MASTER in COMPLIANCE INTEGRATA NELLE IMPRESE PUBBLICHE E PRIVATE

• Le tipologie di organizzazioni
• L’ambiente e il contesto
• La ‘perimetrazione’ del contesto interno ed esterno
• Focus sul ‘processo’: definizione e struttura
• L’approccio per processi: tecniche di lettura e comprensione dell’organizzazione
• Organizzazione e sistema di gestione del ‘rischio’ in chiave universale

Il Sistema di gestione dell’impresa

• Cos’è un ‘management system’
• Il ciclo di Deming: Plan Do Chek Act
• L’approccio Risk Based Thinking 
• I sistemi di gestione di 1° e di 2° livello: tratti tipici e correlazioni.
• Le tecniche di armonizzazione e/o coordinamento dei sistemi di gestione
• Introduzione alla ISO 37301

Il Risk management secondo le linee guida ISO 31000 (Parte 1)

• I principi e la struttura di riferimento
• La fase di comprensione dell’organizzazione
• Il ruolo dell’organo di vertice e del top management
• L’organigramma: responsabilità e compiti. 

• Le definizioni di ‘rischio’, ‘evento’, ‘conseguenze’, ‘obiettivi’, etc
• La fase della ‘valutazione del rischio’: (i) identificazione del rischio: (ii) analisi del rischio; (iii) ponderazione del rischio
• La fase del ‘Risk treatment’: selezione e scelta delle azioni di trattamento
• La fase del monitoraggio
• La fase del riesame
• Il piano di comunicazione e la documentazione delle attività.

Testimonianza

• La responsabilità dell’ente
• MOG 231 e Compliance programs:
• I soggetti in posizione ‘apicale’ e ‘ subordinata’
• Analisi dei concetti di ‘interesse’ e ‘vantaggio’
• La c.d. ‘colpa di organizzazione’: il criterio della ‘rimproverabilità’
• Le categorie di ‘reati-presupposto’
• Brevi cenni sui reati-presupposto in tema di H&S&E, corruzione, riciclaggio,ITC, corporate, finance,Tax

L’organigramma e la struttura organizzativa

• Il principio di ‘adeguata organizzazione’
• Focus sull’Organismo di Vigilanza (‘ODV’):
  • composizione, compiti, responsabilità, etc;
  • flussi informativi;
  • ODV e processo di Whistleblowing.
  • ODV, Internal Audit e Compliance Functions
  • Il piano delle procure e deleghe
  • L’individuazione delle ‘funzioni’ previa analitica comprensione dei ‘processi’

La progettazione del MOG 231

• Le tecniche di comprensione del contesto organizzativo
• Focus sul process mapping teso alla identificazione dei processi ‘critici’
• L’individuazione degli ‘scenari di rischio-reato’
• La fase di valutazione del rischio-reato
• Focus sulle tecniche di misurazione del rischio-reato

Testimonianza

• La metodologia di selezione delle azioni di trattamento del rischio-reato:
• ‘protocolli’;
• ‘Policy’;
• ‘istruzioni operative’
• opzioni organizzative in genere.

Focus sui criteri di ideazione e realizzazione di un ‘protocollo’ La realizzazione dei sistemi di monitoraggio delle azioni di trattamento

Testimonianza

• L’integrazione del MOG 231 con i sistemi H&S mandatory e voluntary:
• le metodologie di cui all’art. 30 D. lgs 81/08;
• i criteri di coordinamento di cui alla ISO 45001.
• L’integrazione del MOG 231 con i sistemi ambientali mandatory e voluntary:
• l’applicazione analogica dei criteri di cui all’art. 30 D. lgs 81/08;
• i criteri di coordinamento di cui alla ISO 14001.

