire la validità legale e la conformità alla legge dei documenti digitali e dei loro sistemi di conservazione, in particolar modo in termini di autenticità, conformità, validità e reperibilità dei documenti conservati.

Supportiamo le aziende in questo ruolo.

Se vuoi puoi conoscere tutti i dettagli in questa pagina.

ISO IEC 20000-1

ISO/IEC 20000-1

La garanzia di fornire servizi IT di alta qualità, L’ISO/IEC 20000-1 “Tecnologie informatiche – Gestione del servizio “ definisce i requisiti che un fornitore di servizi (service provider) deve avere per fornire servizi IT di alto livello di qualità, rispettando i principi della NIS2 e a supporto della DORA per il settore finanziario.

Scopo della norma è quello di aiutare i fornitori di servizi informatici a migliorare la qualità del servizio offerto.

Lo standard ISO/IEC 20000-1 è particolarmente indicato per i fornitori di servizi IT sia all’interno sia all’esterno dell’organizzazione, quali, ad esempio, i fornitori di servizi IT in outsourcing, nel settore delle telecomunicazioni, delle attività finanziarie e della Pubblica Amministrazione. Lo standard è applicabile a tutte le Organizzazioni, siano esse grandi, medie o piccole con strutture IT più o meno complesse.

Il processo di certificazione del Sistema di Gestione per l’IT Service Management (SGITSM) secondo la norma ISO/IEC 20000-1 prevede, in particolare, la valutazione dei seguenti elementi:

  • Politica di Gestione dell’IT Service Management;
  • Ambito di Applicazione ed obiettivi del Sistema di Gestione per l’IT Service Management;
  • Definizione di ruoli e responsabilità;
  • Piano generale di Gestione del Servizio;
  • Catalogo dei servizi;
  • Supply Chain per l’erogazione del servizio, ovvero diagramma delle dipendenze tra i processi previsti dalla Norma ed eventuali fornitori (outsourcer) coinvolti nell’erogazione del servizio;
  • Struttura degli SLA di erogazione dei servizi;
  • Procedure prescritte dalla Norma di riferimento;

Valutazione e riesame periodico del SGITSM adottato.

Vantaggi con ISO/IEC 20000-1

Con la certificazione ISO/IEC 20000-1 l’organizzazione dimostra che è dotata di un Sistema per la Gestione dei Servizi IT e che è in grado di erogare i servizi in modo vantaggioso garantendo sistematicamente il rispetto degli SLA (Service Level Agreement) concordati con i propri clienti.

In particolare, la certificazione secondo la ISO/IEC 20000-1:

  • può essere elemento qualificante nel selezionare e gestire in modo più efficace i fornitori di servizi IT ed elemento distintivo per aggiudicarsi nuovi clienti;
  • garantisce l’applicazione dei principi universalmente riconosciuti come Best Practice (ad es. ITIL);
  • garantisce un approccio armonizzato con le eventuali certificazioni ottenute secondo le norme ISO 9001, ISO/IEC 27001
  • garantisce il controllo efficace ed il miglioramento continuo dell’intero complesso di prestazioni dell’IT service management;
  • promuove rapporti di fiducia con clienti, partner, enti pubblici, aziende di crediti ed azionisti;
  • promuove lo sviluppo delle relazioni tra le diverse divisioni aziendali, in ottica di cliente interno;
  • permette di migliorare, grazie agli audit interni e esterni, l’efficienza e l’efficacia dei servizi IT;
  • ridurre il numero di audit di seconda parte subiti, ovvero effettuati dai propri clienti, e quindi i costi.
Certificazione Parità di Genere

Parità di genere UNI/PdR 125:2022

La Certificazione è applicabile a tutte le aziende di qualsiasi settore: infatti il sistema si applica a partire dalle micro-organizzazioni (fino a 10 dipendenti) – con semplificazioni per le organizzazioni appartenenti alle micro e piccole – fino alle multinazionali.

Nessuna certificazione al momento è così premiante in termini assoluti.

