Linee di indirizzo del sistema di controllo interno e

LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
Linee di indirizzo del sistema di controllo interno e gestione dei
rischi di Molecular Medicine S.p.A.
1. Premessa
Molecular Medicine S.p.A. (“MolMed” o la “Società”) ha adottato il presente sistema di controllo interno e di
gestione dei rischi (il “Sistema”), quale l’insieme delle regole, delle procedure e delle strutture organizzative
che, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali
rischi, garantisce una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati.
Il Sistema è “integrato”: ciò presuppone che le sue componenti siano tra loro coordinate e interdipendenti e
che il Sistema, nel suo complesso, sia a sua volta integrato nel generale assetto organizzativo, amministrativo
e contabile della Società.
Il Sistema comprende sia le attività volte a identificare e a valutare le azioni o gli eventi il cui verificarsi o la cui
assenza possa compromettere, parzialmente o totalmente il raggiungimento degli obiettivi del sistema di
controllo (“sistema di gestione dei rischi”), sia le successive attività di individuazione dei controlli e di
definizione delle procedure che favoriscono il raggiungimento degli obiettivi di attendibilità, accuratezza,
affidabilità e tempestività delle informazioni fornite agli organi sociali ed al mercato (“sistema di controllo
interno”).
Il Sistema svolge le seguenti funzioni:
 contribuire a garantire la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia delle operazioni
aziendali, l’affidabilità delle informazioni fornite agli organi sociali ed al mercato, il rispetto di leggi e
regolamenti;
 facilitare l’efficacia delle operazioni aziendali e contribuire ad assicurare l’affidabilità delle comunicazioni
finanziarie e l’osservanza di norme e regolamenti;
 contribuire ad una conduzione dell’impresa coerente con gli obiettivi aziendali definiti dal consiglio di
amministrazione, favorendo l’assunzione di decisioni consapevoli;
 assicurare la necessaria separazione tra le funzioni operative e quelle di controllo, e pertanto essere
strutturato in modo da evitare o ridurre al minimo le situazioni di conflitto di interesse nell’assegnazione
delle competenze;
 agevolare l’identificazione, la misurazione, la gestione ed il monitoraggio adeguato dei rischi assunti dalla
Società;
 stabilire attività di controllo ai diversi livelli operativi e individuare con chiarezza compiti e responsabilità, in
particolare nelle fasi di supervisione e di intervento e correzione delle irregolarità riscontrate;
 assicurare sistemi informativi affidabili e idonei processi di reporting ai diversi livelli ai quali sono attribuite
funzioni di controllo;
FROM GENES TO THERAPY
MOLMED S.p.A.
Via Olgettina, 58 - 20132 Milano, Italy | Tel. +39 0221277.1 - Fax +39 02 21277.325
[email protected] - www.molmed.com
Capitale Sociale € 19.841.682,30 i.v. - REA n.1506630 - N. iscrizione Reg. Imprese di Milano - C.F. e P. IVA 11887610159
1
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
 garantire che le anomalie riscontrate siano tempestivamente portate a conoscenza di adeguati livelli
dell’azienda.
Attuazione del Sistema
Il Sistema riduce, ma non può eliminare, la possibilità di decisioni sbagliate, errori umani, violazione
fraudolenta dei sistemi di controllo e accadimenti imprevedibili. Esso fornisce rassicurazioni ragionevoli, ma
non assolute, sul fatto che la Società non sia ostacolata, nel raggiungere i propri obiettivi imprenditoriali o nello
svolgimento ordinato e legittimo delle proprie attività, da circostanze che possono essere ragionevolmente
previste.
Il Sistema è sottoposto nel tempo a verifica ed aggiornamento, al fine di garantirne l’idoneità a presidiare le
principali aree di rischio dell’attività sociale, in rapporto alla tipicità dei propri settori operativi e della propria
configurazione organizzativa, anche in funzione di eventuali novità legislative e regolamentari, tenendo conto
dell’evoluzione dell’operatività aziendale e del contesto di riferimento, nonché delle best practice esistenti in
ambito nazionale e internazionale.