Testimonianza

• Panoramica sugli obiettivi e contenuti del sistema anticorruzione di cui alla L. 190/2013)
• Le autorità con poteri di controllo e supervisione
• I soggetti obbligati all’implementazione del sistema di gestione anticorruzione
• Gli orientamenti progettuali di cui al Piano Nazionale Anticorruzione (PNA)
• Introduzione coordinata ai due strumenti operativi ‘cardine’:
• il Piano Triennale di Prevenzione della Corruzione e Trasparenza (PTPCT)
• il capitolo ‘anticorruzione e trasparenza’ del Piano Integrato di Attività ed Organizzazione (PIAO)

• Focus sul Piano Triennale di Prevenzione della Corruzione e Trasparenza:
• Approccio basato sulla conoscenza dell’organizzazione e della mappatura dei processi interni
• analisi del contesto
• individuazione e comprensione dei processi aziendali
• Perimetrazione degli ‘scenari di rischio’
• quantificazione del rischio
• selezione ed implementazione delle misure di trattamento del rischio
• misurazione dei livelli di efficacia delle misure di trattamento del rischio
• pianificazione e la programmazione delle misure di prevenzione e di intervento rimediale come strumento centrale delle attività anticorruttive
• riesame
• miglioramento continuo attraverso monitoraggio, vigilanza e controllo intergrato delle funzioni
• I contenuti del Piano Integrato di Attività ed Organizzazione (PIAO):

1. sezione à Anagrafica dell’amministrazione
2. sezione à Valore pubblico performance e anticorruzione
3. sezione à Organizzazione e capitale umano
4. sezione à Monitoraggio

• Focus sugli aspetti della 2° sezione del PIAO dedicati all’anticorruzione e trasparenza

Principi e metodologie di base

• I ‘pilastri’ del sistema: Risk based approach, proporzionalità e ragionevolezza
• Le criticità ermeneutiche penali e amministrative in tema di riciclaggio
• I soggetti obbligati
• Le entità pubbliche coinvolte nelle attività di vigilanza e controllo
• L’analisi del ‘contesto’ interno ed esterno:
• il censimento dei processi ‘critici’
• la perimetrazione degli ‘scenari di rischio’
• Focus sulla fase di valutazione del rischio-riciclaggio da parte dei soggetti obbligati
• La selezione delle azioni di mitigazione del rischio
• Il monitoraggio

I profili operativi di sistema

• Focus sulla fase di ‘adeguata verifica del cliente’:
• i contenuti dell’adempimento dell’obbligo;
• le metodologie di adempimento dell’obbligo;
• i criteri di individuazione del ‘titolare effettivo’
• gli obblighi del cliente
• Focus sulla ‘fase di ‘adeguata verifica rafforzata del cliente’:
• i contenuti dell’adempimento dell’obbligo;
• le metodologie di adempimento dell’obbligo’;
• L’obbligo di segnalazione di operazioni sospette
• La tutela del segnalante:
• la procedura prevista dal D. Lgs 231/07
• la procedura trasversale del Whistleblowing
• le metodologie di coordinamento dei due processi.
• Il coordinamento dell’ODV con le funzioni di compliance ed Internal audit
• Cenni in merito alle sanzioni. 

L’approccio sistemico alla prevenzione degli H&S risks

• L’organigramma della salute e sicurezza: ruoli, compiti, responsabilità
• Il concetto di ‘posizione di garanzia’ ex art. 40 comma 2 CP
• Il comportamento ‘abnorme’ del lavoratore: conseguenze sul piano delle responsabilità.
• Approfondimento sulle seguenti ‘posizioni di garanzia’:
• Datore di lavoro
• Dirigente
• Preposto
• CSP e CSE
• Direttore dei lavori
• La atipica responsabilità del RSPP
• Il Risk management nel settore dell’H&S:
• il ‘Documento di Valutazione del Rischio’ (‘DVR’) 
• la gestione del rischio in tema di appalti (‘DUVRI’, ‘PSC’, etc)

La valutazione tecnica del rischio per la salute e sicurezza

• La lettura ‘tecnica’ degli ‘scenari di rischio’ in materia di H&S
• I criteri di implementazione del DVR
• I criteri di implementazione del PSC
• I ruoli del RSPP e del Coordinatore: aspetti tecnici. 

La codificazione del diritto ambientale (‘Testo Unico Ambiente’)

• I principi di base
• Le autorizzazioni ambientali:
• la procedura di Valutazione di Impatto Ambientale (‘VIA’)
• la procedura di Valutazione Ambientale Strategica (‘VAS’)
• la procedura di Valutazione di Incidenza
• la procedura di autorizzazione Integrata Ambientale (‘AIA’ o ‘IPPC’)
• Brevi cenni sulla normativa disciplinante i seguenti argomenti:
• la difesa del suolo
• la disciplina degli scarichi
• la gestione delle risorse idriche
• la gestione dei rifiuti
• la bonifica dei siti contaminati
• l’inquinamento atmosferico
• La disciplina del danno ambientale
• Il manager ambientale
• Il sistema delle deleghe in ambito ‘ambiente’
• Le posizioni di garanzia del sistema di gestione ambientale
• Reati ambientali: metodologie di coordinamento tra MOG 231 e sistema di gestione ambientale

Environment Risk management: aspetti tecnico-operativi.

