Linee di indirizzo del sistema di controllo interno e
Transcript
Linee di indirizzo del sistema di controllo interno e
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI Linee di indirizzo del sistema di controllo interno e gestione dei rischi di Molecular Medicine S.p.A. 1. Premessa Molecular Medicine S.p.A. (“MolMed” o la “Società”) ha adottato il presente sistema di controllo interno e di gestione dei rischi (il “Sistema”), quale l’insieme delle regole, delle procedure e delle strutture organizzative che, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, garantisce una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati. Il Sistema è “integrato”: ciò presuppone che le sue componenti siano tra loro coordinate e interdipendenti e che il Sistema, nel suo complesso, sia a sua volta integrato nel generale assetto organizzativo, amministrativo e contabile della Società. Il Sistema comprende sia le attività volte a identificare e a valutare le azioni o gli eventi il cui verificarsi o la cui assenza possa compromettere, parzialmente o totalmente il raggiungimento degli obiettivi del sistema di controllo (“sistema di gestione dei rischi”), sia le successive attività di individuazione dei controlli e di definizione delle procedure che favoriscono il raggiungimento degli obiettivi di attendibilità, accuratezza, affidabilità e tempestività delle informazioni fornite agli organi sociali ed al mercato (“sistema di controllo interno”). Il Sistema svolge le seguenti funzioni: contribuire a garantire la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia delle operazioni aziendali, l’affidabilità delle informazioni fornite agli organi sociali ed al mercato, il rispetto di leggi e regolamenti; facilitare l’efficacia delle operazioni aziendali e contribuire ad assicurare l’affidabilità delle comunicazioni finanziarie e l’osservanza di norme e regolamenti; contribuire ad una conduzione dell’impresa coerente con gli obiettivi aziendali definiti dal consiglio di amministrazione, favorendo l’assunzione di decisioni consapevoli; assicurare la necessaria separazione tra le funzioni operative e quelle di controllo, e pertanto essere strutturato in modo da evitare o ridurre al minimo le situazioni di conflitto di interesse nell’assegnazione delle competenze; agevolare l’identificazione, la misurazione, la gestione ed il monitoraggio adeguato dei rischi assunti dalla Società; stabilire attività di controllo ai diversi livelli operativi e individuare con chiarezza compiti e responsabilità, in particolare nelle fasi di supervisione e di intervento e correzione delle irregolarità riscontrate; assicurare sistemi informativi affidabili e idonei processi di reporting ai diversi livelli ai quali sono attribuite funzioni di controllo; FROM GENES TO THERAPY MOLMED S.p.A. Via Olgettina, 58 - 20132 Milano, Italy | Tel. +39 0221277.1 - Fax +39 02 21277.325 [email protected] - www.molmed.com Capitale Sociale € 19.841.682,30 i.v. - REA n.1506630 - N. iscrizione Reg. Imprese di Milano - C.F. e P. IVA 11887610159 1 LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI garantire che le anomalie riscontrate siano tempestivamente portate a conoscenza di adeguati livelli dell’azienda. Attuazione del Sistema Il Sistema riduce, ma non può eliminare, la possibilità di decisioni sbagliate, errori umani, violazione fraudolenta dei sistemi di controllo e accadimenti imprevedibili. Esso fornisce rassicurazioni ragionevoli, ma non assolute, sul fatto che la Società non sia ostacolata, nel raggiungere i propri obiettivi imprenditoriali o nello svolgimento ordinato e legittimo delle proprie attività, da circostanze che possono essere ragionevolmente previste. Il Sistema è sottoposto nel tempo a verifica ed aggiornamento, al fine di garantirne l’idoneità a presidiare le principali aree di rischio dell’attività sociale, in rapporto alla tipicità dei propri settori operativi e della propria configurazione organizzativa, anche in funzione di eventuali novità legislative e regolamentari, tenendo conto dell’evoluzione dell’operatività aziendale e del contesto di riferimento, nonché delle best practice esistenti in ambito nazionale e internazionale. Al fine di assicurare condizioni di sana e corretta gestione e in un’ottica di riduzione della probabilità di accadimento degli eventi negativi e del loro impatto, MolMed adotta strategie di gestione dei rischi in funzione della