Al fine di assicurare condizioni di sana e corretta gestione e in un’ottica di riduzione della probabilità di
accadimento degli eventi negativi e del loro impatto, MolMed adotta strategie di gestione dei rischi in funzione
della loro natura e tipologia quali, principalmente, quelli di natura finanziaria, industriale e di
regulatory/compliance. Le modalità con cui il management identifica, valuta, gestisce e monitora gli specifici
rischi connaturati alla gestione dei processi aziendali sono disciplinate dai diversi strumenti normativi,
procedurali ed organizzativi contenuti nel sistema normativo aziendale che, essendo permeati dalla coscienza
del rischio, ne presidiano il contenimento.
Costituisce elemento importante del Sistema il sistema di controllo contabile in quanto concorre ad assicurare
che la Società non sia esposta ad eccessivi rischi finanziari e che l’informativa finanziaria interna ed esterna
sia affidabile.
L’implementazione e la valutazione dei controlli sull’informativa finanziaria ha preso a riferimento i criteri
stabiliti nel modello di riferimento CoSO Report, caratterizzato dalle seguenti componenti: ambiente di
controllo, risk assessment, attività di controllo, sistemi informativi e flussi di comunicazione e attività di
monitoraggio, integrandolo, per gli aspetti informatici, con il modello “Control Objectives for Information and
related Technology”, COBIT). Tutto ciò, ovviamente, tenendo conto anche delle limitate dimensioni della
Società.
Prima di entrare nel merito del Sistema è necessario ricordare che la natura dell'attività di MolMed e la fase
del ciclo di vita delle principali aree strategiche di attività (i.e. pipeline propria - Zalmoxis, NGR-hTNF e CARCD44v6 – ed attività conto terzi per progetti di terapia genica e cellulare) attribuiscono all'azienda un profilo di
rischio economico-generale caratteristico e intenso, connesso all'esistenza di alcuni specifici rischi di business.
MolMed è infatti un'azienda che non ha ad oggi raggiunto le condizioni di equilibrio economico in quanto il
modello di business utilizzato è quello tipico delle aziende biotech che presentano una determinata pipeline di
prodotti in sperimentazione, ma che non hanno ancora completato il percorso che - passando attraverso le
varie fasi cliniche, verifica dei risultati e produzione - conduce alla commercializzazione degli stessi.
A ciò si deve aggiungere il rischio connesso al finanziamento delle attività che, nel caso di prolungamento del
periodo di sperimentazione e poi di attivazione della commercializzazione, tende ad intensificarsi per il
consumo di cassa tipico di questa tipologia di business.
I suddetti rischi, in questa fase della vita dell'azienda da considerare in parte ineliminabili, sono stati individuati
dalla Società e vengono monitorati mediante una continua attività di analisi da parte dell'amministratore
FROM GENES TO THERAPY
2
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
incaricato del Sistema ed una sua conseguente periodica informativa al consiglio di amministrazione.
2. Soggetti coinvolti
I controlli coinvolgono, nell’ambito delle rispettive competenze:
 il consiglio di amministrazione;
 l’amministratore incaricato del Sistema (“Amministratore Incaricato”);
 il comitato controllo e rischi;
 il responsabile della funzione di internal audit;
 il dirigente preposto alla redazione dei documenti contabili societari;;
 il collegio sindacale;
 l’organismo di vigilanza; e
 in generale tutti i dipendenti della Società.