Alcuni vantaggi:

  • sgravio contributivo a favore delle aziende che al 31 dicembre dell’anno precedente a quello di riferimento siano in possesso della certificazione, applicato su base mensile che non può essere superiore all’1% dei contributi dovuti, né oltrepassare il limite massimo di € 50mila annui per azienda (art. 5, commi 1 e 2, Legge n. 162/2021);
  • punteggio premiale per la valutazione, da parte di autorità titolari di fondi europei nazionali e regionali, di proposte progettuali ai fini della concessione di aiuti di Stato a cofinanziamento degli investimenti sostenuti (art. 5, comma 3, Legge n. 162/2021);
  • riduzione del 20% della garanzia fideiussoria per la partecipazione alle gare pubbliche (art. 93, comma 7, del d.lgs. n. 50/2016, modificato dall’art. 34, comma 1, lettera a) della Legge 79/2022, comma 7 dell’art. 108 del D.Lgs. 31 marzo 2023 n. 36);
  • criterio premiale nella valutazione dell’offerta, che le amministrazioni aggiudicatrici dovranno indicare nel bando di gara, nell’avviso o nell’invito (art. 95, comma 13, del d.lgs. n. 50/2016, modificato dall’art. 34, comma 1, lettera b) della Legge 79/2022).

Se vuoi puoi conoscere tutti i dettagli per ottenere la certificazione in questa pagina.

whistleblow

Whistleblowing

Dal 17 dicembre 2023 entrano in vigore gli obblighi della “direttiva Whistleblowing” per le aziende con più di 49 dipendenti (ed è già in vigore dal 13 luglio 2023 per chi ha oltre 249 dipendenti) e per tutte le Organizzazioni che applicano modello dlgs 231 indipendentemente dal numero degli Addetti.

Scopri tutti i dettagli, visita questa pagina.

Iso 27001

ISO 27001 - Sicurezza delle Informazioni (SGSI)

L’attuale scenario di business vede un uso sempre più massiccio delle informazioni; ogni Organizzazione raccoglie, gestisce e conserva informazioni di vario tipo, proprie e dei propri Clienti e Fornitori. La Sicurezza delle informazioni assume quindi un ruolo sempre più di fondamentale importanza per lo sviluppo e la gestione dell’Organizzazione e della sua catena del valore.

Sicurezza vuol dire salvaguardare la privacy, l’integrità e la disponibilità delle informazioni siano esse in forma scritta, verbale o elettronica.

La ISO 27001:2013 è la Norma sulla sicurezza per il trattamento dei dati e delle informazioni più riconosciuta al mondo per efficacia e garanzia e fornisce i requisiti per un Sistema di Gestione della Sicurezza delle Informazioni (SGSI).

Adottare un SGSI significa indentificare tutte le diverse tipologie di informazioni e dati gestiti, i rischi a cui sono sottoposte e le misure di protezione che debbono essere messe in atto per una loro adeguata protezione. Oltre alle informazioni e dati su supporto cartaceo o informatico, vanno gestite anche le infrastrutture hardware, software, ed il personale con responsabilità nella gestione di tutti gli aspetti connessi con il trattamento. L’applicazione dello standard coinvolge sia lo sviluppo delle competenze dello staff sia la protezione tecnologica verso le frodi attraverso strumenti informatici.

Una Certificazione ISO 27001 aiuta a migliorare la fiducia nelle relazioni fra le aziende e fra l’Organizzazione e i propri clienti.

Alcuni vantaggi di una certificazione ISO27001:

  • garanzia della sicurezza dei dati e delle informazioni aziendali (Privacy)
  • offerta ai propri clienti di applicazioni sicure in termini di riservatezza, integrità e disponibilità dei dati e delle informazioni trattate
  • riduzione dei rischi informatici
  • continuo aggiornamento delle proprie infrastrutture tecniche ed organizzative
  • migliore gestione delle relazioni con Terze Parti
  • rispetto assicurato delle norme legislative, in particolar modo rispetto Regolamento UE 2016/679 (General Data Protection Regulation)
  • misurazione e controllo dei rischi legati all’IT
  • staff consapevole dell’importanza della sicurezza delle informazioni
  • sistema di sicurezza IT accettato in tutto il mondo
  • integrabilità con i principali Sistemi di gestione ISO 9001 e 14001 ed un efficace utilizzo del modello PDCA (Plan, Do, Check, Act) nei processi di risk assessment

Siamo presenti in questo mercato da molti anni sia come consulenti di seconda parte sia come valutatori di terza parte per conto dei più importanti Enti di certificazione ed abbiamo messo a punto modelli di approccio estremamente trasversali ed ottimizzati che consentono ai nostri Clienti di raggiungere l’obiettivo con tempi e costi di progettazione, realizzazione e mantenimento davvero ridotti.

Aggiornamento ISO/IEC 27001:2022

Introduce concetti di cybersecurity e di protezione dei dati personali. E’ un ulteriore elemento che rafforza quanto questo standard può essere considerata come una potente misura di accountability a supporto di quanto richiede il GDPR. Del resto, tra i controlli della norma sono stati sempre presenti alcuni dedicati esplicitamente alla protezione dei dati personali sia in modo diretto che indiretto.