loro natura e tipologia quali, principalmente, quelli di natura finanziaria, industriale e di regulatory/compliance. Le modalità con cui il management identifica, valuta, gestisce e monitora gli specifici rischi connaturati alla gestione dei processi aziendali sono disciplinate dai diversi strumenti normativi, procedurali ed organizzativi contenuti nel sistema normativo aziendale che, essendo permeati dalla coscienza del rischio, ne presidiano il contenimento. Costituisce elemento importante del Sistema il sistema di controllo contabile in quanto concorre ad assicurare che la Società non sia esposta ad eccessivi rischi finanziari e che l’informativa finanziaria interna ed esterna sia affidabile. L’implementazione e la valutazione dei controlli sull’informativa finanziaria ha preso a riferimento i criteri stabiliti nel modello di riferimento CoSO Report, caratterizzato dalle seguenti componenti: ambiente di controllo, risk assessment, attività di controllo, sistemi informativi e flussi di comunicazione e attività di monitoraggio, integrandolo, per gli aspetti informatici, con il modello “Control Objectives for Information and related Technology”, COBIT). Tutto ciò, ovviamente, tenendo conto anche delle limitate dimensioni della Società. Prima di entrare nel merito del Sistema è necessario ricordare che la natura dell'attività di MolMed e la fase del ciclo di vita delle principali aree strategiche di attività (i.e. pipeline propria - Zalmoxis, NGR-hTNF e CARCD44v6 – ed attività conto terzi per progetti di terapia genica e cellulare) attribuiscono all'azienda un profilo di rischio economico-generale caratteristico e intenso, connesso all'esistenza di alcuni specifici rischi di business. MolMed è infatti un'azienda che non ha ad oggi raggiunto le condizioni di equilibrio economico in quanto il modello di business utilizzato è quello tipico delle aziende biotech che presentano una determinata pipeline di prodotti in sperimentazione, ma che non hanno ancora completato il percorso che - passando attraverso le varie fasi cliniche, verifica dei risultati e produzione - conduce alla commercializzazione degli stessi. A ciò si deve aggiungere il rischio connesso al finanziamento delle attività che, nel caso di prolungamento del periodo di sperimentazione e poi di attivazione della commercializzazione, tende ad intensificarsi per il consumo di cassa tipico di questa tipologia di business. I suddetti rischi, in questa fase della vita dell'azienda da considerare in parte ineliminabili, sono stati individuati dalla Società e vengono monitorati mediante una continua attività di analisi da parte dell'amministratore FROM GENES TO THERAPY 2 LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI incaricato del Sistema ed una sua conseguente periodica informativa al consiglio di amministrazione. 2. Soggetti coinvolti I controlli coinvolgono, nell’ambito delle rispettive competenze: il consiglio di amministrazione; l’amministratore incaricato del Sistema (“Amministratore Incaricato”); il comitato controllo e rischi; il responsabile della funzione di internal audit; il dirigente preposto alla redazione dei documenti contabili societari;; il collegio sindacale; l’organismo di vigilanza; e in generale tutti i dipendenti della Società. 2.1 Consiglio di amministrazione Il consiglio di amministrazione svolge un ruolo di indirizzo e di valutazione dell’adeguatezza del Sistema e, a tal fine: (i) definisce la natura e il livello di rischio compatibile con gli obiettivi strategici della Società, includendo nelle proprie valutazioni tutti i rischi che possono assumere rilievo nell’ottica della sostenibilità nel mediolungo periodo dell’attività di MolMed; (ii) valuta l'adeguatezza dell'assetto organizzativo, amministrativo e contabile della Società, con particolare riferimento al Sistema; (iii) individua al proprio interno: (a) uno o più amministratori incaricati dell’istituzione e del mantenimento del Sistema affinché sia efficace; (b) il comitato controllo e rischi con il ruolo di supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del consiglio di amministrazione relative al sistema di controllo interno e di gestione dei rischi, nonché quelle relative all’approvazione delle relazioni finanziarie periodiche; (iv) su proposta dell'Amministratore Incaricato e previo parere favorevole del comitato controllo e rischi, nonché sentito il collegio sindacale: nomina e revoca il responsabile della funzione di internal audit; assicura che lo stesso sia dotato delle risorse adeguate all'espletamento delle proprie responsabilità; definisce la remunerazione dello stesso coerentemente con le politiche aziendali; (v) definisce le linee di indirizzo del Sistema, in modo che i principali rischi afferenti alla Società risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre il grado di compatibilità di tali rischi con una gestione dell’impresa coerente con gli obiettivi strategici individuati; (vi) esamina i rischi aziendali sottoposti alla propria attenzione dall'Amministratore Incaricato; (vii) valuta, con cadenza almeno annuale, l'adeguatezza ed efficacia del Sistema rispetto alle caratteristiche della Società e al profilo di rischio assunto, nonché la sua efficacia; FROM GENES TO THERAPY 3 LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI (viii) approva, con cadenza almeno annuale, il piano di lavoro predisposto dalla funzione di internal audit, sentiti il comitato controllo e rischi, il collegio sindacale e l'Amministratore Incaricato; (ix) descrive, nella relazione sul governo societario, le principali caratteristiche del Sistema e le modalità di coordinamento tra i soggetti in esso coinvolti, esprimendo la propria valutazione sull'adeguatezza dello stesso; (x) valuta, sentito il collegio sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale. 2.2 Amministratore Incaricato L’Amministratore Incaricato, individuato dal consiglio di amministrazione al suo interno, ha i seguenti compiti: a) cura l’identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche delle attività svolte dalla Società e li sottopone, almeno una volta all’anno, all’esame del consiglio di amministrazione; b) dà esecuzione alle linee di indirizzo definite dal consiglio di amministrazione, curando la progettazione, realizzazione e gestione del Sistema e verificandone costantemente l’adeguatezza e l’efficacia. In particolare: - definisce i compiti delle unità operative dedicate alle funzioni di controllo, assicurando che le varie attività siano dirette da personale qualificato, in possesso di esperienza e conoscenze specifiche; - stabilisce canali di comunicazione efficaci al fine di assicurare che tutto il personale sia a conoscenza delle politiche e delle procedure relative ai propri compiti e responsabilità; c) si occupa dell’adattamento del Sistema alla dinamica delle condizioni operative e del panorama legislativo e regolamentare; d) propone al consiglio di amministrazione, informandone il comitato controllo e rischi, la nomina e la revoca del responsabile della funzione di internal audit, la dotazione dello stesso di risorse adeguate all’espletamento delle proprie responsabilità e la definizione della relativa remunerazione, coerentemente con le politiche aziendali; e) sottopone annualmente al consiglio di amministrazione il piano di lavoro predisposto dalla funzione internal audit, informandone il collegio sindacale; f) può chiedere alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell’esecuzione di operazioni aziendali, dandone contestuale comunicazione al Presidente del consiglio di amministrazione, al Presidente del comitato controllo e rischi e al Presidente del collegio sindacale; g) riferisce tempestivamente al comitato controllo e rischi (o al consiglio di amministrazione) in merito a problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto comunque notizia, affinché il comitato (o il consiglio) possa prendere le opportune iniziative. 2.3 Comitato controllo e rischi Il comitato controllo e rischi della Società, composto da amministratori non esecutivi a maggioranza indipendenti e presieduto da un amministratore indipendente. Almeno uno dei componenti deve possedere esperienza in materia contabile, finanziaria e di gestione dei rischi, che viene valutata dal consiglio di amministrazione al momento della nomina. Il comitato controllo e rischi, con funzione consultiva e propositiva, è investito dei seguenti compiti: FROM GENES TO THERAPY 4 LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI (i) valutare, unitamente al dirigente preposto alla redazione dei documenti contabili societari e sentiti il revisore legale e il collegio sindacale, il corretto utilizzo dei principi contabili; (ii) fornire il proprio parere al consiglio di amministrazione in merito alla definizione delle linee di