2.1 Consiglio di amministrazione
Il consiglio di amministrazione svolge un ruolo di indirizzo e di valutazione dell’adeguatezza del Sistema e, a
tal fine:
(i)
definisce la natura e il livello di rischio compatibile con gli obiettivi strategici della Società, includendo
nelle proprie valutazioni tutti i rischi che possono assumere rilievo nell’ottica della sostenibilità nel mediolungo periodo dell’attività di MolMed;
(ii)
valuta l'adeguatezza dell'assetto organizzativo, amministrativo e contabile della Società, con particolare
riferimento al Sistema;
(iii) individua al proprio interno: (a) uno o più amministratori incaricati dell’istituzione e del mantenimento del
Sistema affinché sia efficace; (b) il comitato controllo e rischi con il ruolo di supportare, con un’adeguata
attività istruttoria, le valutazioni e le decisioni del consiglio di amministrazione relative al sistema di
controllo interno e di gestione dei rischi, nonché quelle relative all’approvazione delle relazioni finanziarie
periodiche;
(iv) su proposta dell'Amministratore Incaricato e previo parere favorevole del comitato controllo e rischi,
nonché sentito il collegio sindacale:
 nomina e revoca il responsabile della funzione di internal audit;
 assicura che lo stesso sia dotato delle risorse adeguate all'espletamento delle proprie responsabilità;
 definisce la remunerazione dello stesso coerentemente con le politiche aziendali;
(v) definisce le linee di indirizzo del Sistema, in modo che i principali rischi afferenti alla Società risultino
correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il
grado di compatibilità di tali rischi con una gestione dell’impresa coerente con gli obiettivi strategici
individuati;
(vi) esamina i rischi aziendali sottoposti alla propria attenzione dall'Amministratore Incaricato;
(vii) valuta, con cadenza almeno annuale, l'adeguatezza ed efficacia del Sistema rispetto alle caratteristiche
della Società e al profilo di rischio assunto, nonché la sua efficacia;
FROM GENES TO THERAPY
3
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
(viii) approva, con cadenza almeno annuale, il piano di lavoro predisposto dalla funzione di internal audit,
sentiti il comitato controllo e rischi, il collegio sindacale e l'Amministratore Incaricato;
(ix) descrive, nella relazione sul governo societario, le principali caratteristiche del Sistema e le modalità di
coordinamento tra i soggetti in esso coinvolti, esprimendo la propria valutazione sull'adeguatezza dello
stesso;
(x) valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di
suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale.
2.2 Amministratore Incaricato
L’Amministratore Incaricato, individuato dal consiglio di amministrazione al suo interno, ha i seguenti compiti:
a)
cura l’identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche delle attività svolte
dalla Società e li sottopone, almeno una volta all’anno, all’esame del consiglio di amministrazione;
b)
dà esecuzione alle linee di indirizzo definite dal consiglio di amministrazione, curando la progettazione,
realizzazione e gestione del Sistema e verificandone costantemente l’adeguatezza e l’efficacia. In
particolare:
-
definisce i compiti delle unità operative dedicate alle funzioni di controllo, assicurando che le varie
attività siano dirette da personale qualificato, in possesso di esperienza e conoscenze specifiche;
-
stabilisce canali di comunicazione efficaci al fine di assicurare che tutto il personale sia a conoscenza
delle politiche e delle procedure relative ai propri compiti e responsabilità;
c)
si occupa dell’adattamento del Sistema alla dinamica delle condizioni operative e del panorama legislativo
e regolamentare;
d)
propone al consiglio di amministrazione, informandone il comitato controllo e rischi, la nomina e la revoca
del responsabile della funzione di internal audit, la dotazione dello stesso di risorse adeguate
all’espletamento delle proprie responsabilità e la definizione della relativa remunerazione, coerentemente
con le politiche aziendali;
e)
sottopone annualmente al consiglio di amministrazione il piano di lavoro predisposto dalla funzione
internal audit, informandone il collegio sindacale;
f)
può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative e sul
rispetto delle regole e procedure interne nell’esecuzione di operazioni aziendali, dandone contestuale
comunicazione al Presidente del consiglio di amministrazione, al Presidente del comitato controllo e rischi
e al Presidente del collegio sindacale;
g)
riferisce tempestivamente al comitato controllo e rischi (o al consiglio di amministrazione) in merito a
problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto comunque
notizia, affinché il comitato (o il consiglio) possa prendere le opportune iniziative.
2.3 Comitato controllo e rischi
Il comitato controllo e rischi della Società, composto da amministratori non esecutivi a maggioranza
indipendenti e presieduto da un amministratore indipendente. Almeno uno dei componenti deve possedere
esperienza in materia contabile, finanziaria e di gestione dei rischi, che viene valutata dal consiglio di
amministrazione al momento della nomina.