Qualsiasi organizzazione intenda dotarsi di un sistema per la sicurezza delle informazioni, prevede 93 controlli distinti in 4 nuove categorie:

  • A.5 – Controlli organizzativi;
  • A.6 – Controlli fisici;
  • A.7 – Personale
  • A.8 -Controlli tecnologici;

rispetto alle precedenti 14. Ognuno dei 93 controlli è associato a 5 attributi:

  1. Tipo di controllo;
  2. Proprietà di sicurezza delle informazioni;
  3. Concetti di sicurezza informatica (cybersecuruty);
  4. Capacità operative;
  5. Dominio di sicurezza.

ed è etichettato (ISO/IEC 27002:2022) in base al tipo (prevenire, rilevare, correggere), alle proprietà (riservatezza, integrità, disponibilità) e alle linee guida per lo sviluppo di un framework per la cybersecurity (ISO IEC 27110) su cui si fonda il NIST (Identificare, proteggere, rilevare, rispondere, recuperare).

Approfondisci qui il nostro servizio per la certificazione ISO 27001.

ISO 22301

ISO 22301 - Sistema di Gestione per la Continuità Operativa (SGCO)

Certificazione dei Sistemi di Gestione per la Continuità Operativa; la metodologia certificabile costituita da un insieme di prassi volte al mantenimento della Continuità Operativa sotto avverse condizioni, minimizzando l’impatto di potenziali incidenti su clienti, stakeholder e sull’intero “ecosistema aziendale”. E’ un metodo efficiente per mantenere la sicurezza, garantendo un buon livello di gestione aziendale e conformità, proteggendo l’immagine e la reputazione e creando un clima di fiducia per fornitori, portatori di interesse e clienti.

Sosteniamo l’azienda attraverso l’introduzione di una adeguata strategia di “resistenza flessibile” o resilienza, costituita da obiettivi di ripristino, piani di gestione della Continuità Operativa e degli incidenti, che siano coordinati tra loro e facenti parte di un approccio integrato di gestione del rischio, dando la possibilità di garantire alla struttura aziendale l’operare con continuità anche in condizioni avverse.

ISO 45001 (EX OHSAS 18001 – Salute e Sicurezza sul Lavoro (SGSSL)                                

Certificazione dei Sistemi di Gestione per la Salute e Sicurezza: una sfida globale per la sicurezza sul luogo di lavoro.

Aiutiamo le organizzazioni, indipendentemente dalle dimensioni o dal settore di appartenenza, a progettare sistemi di gestione per prevenire proattivamente gli infortuni e le malattie professionali.

ISO 14001

ISO 14001 - Ambiente (SGA)

Certificazione dei Sistemi di Gestione Ambientale, caratterizzato dallo sviluppo e dall’attuazione della politica ambientale e degli obiettivi che impegnino l’organizzazione alla piena conformità sia legislativa sia volontaria (rispetto ad ulteriori prescrizioni volontarie o dettate dal mercato di appartenenza).

Coadiuviamo l’Organizzazione a gestire gli aspetti ambientali, soddisfare gli obblighi di conformità legislativa e affrontare e valutare i rischi e le opportunità, realizzando un’analisi ambientale e definendo congiuntamente una Politica aziendale che porti alla conformità con le normative, alla certificazione ma soprattutto ad una gestione ecosostenibile ed ecocompatibile.

GDPR - General Data Protection Regulation

REGOLAMENTO EU 2016/679 GDPR

Il nostro modello di approccio al Reg. EU 2016/679 GDPR consiste in una serie di approfondite e complete attività di assessment e di consulenza legale, tecnica e d organizzativa finalizzate alla valutazione delle risorse e del rischio nel trattamento dei dati presenti in azienda.

La nostra pluriennale esperienza, con centinaia di progetti all’attivo, ci ha consentito di mettere a punto un modello integrato ed efficace per la verifica delle difformità organizzative, tecnologiche, procedurali e formative rispetto a quanto necessario per essere adeguati alle linee guida del GDPR.

Questo ci consente di accompagnare l’azienda all’adeguamento alla normativa GDPR nel minor tempo e con i minori costi possibili.

La nostra attività non si ferma alla sola messa in adeguamento iniziale ma aiuta l’azienda nel tempo alla supervisione, mantenimento ed ottimizzazione del sistema sia con un’attività di assistenza in affiancamento che, se necessario, con una vera e propria attività di RPD/DPO (Data Protection Officer) di cui abbiamo tutte le qualifiche e l’esperienza necessaria dati i numerosi incarichi a cui ottemperiamo.                       

risk and compliance

SISTEMI GRC Governance-Risk-Compliance

Il sistema GRC (Governance, Risk Management and Compliance), si esprime nella “capacità da parte dell’Organizzazione di raggiungere in modo affidabile gli obiettivi (Governance), gestendo, monitorando e limitando l’incertezza (Rischi) pur agendo in conformità alle legge cogenti o agli schemi volontari a cui l’Organizzazione deve o ha scelto di sottostare (Compliance).