indirizzo del sistema di controllo interno e di gestione dei rischi; (iii) esprimere pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali; (iv) supportare, con un’adeguata attività istruttoria, le valutazioni e le decisioni del consiglio di amministrazione relative alla gestione di rischi derivanti da fatti pregiudizievoli di cui il consiglio di amministrazione sia venuto a conoscenza; (v) fornire il proprio parere al consiglio di amministrazione in merito alla nomina e alla revoca del responsabile della funzione di internal audit, alla dotazione dello stesso di risorse adeguate all’espletamento delle proprie responsabilità ed alla definizione della relativa remunerazione, coerentemente con le politiche aziendali; (vi) monitorare l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di internal audit; (vii) esaminare le relazioni periodiche, aventi per oggetto la valutazione del sistema di controllo interno e di gestione dei rischi, e quelle di particolare rilevanza predisposte dalla funzione internal audit e curare che tali relazioni siano trasmesse al consiglio di amministrazione; (viii) chiedere, ove ritenuto opportuno, alla funzione di internal audit lo svolgimento di verifiche su specifiche aree operative, dandone contestuale comunicazione al presidente del collegio sindacale; (ix) riferire al consiglio, almeno semestralmente, in occasione dell’approvazione della relazione finanziaria annuale e semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di controllo interno e di gestione dei rischi; (x) svolge la funzione di comitato per le operazioni con parti correlate secondo i termini e le modalità stabiliti in apposito regolamento. Ai lavori del comitato partecipa il Presidente del collegio sindacale o altro sindaco da lui designato; possono comunque partecipare anche gli altri sindaci; 2.4 Responsabile della funzione di internal audit La funzione di internal audit riveste una posizione centrale nel governo dei sistemi di controllo ed è ricoperta da soggetto dotato di adeguati requisiti di professionalità, indipendenza ed organizzazione. Il responsabile della funzione di internal audit non è responsabile di alcuna area operativa e dipende gerarchicamente dal consiglio di amministrazione. Il responsabile della funzione di internal audit ha accesso diretto a tutte le informazioni utili per lo svolgimento del proprio incarico. Il Responsabile della funzione di internal audit svolge i seguenti compiti: a) predispone il piano di audit aziendale, annuale o pluriennale, basato su un processo strutturato di analisi e prioritizzazione dei principali rischi (“Piano di audit”) e lo illustra all’Amministratore Incaricato, al comitato controllo e rischi, al collegio sindacale e al consiglio di amministrazione, in tempo utile per l’espletamento delle loro rispettive funzioni e, in particolare, per gli eventuali suggerimenti che intendessero effettuare; FROM GENES TO THERAPY 5 LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI b) verifica, attraverso il Piano di audit, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli standard internazionali, l’operatività e l’idoneità del Sistema; c) verifica che le regole e le procedure dei processi di controllo siano rispettate e che tutti i soggetti coinvolti operino in conformità agli obiettivi prefissati. Al riguardo: - verifica l’affidabilità dei flussi informativi, inclusi i sistemi di elaborazione automatica dei dati e dei sistemi di rilevazione di natura amministrativo-contabile; - verifica, nell’ambito del piano di lavoro, che le procedure adottate dalla Società assicurino il rispetto delle disposizioni di legge e regolamentari vigenti; - accerta, con le modalità ritenute più opportune, che le anomalie riscontrate nell’operatività e nel funzionamento dei controlli siano state rimosse; d) verifica, nell’ambito del Piano di audit, l’affidabilità dei sistemi informativi, inclusi i sistemi di rilevazione contabile; e) espleta inoltre compiti d’accertamento con riguardo a specifici aspetti, ove lo ritenga opportuno o su richiesta del consiglio di amministrazione, del comitato controllo e rischi, dell’Amministratore Incaricato o del collegio sindacale; f) in presenza di criticità che suggeriscano un intervento urgente, informa senza indugio l’Amministratore Incaricato e gli organi delegati, nonché, i presidenti del comitato controllo e rischi, del collegio sindacale, e ove del caso