Il comitato controllo e rischi, con funzione consultiva e propositiva, è investito dei seguenti compiti:
FROM GENES TO THERAPY
4
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
(i)
valutare, unitamente al dirigente preposto alla redazione dei documenti contabili societari e sentiti il
revisore legale e il collegio sindacale, il corretto utilizzo dei principi contabili;
(ii)
fornire il proprio parere al consiglio di amministrazione in merito alla definizione delle linee di indirizzo del
sistema di controllo interno e di gestione dei rischi;
(iii) esprimere pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali;
(iv) supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del consiglio di
amministrazione relative alla gestione di rischi derivanti da fatti pregiudizievoli di cui il consiglio di
amministrazione sia venuto a conoscenza;
(v) fornire il proprio parere al consiglio di amministrazione in merito alla nomina e alla revoca del responsabile
della funzione di internal audit, alla dotazione dello stesso di risorse adeguate all’espletamento delle
proprie responsabilità ed alla definizione della relativa remunerazione, coerentemente con le politiche
aziendali;
(vi) monitorare l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di internal audit;
(vii) esaminare le relazioni periodiche, aventi per oggetto la valutazione del sistema di controllo interno e di
gestione dei rischi, e quelle di particolare rilevanza predisposte dalla funzione internal audit e curare che
tali relazioni siano trasmesse al consiglio di amministrazione;
(viii) chiedere, ove ritenuto opportuno, alla funzione di internal audit lo svolgimento di verifiche su specifiche
aree operative, dandone contestuale comunicazione al presidente del collegio sindacale;
(ix) riferire al consiglio, almeno semestralmente, in occasione dell’approvazione della relazione finanziaria
annuale e semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di controllo interno e di
gestione dei rischi;
(x) svolge la funzione di comitato per le operazioni con parti correlate secondo i termini e le modalità stabiliti
in apposito regolamento.
Ai lavori del comitato partecipa il Presidente del collegio sindacale o altro sindaco da lui designato; possono
comunque partecipare anche gli altri sindaci;
2.4 Responsabile della funzione di internal audit
La funzione di internal audit riveste una posizione centrale nel governo dei sistemi di controllo ed è ricoperta
da soggetto dotato di adeguati requisiti di professionalità, indipendenza ed organizzazione.
Il responsabile della funzione di internal audit non è responsabile di alcuna area operativa e dipende
gerarchicamente dal consiglio di amministrazione.
Il responsabile della funzione di internal audit ha accesso diretto a tutte le informazioni utili per lo svolgimento
del proprio incarico.
Il Responsabile della funzione di internal audit svolge i seguenti compiti:
a) predispone il piano di audit aziendale, annuale o pluriennale, basato su un processo strutturato di analisi
e prioritizzazione dei principali rischi (“Piano di audit”) e lo illustra all’Amministratore Incaricato, al
comitato controllo e rischi, al collegio sindacale e al consiglio di amministrazione, in tempo utile per
l’espletamento delle loro rispettive funzioni e, in particolare, per gli eventuali suggerimenti che
intendessero effettuare;
FROM GENES TO THERAPY
5
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
b) verifica, attraverso il Piano di audit, sia in via continuativa sia in relazione a specifiche necessità e nel
rispetto degli standard internazionali, l’operatività e l’idoneità del Sistema;
c) verifica che le regole e le procedure dei processi di controllo siano rispettate e che tutti i soggetti coinvolti
operino in conformità agli obiettivi prefissati. Al riguardo:
-
verifica l’affidabilità dei flussi informativi, inclusi i sistemi di elaborazione automatica dei dati e dei
sistemi di rilevazione di natura amministrativo-contabile;
-
verifica, nell’ambito del piano di lavoro, che le procedure adottate dalla Società assicurino il rispetto
delle disposizioni di legge e regolamentari vigenti;
-
accerta, con le modalità ritenute più opportune, che le anomalie riscontrate nell’operatività e nel
funzionamento dei controlli siano state rimosse;
d) verifica, nell’ambito del Piano di audit, l’affidabilità dei sistemi informativi, inclusi i sistemi di rilevazione
contabile;
e) espleta inoltre compiti d’accertamento con riguardo a specifici aspetti, ove lo ritenga opportuno o su
richiesta del consiglio di amministrazione, del comitato controllo e rischi, dell’Amministratore Incaricato o
del collegio sindacale;
f)
in presenza di criticità che suggeriscano un intervento urgente, informa senza indugio l’Amministratore
Incaricato e gli organi delegati, nonché, i presidenti del comitato controllo e rischi, del collegio sindacale,
e ove del caso del consiglio di Amministrazione, per aggiornarli sui risultati del proprio operato;
g) predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con
cui viene condotta la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro contenimento. Le
relazioni periodiche contengono una valutazione sull’idoneità del Sistema.