• La lettura del contesto
• Le tecniche di perimetrazione degli ‘scenari di rischio’
• Focus sulle metodologie di misurazione e trattamento del rischio ambientale
• La valutazione e gestione tecnica del rischio di reato ambientale nel MOG 231
• La valutazione e gestione tecnica del rischio ambientale secondo la ISO 14001
• Brevi cenni sulle tecniche di integrazione dei sistemi MOG 231 e ISO 14001

• La sostenibilità
• Panoramica sulle Linee guida ISO 26000
• I criteri di pianificazione e implementazione delle Linee Guida ISO 26000
• L’approccio sinergico in materia di sostenibilità con gli altri sistemi di gestione

Il nuovo assetto procedurale e organizzativo

• Il concetto di ‘crisi’ e di ‘insolvenza’
• Il risk based approach
• Brevi cenni sul sistema ‘organizzativo’, ‘amministrativo’ e ‘contabile’ per la gestione della crisi d’impresa 
• I meccanismi di emersione tempestiva della crisi d’impresa
• Le procedure negoziali di composizione della crisi d’impresa
• La procedura di liquidazione giudiziale
• La procedura di amministrazione straordinaria delle grandi imprese
• La procedura di sovraindebitamento
• Il coordinamento tra sistema della crisi d’impresa, MOG 231, sistema antiriciclaggio eTax control framework

Metodologie di progetto dell’assetto organizzativo, contabile ed amministrativo ex art. 2086 CC

• Focus sulle tecniche di ‘tempestiva previsione’ della crisi d’impresa:
• rilevazione degli ‘squilibri’ economico-finanziarie patrimoniali
• individuazione della sostenibilità debitoria
• acquisizione di informazioni adeguate
• valutazione della ‘ragionevole perseguibilità della continuità aziendale
• valutazione di particolari tipologie di debiti
• Focus sui meccanismi di gestione del rischio di crisi d’impresa:
• lettura del contesto
• individuazione degli ‘scenari di rischio’
• selezione degli indicatori di crisi d’impresa
• valutazione dei rischi
• misure ‘idonee’ di trattamento dei rischi
• monitoraggio sull’idoneità delle azioni di trattamento dei rischi

Gli elementi ‘cardine’ dell’Antitrust Management System (‘AMS’)

• Integrazione della Compliance antitrust nella cultura aziendale
• L’analisi del contesto (‘Caratteristiche dell’impresa’)
• La perimetrazione degli ‘scenari di rischio’ antitrust
• La misurazione dei rischi
• La scelta delle azioni di trattamento dei rischi:
• l’implementazione di specifici processi
• il reengineering di particolari processi aziendali
• La misurazione della performance delle azioni di trattamento
• Il riesame
• Il sistema disciplinare.
• Aspetti rilevanti della fase ispettiva.

Introduzione al GDPR

• Le finalità del GDPR.
• L’ambito di applicazione materiale e territoriale del GDPR.
• Focus sulle definizioni: dato personale, trattamento, interessato, etc
• Le condizioni di liceità del trattamento dei dati personali.
• Le modalità di trattamento dei dati personali
• I diritti dell’interessato
• Interessato e principio di ‘trasparenza’
• L’organigramma privacy
• Le informative
• Il registro dei trattamenti
• Focus sul DPO

La progettazione ed implementazione del sistema di gestione della privacy

• Il GDPR: un sistema basato sul ‘risk based thinking’.
• Il risk management in materia di dati personali:
• I concetti di ‘minaccia’, ‘evento’, ‘probabilità’ ed ‘impatto’ nel campo del data processing.
• L’analisi del contesto organizzativo: tracciamento dei processi e delle funzioni.
• Individuazione ed analisi dei processi interessati dal data processing.
• Il ‘censimento’ dei trattamenti dei dati
• Le metodologie di individuazione dei rischi e la loro ‘misurazione’.
• La valutazione dei rischi e la conseguente adozione di misure ‘adeguate’
• La misurazione dell’efficacia delle misure implementate
• La valutazione d’impatto
• Il registro dei trattamenti.