del consiglio di Amministrazione, per aggiornarli sui risultati del proprio operato; g) predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui viene condotta la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro contenimento. Le relazioni periodiche contengono una valutazione sull’idoneità del Sistema. Al riguardo, almeno due volte l’anno, in tempo utile per consentire al comitato controllo e rischi e al consiglio di amministrazione, nonché all’amministratore incaricato l’espletamento dei rispettivi compiti in occasione delle riunioni del consiglio per l’approvazione della relazione finanziaria semestrale e della relazioni finanziaria annuale, redige una sintesi semestrale riepilogativa dei principali rilievi emersi rispettivamente nel semestre di riferimento e durante tutto l’anno. La relazione annuale compilata per la riunione di approvazione della relazione finanziaria annuale contiene anche: - un aggiornamento dei rischi aziendali oggetto di monitoraggio emersi durante l’anno. - l’individuazione delle eventuali carenze del Sistema, alla luce sia dei risultati dei controlli, sia dell’analisi dei rischi aziendali, e la proposta di eventuali necessari interventi sullo stesso. Le relazioni semestrale e annuale vengono messe a disposizione al comitato controllo e rischi (entro i mesi rispettivamente di febbraio e luglio di ogni anno), che lo sottopone al consiglio di amministrazione unitamente alle proprie valutazioni; h) predispone tempestivamente relazioni su eventi di particolare rilevanza; i) trasmette le relazioni di cui alle precedenti lettere g) e h) all’Amministratore Incaricato, nonché ai Presidenti del collegio sindacale, del comitato controllo e rischi e, ove del caso in relazione agli eventi oggetto di esame, al Presidente del consiglio di amministrazione e all’organismo di vigilanza; Il collegio sindacale può prendere visione dei predetti documenti in occasione delle riunioni del comitato controllo e rischi. j) conserva con ordine tutta la documentazione relativa alle attività svolte; tale documentazione è a disposizione dei soggetti responsabili dei processi di controllo che ne facciano richiesta; FROM GENES TO THERAPY 6 LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI Le verifiche del responsabile della funzione di internal audit sono svolte effettuando controlli a campione sui processi oggetto di audit. 2.5 Dirigente preposto alla redazione dei documenti contabili societari La legge attribuisce al dirigente preposto alla redazione dei documenti contabili societari, tra l’altro, il compito di predisporre adeguate procedure amministrative e contabili per la formazione del bilancio d'esercizio, nonché delle altre comunicazioni di carattere finanziario. Il consiglio di amministrazione della Società ha nominato, ai sensi dell’art. 154-bis del TUF, quale dirigente preposto alla redazione dei documenti contabili e societari, il direttore amministrazione, finanza e controllo della Società, attribuendogli il compito di predisporre adeguate procedure amministrative e contabili per la formazione del bilancio di esercizio nonché di ogni altra comunicazione di carattere finanziario. Il dirigente preposto, tra l’altro, rilascia una dichiarazione che accompagna gli atti e le comunicazioni della Società diffusi al mercato e relativi all’informativa contabile, anche infrannuale, che ne attesta la corrispondenza alle risultanze documentali, ai libri ed alle scritture contabili. Il medesimo dirigente, unitamente all’amministratore delegato, attesta inoltre con apposita relazione allegata al bilancio di esercizio ed alla relazione finanziaria semestrale: (i) l’adeguatezza e l’effettiva applicazione delle procedure amministrative e contabili sopra indicate nel corso del periodo cui si riferiscono tali documenti contabili; (ii) la conformità del contenuto di tali documenti ai principi contabili internazionali applicabili riconosciuti nella Comunità europea; (iii) la corrispondenza dei documenti medesimi alle risultanze dei libri e delle scritture contabili e la loro idoneità a fornire una rappresentazione veritiera e corretta della situazione patrimoniale, economica e finanziaria della Società; (iv) che la relazione sulla gestione al bilancio di esercizio comprende un’analisi attendibile dell’andamento e del risultato della gestione, nonché della situazione della Società, unitamente alla descrizione dei principali rischi