Al riguardo, almeno due volte l’anno, in tempo utile per consentire al comitato controllo e rischi e al
consiglio di amministrazione, nonché all’amministratore incaricato l’espletamento dei rispettivi compiti in
occasione delle riunioni del consiglio per l’approvazione della relazione finanziaria semestrale e della
relazioni finanziaria annuale, redige una sintesi semestrale riepilogativa dei principali rilievi emersi
rispettivamente nel semestre di riferimento e durante tutto l’anno. La relazione annuale compilata per la
riunione di approvazione della relazione finanziaria annuale contiene anche:
-
un aggiornamento dei rischi aziendali oggetto di monitoraggio emersi durante l’anno.
-
l’individuazione delle eventuali carenze del Sistema, alla luce sia dei risultati dei controlli, sia
dell’analisi dei rischi aziendali, e la proposta di eventuali necessari interventi sullo stesso.
Le relazioni semestrale e annuale vengono messe a disposizione al comitato controllo e rischi (entro i
mesi rispettivamente di febbraio e luglio di ogni anno), che lo sottopone al consiglio di amministrazione
unitamente alle proprie valutazioni;
h) predispone tempestivamente relazioni su eventi di particolare rilevanza;
i)
trasmette le relazioni di cui alle precedenti lettere g) e h) all’Amministratore Incaricato, nonché ai Presidenti
del collegio sindacale, del comitato controllo e rischi e, ove del caso in relazione agli eventi oggetto di
esame, al Presidente del consiglio di amministrazione e all’organismo di vigilanza;
Il collegio sindacale può prendere visione dei predetti documenti in occasione delle riunioni del comitato
controllo e rischi.
j)
conserva con ordine tutta la documentazione relativa alle attività svolte; tale documentazione è a
disposizione dei soggetti responsabili dei processi di controllo che ne facciano richiesta;
FROM GENES TO THERAPY
6
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
Le verifiche del responsabile della funzione di internal audit sono svolte effettuando controlli a campione sui
processi oggetto di audit.
2.5 Dirigente preposto alla redazione dei documenti contabili societari
La legge attribuisce al dirigente preposto alla redazione dei documenti contabili societari, tra l’altro, il compito
di predisporre adeguate procedure amministrative e contabili per la formazione del bilancio d'esercizio, nonché
delle altre comunicazioni di carattere finanziario.
Il consiglio di amministrazione della Società ha nominato, ai sensi dell’art. 154-bis del TUF, quale dirigente
preposto alla redazione dei documenti contabili e societari, il direttore amministrazione, finanza e controllo
della Società, attribuendogli il compito di predisporre adeguate procedure amministrative e contabili per la
formazione del bilancio di esercizio nonché di ogni altra comunicazione di carattere finanziario.
Il dirigente preposto, tra l’altro, rilascia una dichiarazione che accompagna gli atti e le comunicazioni della
Società diffusi al mercato e relativi all’informativa contabile, anche infrannuale, che ne attesta la
corrispondenza alle risultanze documentali, ai libri ed alle scritture contabili. Il medesimo dirigente, unitamente
all’amministratore delegato, attesta inoltre con apposita relazione allegata al bilancio di esercizio ed alla
relazione finanziaria semestrale: (i) l’adeguatezza e l’effettiva applicazione delle procedure amministrative e
contabili sopra indicate nel corso del periodo cui si riferiscono tali documenti contabili; (ii) la conformità del
contenuto di tali documenti ai principi contabili internazionali applicabili riconosciuti nella Comunità europea;
(iii) la corrispondenza dei documenti medesimi alle risultanze dei libri e delle scritture contabili e la loro idoneità
a fornire una rappresentazione veritiera e corretta della situazione patrimoniale, economica e finanziaria della
Società; (iv) che la relazione sulla gestione al bilancio di esercizio comprende un’analisi attendibile
dell’andamento e del risultato della gestione, nonché della situazione della Società, unitamente alla
descrizione dei principali rischi ed incertezze cui quest’ultima è esposta; (v) che la relazione intermedia sulla
gestione inclusa nella relazione finanziaria semestrale contiene almeno riferimenti agli eventi importanti che si
sono verificati nei primi sei mesi dell’esercizio ed alla loro incidenza sulla relazione finanziaria semestrale, una
descrizione dei principali rischi ed incertezze per i sei mesi restanti dell’esercizio ed una informativa sulle
operazioni rilevanti con parti correlate.