La normazione antropocentrica dell’Intelligenza Artificiale

• Gli obiettivi ed il campo di applicazione dell’AI Act (Reg. UE 1689/2024)
• L’alfabetizzazione in materia di IA
• Le pratiche di IA vietate
• Foci sulle figure del ‘fornitore’, ‘deployer’, ‘importatore’, etc.
• Gli specifici obblighi del ‘fornitore’
• I sistemi di IA ad ‘alto rischio’:
• i requisiti: accuratezza, robustezza, etc.
• il sistema di gestione dei rischi
• il sistema di gestione della qualità
• la documentazione tecnica
• la conservazione delle registrazioni
• gli obblighi di trasparenza nei confronti dei deployer
• La valutazione di conformità del modello di IA

Il ciclo di vita del sistema di IA

• Le responsabilità lungo la ‘catena del valore dell’IA’
• La valutazione d’impatto ad opera del deployer
• Focus sui modelli di IA ‘per finalità generali’
• Gli obblighi dei fornitori di modelli IA: 
• ‘per finalità generali’;
• per ‘finalità generali con rischio sistemico’.
• La governance a livello europeo in tema di IA
• Le sanzioni.

Approccio strutturato alla cybersecurity ex D. Lgs. 138/2024

• Il campo di applicazione della normativa: soggetti obbligati e aree interessate.
• La strategia nazionale di cyber-sicurezza: obiettivi e attività
• Focus sugli organismi decisori:
• l’Autorità nazionale competente NIS
• le autorità di settore
• Il ‘Quadro nazionale di gestione delle crisi informatiche’
• La Cooperazione tra Autorità nazionali NIS
• Il Gruppo nazionale di risposta agli incidenti di sicurezza informatica (‘CSIRT Italia’)
• Gli Accordi di condivisione delle informazioni sulla sicurezza informatica
• La Cooperazione a livello dell'Unione europea e internazionale

Il macro-processo di gestione del rischio per la sicurezza informatica

• L’analisi del contesto
• Focus sul ‘rischio’ per la sicurezza informatica
• Il censimento dei ‘rischi’ per la sicurezza informatica
• La valutazione dei rischi in tema di cybersecurity
• Le azioni di trattamento dei rischi relative alla sicurezza cibernetica
• La notifica dell’incidente: modalità ed obblighi
• La definizione degli obblighi secondo i principi di ‘proporzionalità’ e ‘adeguatezza’
• Focus sulla specifica attività di vigilanza dell’Autorità nazionale competente NIS

• definizione, importanza e ruolo
• Quadro normativo internazionale
• Processi e pratiche di trade compliance
• Casi di non conformità
• Rischi e sanzioni in caso di non conformità (legali, finanziari e operativi)
• Implementare la Trade compliance in azienda
• Formazione e sensibilizzazione,
• Sistemi di controlli interni e audit
• Rapporti con le autorità doganali e regolamentari
• La tecnologia nella trade compliance

• La comprensione del contesto organizzativo
• Focus sulla individuazione degli elementi ‘interni’ ed ‘esterni’
• La valutazione del rischio:
• individuazione e perimetrazione degli ‘scenari di rischio’
• la misurazione dei rischi
• la scelta delle misure di trattamento dei rischi
• La misurazione dell’efficacia delle azioni di trattamento
• Il riesame e il ‘continuous improvement’
• La leadership: Organo direttivo, Alta direzione, Funzione di compliance
• Focus sulla funzione di compliance
• Focus sulla due diligence
• Il piano della comunicazione
• Le metodologie di integrazione della ISO 37001 con il MOG 231 e il sistema anticorruzione di cui alla L. 190/2012

Il sistema di gestione volontario dei rischi: H&S (ISO 45001)

• La ‘lettura’ del contesto
• Il macro-processo di risk management:
• Il censimento dei rischi
• La quantificazione dei rischi
• Il trattamento dei rischi
• La pianificazione
• Il monitoraggio
• Il miglioramento continuo
• Le tecniche di integrazione del sistema ISO 45001 con il MOG 231:
• Analisi dei criteri di cui all’art. 30 del D. Lgs. 81/2008
• Breve panoramica della giurisprudenza

Il sistema di gestione volontario dei rischi ambientali (ISO 14001)

• Gli obiettivi del sistema
• La ‘comprensione’ del contesto
• La leadership
• La pianificazione
• La valutazione dei rischi:
• individuazione degli scenari di rischio
• misurazione dei rischi
• scelta delle azioni di trattamento
• Il monitoraggio
• Il miglioramento continuo
• Le tecniche di integrazione del sistema ISO 45001 con il MOG 231.