ed incertezze cui quest’ultima è esposta; (v) che la relazione intermedia sulla gestione inclusa nella relazione finanziaria semestrale contiene almeno riferimenti agli eventi importanti che si sono verificati nei primi sei mesi dell’esercizio ed alla loro incidenza sulla relazione finanziaria semestrale, una descrizione dei principali rischi ed incertezze per i sei mesi restanti dell’esercizio ed una informativa sulle operazioni rilevanti con parti correlate. Le attestazioni rilasciate dal dirigente preposto e dall’amministratore delegato di cui sopra sono rese secondo il modello stabilito da Consob nel regolamento concernente la disciplina degli emittenti n. 11971/1999. Al dirigente preposto spetta dunque il compito primario di progettare, gestire e monitorare i processi riguardanti, in particolare, i flussi informativi di natura amministrativo-contabile, inclusi i sistemi di elaborazione automatica dei dati e di rilevazione contabile, anche al fine di rendere le attestazioni sulla loro adeguatezza ed effettiva applicazione. Spetta al dirigente preposto, in primo luogo, identificare e valutare i rischi sull'informativa finanziaria, identificare e realizzare gli opportuni controlli diretti a mitigare la possibilità che tali rischi si concretizzino, e monitorare e valutare l'effettività dei controlli nel contesto di un sistema di gestione dei rischi e di controllo interno adeguato e funzionante, in relazione al processo di informativa finanziaria. Al dirigente preposto devono essere assicurati tutti i poteri e i mezzi necessari a garantire l’attendibilità, l’affidabilità, l’accuratezza e la tempestività dell'informativa finanziaria e, in generale, l'adempimento dei doveri derivanti dalla legge e dallo statuto sociale, senza alcuna specifica limitazione di spesa, con il solo limite della necessaria ragionevolezza di quanto disposto dallo stesso. Una descrizione delle principali caratteristiche del Sistema in relazione al processo di informativa finanziaria è contenuta nella relazione annuale sul governo societario e gli assetti proprietari predisposta dalla Società. FROM GENES TO THERAPY 7 LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI 2.6 Collegio sindacale La legge attribuisce al collegio sindacale, tra l’altro, il compito di vigilare su: osservanza della legge e dello statuto sociale; rispetto dei principi di corretta amministrazione; modalità di concreta attuazione delle regole di governo societario previste da codici di comportamento redatti dalle società di gestione dei mercati regolamentati o associazioni di categoria cui la Società dichiara di attenersi; adeguatezza della struttura organizzativa della Società per gli aspetti di competenza, del Sistema e del sistema amministrativo-contabile, nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione e, in particolare: - il processo di informativa finanziaria; - l’efficacia del Sistema e del sistema di revisione interna, se applicabile, e di gestione del rischio. Il collegio sindacale vigila inoltre su: la revisione legale dei conti annuali; l’indipendenza del revisore legale o della società di revisione legale, in particolare per quanto concerne la prestazione di servizi non di revisione alla Società. Anche al fine di espletare i suddetti compiti: a) il collegio sindacale partecipa alle riunioni del consiglio di amministrazione; b) ai lavori del comitato controllo e rischi partecipa il Presidente del collegio sindacale o altro sindaco da lui designato; possono comunque partecipare anche gli altri Sindaci; c) il collegio sindacale provvede ad autonome valutazioni sulla efficacia e sul funzionamento del Sistema e può formulare, ogni qualvolta lo ritenga necessario od opportuno, eventuali raccomandazioni agli organi competenti allo scopo di promuovere il rafforzamento del Sistema stesso; d) il collegio sindacale può convocare l’organismo di vigilanza e formulare richieste di informazioni e/o chiarimenti; e) il collegio sindacale prende visione delle relazioni del responsabile della funzione di internal audit, anche in occasione delle riunioni del comitato controllo e rischi e può invitare il responsabile della funzione di internal audit ad esporre i risultati delle attività svolte alle periodiche riunioni di controllo, al fine di valutare direttamente ed autonomamente l’efficienza del Sistema, ogni qualvolta lo ritenga necessario od opportuno; f) viene sentito dal