Le attestazioni rilasciate dal dirigente preposto e dall’amministratore delegato di cui sopra sono rese secondo
il modello stabilito da Consob nel regolamento concernente la disciplina degli emittenti n. 11971/1999.
Al dirigente preposto spetta dunque il compito primario di progettare, gestire e monitorare i processi
riguardanti, in particolare, i flussi informativi di natura amministrativo-contabile, inclusi i sistemi di elaborazione
automatica dei dati e di rilevazione contabile, anche al fine di rendere le attestazioni sulla loro adeguatezza
ed effettiva applicazione. Spetta al dirigente preposto, in primo luogo, identificare e valutare i rischi
sull'informativa finanziaria, identificare e realizzare gli opportuni controlli diretti a mitigare la possibilità che tali
rischi si concretizzino, e monitorare e valutare l'effettività dei controlli nel contesto di un sistema di gestione
dei rischi e di controllo interno adeguato e funzionante, in relazione al processo di informativa finanziaria.
Al dirigente preposto devono essere assicurati tutti i poteri e i mezzi necessari a garantire l’attendibilità,
l’affidabilità, l’accuratezza e la tempestività dell'informativa finanziaria e, in generale, l'adempimento dei doveri
derivanti dalla legge e dallo statuto sociale, senza alcuna specifica limitazione di spesa, con il solo limite della
necessaria ragionevolezza di quanto disposto dallo stesso.
Una descrizione delle principali caratteristiche del Sistema in relazione al processo di informativa finanziaria è
contenuta nella relazione annuale sul governo societario e gli assetti proprietari predisposta dalla Società.
FROM GENES TO THERAPY
7
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
2.6 Collegio sindacale
La legge attribuisce al collegio sindacale, tra l’altro, il compito di vigilare su:
 osservanza della legge e dello statuto sociale;
 rispetto dei principi di corretta amministrazione;
 modalità di concreta attuazione delle regole di governo societario previste da codici di comportamento
redatti dalle società di gestione dei mercati regolamentati o associazioni di categoria cui la Società dichiara
di attenersi;
 adeguatezza della struttura organizzativa della Società per gli aspetti di competenza, del Sistema e del
sistema amministrativo-contabile, nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i
fatti di gestione e, in particolare:
-
il processo di informativa finanziaria;
-
l’efficacia del Sistema e del sistema di revisione interna, se applicabile, e di gestione del rischio.
Il collegio sindacale vigila inoltre su:
 la revisione legale dei conti annuali;
 l’indipendenza del revisore legale o della società di revisione legale, in particolare per quanto concerne la
prestazione di servizi non di revisione alla Società.
