Home
EX-3: Limiti Temporali e Revisione
Descrizione
Le eccezioni DEVONO (MUST) essere limitate nel tempo e revisionate regolarmente per garantire che non diventino permanenti. Il tracking attivo assicura che i vincoli vengano risolti e che i rischi siano gestiti.
Guida
Limiti temporali
Tutte le eccezioni DEVONO (MUST) avere:
- Data di inizio: Quando l’eccezione diventa attiva
- Data di fine: Quando l’eccezione scade (deadline massima)
- Piano di remediation: Come verrà risolto il vincolo
Durata massima
La durata massima dipende dal livello di rischio:
| Rischio |
Durata massima |
Review frequency |
| CRITICO |
3 mesi |
Mensile |
| ALTO |
6 mesi |
Mensile |
| MEDIO |
12 mesi |
Trimestrale |
| BASSO |
24 mesi |
Annuale |
Eccezioni permanenti NON sono permesse. Se un vincolo non può essere risolto entro la durata massima:
- Rivalutare se è davvero un’eccezione o se lo standard deve essere rivisto
- Escalare al Deputy Director per decisione esecutiva
- Documentare perché la remediation non è possibile
Frequency di revisione
Le eccezioni DEVONO (MUST) essere revisionate regolarmente:
Eccezioni ALTO e CRITICO: Almeno trimestralmente
- Verificare che i controlli compensativi siano ancora in atto
- Valutare se il rischio è cambiato
- Tracking del progress verso remediation
- Decidere se estendere, chiudere o escalare
Eccezioni MEDIO e BASSO: Almeno annualmente
- Review generale dello stato
- Verificare se il vincolo è ancora valido
- Aggiornare la documentazione
Processo di revisione
Durante ogni revisione, valutare:
1. Status del rischio
- Il rischio è aumentato, diminuito o rimasto stabile?
- Ci sono stati incident o near-miss?
- Il contesto è cambiato (nuove minacce, nuove normative)?
2. Efficacia dei controlli
- I controlli compensativi sono ancora in atto?
- Sono ancora efficaci?
- Sono necessari controlli aggiuntivi?
3. Progress verso remediation
- Ci sono stati progressi verso la risoluzione?
- Il piano di remediation è ancora realistico?
- Ci sono blocker da rimuovere?
4. Decisione
- ✅ Chiudere: Il vincolo è risolto, l’eccezione non è più necessaria
- 🔄 Rinnovare: Estendere l’eccezione con nuova data di fine
- ⬆️ Escalare: Il rischio è aumentato, richiede approvazione superiore
- ❌ Revocare: I controlli compensativi non sono adeguati, l’eccezione deve terminare
Estensione delle eccezioni
Se un’eccezione deve essere estesa oltre la data di fine:
- Richiesta formale: Documentare perché l’estensione è necessaria
- Progress report: Mostrare cosa è stato fatto verso la remediation
- Nuova approvazione: Richiede nuova approvazione allo stesso livello dell’originale
- Limite: Massimo 2 estensioni (poi richiede escalation al Deputy Director)
Chiusura delle eccezioni
Un’eccezione DEVE (MUST) essere chiusa quando:
- ✅ Il vincolo è risolto e lo standard è ora seguito
- ✅ Il controllo mancante è stato implementato
- ✅ L’alternativa conforme è stata adottata
- ✅ La data di scadenza è raggiunta e non è stata richiesta estensione
Alla chiusura, documentare:
- Data di chiusura
- Come il vincolo è stato risolto
- Lezioni apprese
- Raccomandazioni per prevenire eccezioni simili
Monitoring automatico
DOVREBBE (SHOULD) essere implementato:
- Alert automatici: Notifiche 30 giorni prima della scadenza
- Dashboard: Visibilità su tutte le eccezioni attive
- Report: Report mensile delle eccezioni per rischio ALTO/CRITICO
- Metrics: Trend di eccezioni (in aumento o diminuzione?)
Misurazione
| Stato |
Criteri |
| 🟢 VERDE |
Tutte le eccezioni time-bound e revisionate secondo schedule |
| 🟡 AMBRA |
Alcune eccezioni scadute o review in ritardo |
| 🔴 ROSSO |
Eccezioni non revisionate o senza limiti temporali |
Riferimenti