Il sistema di gestione volontario delle informazioni (ISO 27001)

• Le finalità del sistema ISO 27001
• Analisi del contesto
• Individuazione dei fattori interni ed esterni
• Il Risk management: individuazione, misurazione e trattamento dei rischi
• La pianificazione e il monitoraggio
• La comunicazione pianificata
• Il miglioramento continuo
• Le metodologie di integrazione del sistema ISO 27001 con il MOG 231 e con il sistema privacy.

• I soggetti obbligati
• Le modalità di progetto ed implementazione del macro-processo
• Breve focus sulle metodologie di integrazione con i sistemi cogenti e volontari
• Le modalità di segnalazione: quando e come attivare il processo.
• La protezione del segnalante e degli altri soggetti coinvolti
• Le particolarità inerenti al trattamento dei dati personali
• Le modalità di valutazione delle segnalazioni
• Il coordinamento con l’ODV e le altre funzioni di compliance. 

• Definizioni, obiettivi e ruolo
• Controlli interni ed esterni
• Controlli preventivi, rilevanti e correttivi
• Controlli operativi finanziari e IT
• Norme e linee guida
• Ruolo degli organi di governance e nei controlli societari
• Audit e revisioni interne
• Piano di monitoraggio e reporting
• Gestione delle non conformità e delle azioni correttive
• Tecnologie e automazioni nei controlli societari

Fase di comprensione dell’organizzazione

• Gli obiettivi e i principi della ISO 37301
• Il SGC quale ‘framework’ o ‘infrastruttura necessaria’
• L’integrazione del sistema armonizzante nel piano strategico
• La comprensione dello speciale contesto:
• individuazione dei sistemi di 1° livello cogenti
• individuazione dei sistemi di 1° livello volontari
• individuazioni di strumenti organizzativi integranti
• individuazione degli altri fattori interni ed esterni
• Focus sul ruolo dell’Internal Audit
• La ‘perimetrazione' e registrazione degli 0bblighi di conformità’ 

Fase di valutazione dei compliance risk

• Identificazione e comprensione delle ‘situazioni di rischio’
• Identificazione dei rischi di compliance
• La ponderazione dei rischi di conformità
• L’ideazione delle azioni di trattamento dei rischi
• La leadership:
• Focus su Organo di governo ed Alta direzione
• Focus sulla Funzione di compliance
• La redazione della Politica della compliance
• L’attribuzione di ruoli, responsabilità e poteri
• Il ruolo del management nell’ambito dell’SGC

L’ideazione e implementazione del ‘Planning’:

• Gli elementi della pianificazione
• La valutazione di ‘rischi’ e ‘opportunità’
• La individuazione degli obiettivi
• L’individuazione delle risorse

• La realizzazione di procedure e policy
• L’adozione di strumenti di misurazione dell’efficacia delle azioni di trattamento del rischio
• L’adozione di flussi informativi
• Focus sulla procedura di segnalazione delle attività sospette
• Il monitoraggio:
• Focus sull’oggetto
• Le modalità di svolgimento
• La procedura di auditing interno
• Il riesame dell’Organo di vertice, dell’Alta di direzione e della FdC
• Il miglioramento continuo

Testimonianza

La specifica comunicazione in ambito compliance  

• La contestualizzazione e personalizzazione della comunicazione in materia di rischi
• La formazione alla gestione del rischio: le euristiche cognitive (disponibilità, rappresentatività, giudizio).
• La capacità di comunicare il valore della compliance
• Focus sulla trasmissione della capacità di percezione e comprensione del rischio

Le criticità del ruolo

• Le interferenze e le difficolta nella comunicazione dei rischi
• Il coinvolgimento proattivo del gruppo
• La professionalizzazione delle figure operanti nell’ambito compliance.
• La generazione della ‘consapevolezza’ circa la compliance

Testimonianza