Anche al fine di espletare i suddetti compiti:
a)
il collegio sindacale partecipa alle riunioni del consiglio di amministrazione;
b)
ai lavori del comitato controllo e rischi partecipa il Presidente del collegio sindacale o altro sindaco da lui
designato; possono comunque partecipare anche gli altri Sindaci;
c)
il collegio sindacale provvede ad autonome valutazioni sulla efficacia e sul funzionamento del Sistema e
può formulare, ogni qualvolta lo ritenga necessario od opportuno, eventuali raccomandazioni agli organi
competenti allo scopo di promuovere il rafforzamento del Sistema stesso;
d)
il collegio sindacale può convocare l’organismo di vigilanza e formulare richieste di informazioni e/o
chiarimenti;
e)
il collegio sindacale prende visione delle relazioni del responsabile della funzione di internal audit, anche
in occasione delle riunioni del comitato controllo e rischi e può invitare il responsabile della funzione di
internal audit ad esporre i risultati delle attività svolte alle periodiche riunioni di controllo, al fine di valutare
direttamente ed autonomamente l’efficienza del Sistema, ogni qualvolta lo ritenga necessario od
opportuno;
f)
viene sentito dal consiglio di amministrazione in occasione della approvazione del piano annuale di lavoro
predisposto dal responsabile della funzione di internal audit;
g)
ogni qualvolta sia ritenuto necessario od opportuno, in conformità con la legge, il responsabile della
funzione di internal audit riferisce al collegio sindacale di propria iniziativa o anche su richiesta di uno solo
dei sindaci;
FROM GENES TO THERAPY
8
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
h)
spetta al collegio sindacale valutare le proposte formulate dalle società di revisione per ottenere
l’affidamento del relativo incarico, nonché il piano di lavoro predisposto per la revisione e i risultati esposti
nella relazione e nella eventuale lettera di suggerimenti;
i)
ferma restando l’autonomia della società di revisione nell’espletamento del proprio incarico – e, in
particolare, nella verifica della corretta applicazione dei principi contabili – con la tempistica di volta in
volta ritenuta adeguata in relazione alle circostanze del caso concreto, il collegio sindacale invita la
società di revisione a riferire circa l’attività di revisione svolta, al fine di segnalare eventuali criticità, anche
in relazione all’applicazione dei principi contabili; viene sentito dal consiglio di amministrazione in
occasione della valutazione dei risultati esposti dalla società di revisione nella eventuale lettera di
suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale;
l)
con la tempistica di volta in volta ritenuta adeguata in relazione alle circostanze del caso concreto, il
collegio sindacale verifica che la società di revisione riceva tutte le informazioni richieste per
l’espletamento dei propri compiti, invitando il dirigente preposto alla redazione dei documenti contabili e
societari a riferire circa la completezza e la esaustività dei flussi informativi diretti alla società di revisione;
m) viene sentito dal consiglio di amministrazione in occasione delle decisioni in materia di nomina, revoca,
remunerazione e attribuzione di risorse al responsabile della funzione di internal audit.
Per lo svolgimento delle proprie funzioni il collegio sindacale si avvale di tutte le unità delle strutture
organizzative che assolvono funzioni di controllo, prime fra tutte l’internal audit, compatibilmente con il
programma di lavoro delle medesime.
2.7 Organismo di vigilanza ai sensi del D.Lgs. 231/2001
L’Organismo di vigilanza della Società è costituito e funzionante nel rispetto delle previsioni del D.Lgs.
231/2001.
Ruolo, compiti e funzioni dell’organismo di vigilanza sono definiti all’interno del modello di organizzazione,
gestione e controllo della Società (il “Modello”), al quale si fa integrale rinvio.
Per un efficace ed efficiente sistema di controlli all’interno della Società è in ogni caso stabilito quanto segue:
a) l’organismo di vigilanza relaziona - di regola semestralmente - il consiglio di amministrazione sugli esiti
delle attività svolte;
b) ogni qualvolta ravvisi una significativa violazione del Modello, o comunque una sensibile criticità attinente
la puntuale osservanza del Modello medesimo, può riferire direttamente al consiglio di amministrazione e,
per esso, all’Amministratore Incaricato del Sistema, nonché, qualora ne ravvisi la necessità - in particolare
per violazioni poste in essere dai vertici aziendali o dagli amministratori - al collegio sindacale.
2.8 Dipendenti
Tutti i dipendenti della Società, in funzione dei compiti loro affidati nell'organizzazione aziendale, devono
impegnarsi per assicurare un efficace ed efficiente funzionamento del Sistema, come parte delle proprie
responsabilità nel raggiungimento degli obiettivi aziendali.
Essi, pertanto, devono avere la necessaria conoscenza, preparazione e capacità per agire ed operare
nell'ambito del Sistema e deve essere loro consentito di adempiere ai compiti conseguenti al proprio ruolo ed
assolvere alle proprie responsabilità. Questo implica, pertanto, il diritto ed il dovere di ogni singolo dipendente
di avere piena conoscenza e comprensione della Società in cui opera, dei meccanismi operativi, degli obiettivi,
dei mercati in cui opera e dei rischi cui è quotidianamente esposta.
FROM GENES TO THERAPY
9
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
Ogni dipendente ha l’obbligo di informare di ogni disfunzione rilevante il proprio referente superiore in modo
che della stessa sia senza indugio messo a conoscenza il responsabile della funzione di internal audit.