Ogni progetto GRC parte dalla definizione degli obiettivi (governance) e dai limiti dettati dalla compliance. Sulla base di questo perimetro si valutano, con modelli messi a punto dal nostro team in anni di esperienza, i livelli di rischio accettabili in base a i tempi e risorse disponibili e questo richiede più fasi e particolare attenzione. Sono diversi gli aspetti da verificare ed approfondire: legali, economici, finanziari, organizzativi, formativi, procedurali, tecnici. Un progetto GRC vincente non può prescindere dalla qualità e dalla formazione del personale impiegato, dalla disponibilità di strumenti per il reporting e gli analytics, e dalla disponibilità di dati integrati e coerenti alle decisioni da prendere.

Per questo affianchiamo l’Organizzazione nella scelta e valutazione di soluzioni tecnologiche flessibili ed adattabili per far fronte alle sfide che il Sistema impone.

Process Reengineering

PROCESS REENGINEERING

E’ un intervento organizzativo di profonda revisione dei procedimenti operativi che l’Organizzazione non ritiene più adeguati alle proprie necessità od obiettivi.

E’ un’attività che supporta l’Organizzazione ed il Management nell’analisi della situazione in essere con una mappatura del processo primario e dei processi di supporto, l’individuazione delle criticità o dei punti suscettibili di miglioramento, lo studio delle soluzioni e la conseguente riprogettazione del processo in maniera organica.

La nostra pluriennale esperienza nei diversi settori merceologici ci permette di effettuare tutte queste attività in modo estremamente efficiente e al tempo stesso formativo per aiutare l’Organizzazione a rendere questo modello ripetibile e mantenibile.

Sicurezza Informatica

SICUREZZA INFORMATICA – CYBERSECURITY

Per tracciare un percorso calibrato, bisogna sapere esattamente da dove si parte, dove si deve arrivare, attraverso quali potenziali difficoltà, dove sono i punti critici e quali mezzi e risorse possiamo avere a disposizione.  Solo così si può stabilire il chi, il come e il quando, e tracciare una tabella di marcia (Road Map) credibile e realizzabile.

Il nostro approccio si basa su un’analisi in 3 passi:

  1. Vulnerability assessment (VA) per la valutazione tecnica delle carenze tecnologico-strutturali del Sistema;
  2. Audit tecnico-organizzativo per la valutazione delle carenze procedurali, organizzative e formative del Sistema;
  3. Legal test, per la valutazione delle carenze contrattuali e la determinazione degli SLA necessari al buon funzionamento del Sistema.

Sulla base di questi tre check-up verrà definito il “to do” e concordata con l’Organizzazione una opportuna tabella di marcia per l’adeguamento del Sistema.

Alla fine del percorso i tre test verranno di nuovo effettuati per certificare il raggiungimento degli obiettivi prefissati.

Per percorrere il più velocemente ed efficacemente il percorso tracciato, i nostri consulenti qualificati e di provata esperienza potranno affiancare l’Organizzazione ed il suo Management nella realizzazione delle attività previste per renderlo man mano autonomo nella loro successiva gestione e messa a punto del Sistema.

Oltre ad attività di VA, siamo in grado di effettuare anche attività di Penetration test e di progettazione di sistemi di logging ed alerting.          

Document Management

DOCUMENT & WORKFLOW MANAGEMENT

La mole di documenti elettronici e cartacei che vengono prodotti e gestiti quotidianamente all’interno dei una Organizzazione è sempre più elevata e ramificata. Una gestione non efficiente nell’archiviazione, ricerca, distribuzione ed utilizzo dei documenti comporta perdite di tempo, duplicazioni inutili, problemi di aggiornamento e quindi sprechi e costi sempre più significativi per l’Organizzazione.

Viceversa un approccio sistematico e scientifico al Document e Workflow Management permette un’ottimizzazione dei costi e dei tempi per la gestione dei documenti ed è, tra l’altro, un approccio necessario ed auspicabile per qualsiasi modello di compliance per cui l’Organizzazione operi. In questo ambito la nostra pluriennale esperienza, anche con schemi ANORC, ci consente di fornire ai nostri Clienti un servizio ad altissimo valore aggiunto.