consiglio di amministrazione in occasione della approvazione del piano annuale di lavoro predisposto dal responsabile della funzione di internal audit; g) ogni qualvolta sia ritenuto necessario od opportuno, in conformità con la legge, il responsabile della funzione di internal audit riferisce al collegio sindacale di propria iniziativa o anche su richiesta di uno solo dei sindaci; FROM GENES TO THERAPY 8 LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI h) spetta al collegio sindacale valutare le proposte formulate dalle società di revisione per ottenere l’affidamento del relativo incarico, nonché il piano di lavoro predisposto per la revisione e i risultati esposti nella relazione e nella eventuale lettera di suggerimenti; i) ferma restando l’autonomia della società di revisione nell’espletamento del proprio incarico – e, in particolare, nella verifica della corretta applicazione dei principi contabili – con la tempistica di volta in volta ritenuta adeguata in relazione alle circostanze del caso concreto, il collegio sindacale invita la società di revisione a riferire circa l’attività di revisione svolta, al fine di segnalare eventuali criticità, anche in relazione all’applicazione dei principi contabili; viene sentito dal consiglio di amministrazione in occasione della valutazione dei risultati esposti dalla società di revisione nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale; l) con la tempistica di volta in volta ritenuta adeguata in relazione alle circostanze del caso concreto, il collegio sindacale verifica che la società di revisione riceva tutte le informazioni richieste per l’espletamento dei propri compiti, invitando il dirigente preposto alla redazione dei documenti contabili e societari a riferire circa la completezza e la esaustività dei flussi informativi diretti alla società di revisione; m) viene sentito dal consiglio di amministrazione in occasione delle decisioni in materia di nomina, revoca, remunerazione e attribuzione di risorse al responsabile della funzione di internal audit. Per lo svolgimento delle proprie funzioni il collegio sindacale si avvale di tutte le unità delle strutture organizzative che assolvono funzioni di controllo, prime fra tutte l’internal audit, compatibilmente con il programma di lavoro delle medesime. 2.7 Organismo di vigilanza ai sensi del D.Lgs. 231/2001 L’Organismo di vigilanza della Società è costituito e funzionante nel rispetto delle previsioni del D.Lgs. 231/2001. Ruolo, compiti e funzioni dell’organismo di vigilanza sono definiti all’interno del modello di organizzazione, gestione e controllo della Società (il “Modello”), al quale si fa integrale rinvio. Per un efficace ed efficiente sistema di controlli all’interno della Società è in ogni caso stabilito quanto segue: a) l’organismo di vigilanza relaziona - di regola semestralmente - il consiglio di amministrazione sugli esiti delle attività svolte; b) ogni qualvolta ravvisi una significativa violazione del Modello, o comunque una sensibile criticità attinente la puntuale osservanza del Modello medesimo, può riferire direttamente al consiglio di amministrazione e, per esso, all’Amministratore Incaricato del Sistema, nonché, qualora ne ravvisi la necessità - in particolare per violazioni poste in essere dai vertici aziendali o dagli amministratori - al collegio sindacale. 2.8 Dipendenti Tutti i dipendenti della Società, in funzione dei compiti loro affidati nell'organizzazione aziendale, devono impegnarsi per assicurare un efficace ed efficiente funzionamento del Sistema, come parte delle proprie responsabilità nel raggiungimento degli obiettivi aziendali. Essi, pertanto, devono avere la necessaria conoscenza, preparazione e capacità per agire ed operare nell'ambito del Sistema e deve essere loro consentito di adempiere ai compiti conseguenti al proprio ruolo ed assolvere alle proprie responsabilità. Questo implica, pertanto, il diritto ed il dovere di ogni singolo dipendente di avere piena conoscenza e comprensione della Società in cui opera, dei meccanismi operativi, degli obiettivi, dei mercati in cui opera e dei rischi cui è quotidianamente esposta. FROM GENES TO THERAPY 9 LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI Ogni dipendente ha l’obbligo di informare di ogni disfunzione rilevante il proprio referente superiore in modo che della stessa sia senza indugio messo a conoscenza il responsabile della funzione di internal audit. 