3. Linee di indirizzo
3.1 Criteri di individuazione e valutazione dei rischi
L'Amministratore incaricato del Sistema, anche attraverso il coordinamento della funzione di internal audit,
indirizza le attività di gestione dei rischi sui principali rischi aziendali, tenendo conto degli obiettivi aziendali e
delle caratteristiche delle attività svolte dalla Società, e li sottopone periodicamente all'esame del consiglio di
amministrazione.
Tali rischi sono individuati sulla base dei seguenti criteri:
a) natura del rischio, con particolare riferimento ai rischi di natura finanziaria, quelli relativi all'osservanza
delle norme contabili e quelli con un potenziale significativo impatto sulla reputazione della Società;
b) significativa probabilità del verificarsi del rischio;
c) limitata capacità della Società di ridurre l'impatto del rischio sulla sua operatività;
d) significativa entità del rischio.
Conseguentemente, il consiglio di amministrazione esamina tali rischi e le rispettive misure di contenimento,
in funzione anche della natura e del livello di rischio ritenuti compatibili con gli obiettivi strategici della Società.
Considerando le specificità delle attività di MolMed, l’approccio pianificato prevede lo svolgimento di attività di
risk assessment periodiche, mirate a valutare l’adeguatezza del Sistema a livello di company level control, a
seguito di eventuali cambiamenti intercorsi a livello sia organizzativo sia procedurale. Obiettivi dei risk
assessment periodici sono l’aggiornamento e la condivisione con il management aziendale di una mappa dei
processi, con individuazione dell’elenco e dell’entità dei rischi a cui la Società è soggetta.
Nello specifico, l’approccio all’attività di risk assessment prevede le seguenti fasi di sviluppo:
1) mappatura (analisi di flusso) del processo gestito, inteso come descrizione dei flussi di attività e dei
flussi documentali ad esso riconducibili;
2) valutazione dei rischi “lordi”: per ciascun rischio vengono valutate le dimensioni di impatto e probabilità
di accadimento, la cui combinazione fornisce un livello della rischiosità “potenziale”;
3) valutazione dei presidi di controllo associati al rischio: per ciascuno dei rischi identificati, vengono
analizzati la struttura di governo, la struttura procedurale, i meccanismi organizzativi ed operativi ed i
sistemi, al fine di rilevare il livello di mitigazione dei rischi;
4) valutazione del rischio “netto”: la valutazione del rischio lordo, “potenziale”, viene analizzata
considerando gli effetti mitiganti dei presidi identificati. Il risultato è l’esposizione “netta”, ovvero come
effettivamente percepita dal management, per ciascun rischio.
L’approccio sopra descritto permette la condivisone, all’interno della Società, dell’analisi e della valutazione
dei rischi rilevati con il management, la rilevazione e la valutazione del sistema dei presidi di controllo a
mitigazione dei rischi e le azioni di miglioramento identificate. La condivisione della valutazione dei rischi
identificati permette l’elaborazione e l'aggiornamento dei piani di azione tesi alla mitigazione dei rischi sulla
base della loro priorità e rilevanza.
FROM GENES TO THERAPY
10
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
GESTIONE DEI RISCHI
3.2 Valutazione dell'efficacia del Sistema
La periodica verifica dell'adeguatezza e dell'effettivo funzionamento del Sistema, nonché la sua eventuale
revisione, costituiscono parte essenziale della struttura dello stesso, al fine di consentire una sua piena e
corretta efficacia.
Tale verifica periodica, come detto, spetta al consiglio di amministrazione assistito dal comitato controllo e
rischi. Il consiglio di amministrazione avrà cura non solo di verificare l'esistenza e l'attuazione del Sistema
nell'ambito della Società, ma anche di procedere periodicamente ad un esame dettagliato della struttura del
Sistema stesso, della sua idoneità e del suo effettivo e concreto funzionamento.
A tal fine il consiglio di amministrazione riceve ed esamina semestralmente le relazioni predisposte dal
responsabile della funzione di internal audit e dal comitato controllo e rischi, al fine di verificare se:
-
la struttura del Sistema risulta concretamente efficace nel perseguimento degli obiettivi;
-
le eventuali debolezze segnalate implichino la necessità di un miglioramento del Sistema.
FROM GENES TO THERAPY
11