3. Linee di indirizzo 3.1 Criteri di individuazione e valutazione dei rischi L'Amministratore incaricato del Sistema, anche attraverso il coordinamento della funzione di internal audit, indirizza le attività di gestione dei rischi sui principali rischi aziendali, tenendo conto degli obiettivi aziendali e delle caratteristiche delle attività svolte dalla Società, e li sottopone periodicamente all'esame del consiglio di amministrazione. Tali rischi sono individuati sulla base dei seguenti criteri: a) natura del rischio, con particolare riferimento ai rischi di natura finanziaria, quelli relativi all'osservanza delle norme contabili e quelli con un potenziale significativo impatto sulla reputazione della Società; b) significativa probabilità del verificarsi del rischio; c) limitata capacità della Società di ridurre l'impatto del rischio sulla sua operatività; d) significativa entità del rischio. Conseguentemente, il consiglio di amministrazione esamina tali rischi e le rispettive misure di contenimento, in funzione anche della natura e del livello di rischio ritenuti compatibili con gli obiettivi strategici della Società. Considerando le specificità delle attività di MolMed, l’approccio pianificato prevede lo svolgimento di attività di risk assessment periodiche, mirate a valutare l’adeguatezza del Sistema a livello di company level control, a seguito di eventuali cambiamenti intercorsi a livello sia organizzativo sia procedurale. Obiettivi dei risk assessment periodici sono l’aggiornamento e la condivisione con il management aziendale di una mappa dei processi, con individuazione dell’elenco e dell’entità dei rischi a cui la Società è soggetta. Nello specifico, l’approccio all’attività di risk assessment prevede le seguenti fasi di sviluppo: 1) mappatura (analisi di flusso) del processo gestito, inteso come descrizione dei flussi di attività e dei flussi documentali ad esso riconducibili; 2) valutazione dei rischi “lordi”: per ciascun rischio vengono valutate le dimensioni di impatto e probabilità di accadimento, la cui combinazione fornisce un livello della rischiosità “potenziale”; 3) valutazione dei presidi di controllo associati al rischio: per ciascuno dei rischi identificati, vengono analizzati la struttura di governo, la struttura procedurale, i meccanismi organizzativi ed operativi ed i sistemi, al fine di rilevare il livello di mitigazione dei rischi; 4) valutazione del rischio “netto”: la valutazione del rischio lordo, “potenziale”, viene analizzata considerando gli effetti mitiganti dei presidi identificati. Il risultato è l’esposizione “netta”, ovvero come effettivamente percepita dal management, per ciascun rischio. L’approccio sopra descritto permette la condivisone, all’interno della Società, dell’analisi e della valutazione dei rischi rilevati con il management, la rilevazione e la valutazione del sistema dei presidi di controllo a mitigazione dei rischi e le azioni di miglioramento identificate. La condivisione della valutazione dei rischi identificati permette l’elaborazione e l'aggiornamento dei piani di azione tesi alla mitigazione dei rischi sulla base della loro priorità e rilevanza. FROM GENES TO THERAPY 10 LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E GESTIONE DEI RISCHI 3.2 Valutazione dell'efficacia del Sistema La periodica verifica dell'adeguatezza e dell'effettivo funzionamento del Sistema, nonché la sua eventuale revisione, costituiscono parte essenziale della struttura dello stesso, al fine di consentire una sua piena e corretta efficacia. Tale verifica periodica, come detto, spetta al consiglio di amministrazione assistito dal comitato controllo e rischi. Il consiglio di amministrazione avrà cura non solo di verificare l'esistenza e l'attuazione del Sistema nell'ambito della Società, ma anche di procedere periodicamente ad un esame dettagliato della struttura del Sistema stesso, della sua idoneità e del suo effettivo e concreto funzionamento. A tal fine il consiglio di amministrazione riceve ed esamina semestralmente le relazioni predisposte dal responsabile della funzione di internal audit e dal comitato controllo e rischi, al fine di verificare se: - la struttura del Sistema risulta concretamente efficace nel perseguimento degli obiettivi; - le eventuali debolezze segnalate implichino la necessità di un miglioramento del Sistema. FROM GENES TO THERAPY 11