Linee di indirizzo del Sistema di Controllo interno e Gestione dei Rischi 1. Premessa

Pagina creata da Giovanni Gatto
 
CONTINUA A LEGGERE
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
                                                                                        GESTIONE DEI RISCHI

Linee di indirizzo del Sistema di Controllo interno e Gestione dei
Rischi
1. Premessa
Il Sistema di Controllo interno e di Gestione dei Rischi (il “Sistema”) di MolMed S.p.A. (la “Società”)
costituisce elemento essenziale del suo Sistema di corporate governance ed assume un ruolo fondamentale
nell'identificazione, misurazione, gestione e monitoraggio dei principali rischi, essendo orientato a realizzare
il perseguimento della salvaguardia del patrimonio sociale, l'efficienza e l'efficacia dei processi aziendali,
l'affidabilità dell'informazione finanziaria, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle
procedure interne.

Il “Sistema”, nel suo complesso, è definito come l’insieme delle attività volte a identificare e a valutare le
azioni o gli eventi il cui verificarsi o la cui assenza possa compromettere, parzialmente o totalmente il
raggiungimento degli obiettivi del sistema di controllo, integrato delle successive attività di individuazione dei
controlli e definizione delle procedure che favoriscono il raggiungimento degli obiettivi di attendibilità,
accuratezza, affidabilità e tempestività dell’informazione finanziaria. Costituisce, in particolare, elemento
importante del Sistema di Controllo interno e di Gestione dei Rischi il sistema di controllo contabile in quanto
concorre ad assicurare che l’informativa finanziaria sia affidabile.

Per quanto attiene l’implementazione e la valutazione dei controlli sull’informativa finanziaria, MolMed ha
preso a riferimento i criteri stabiliti nel modello di riferimento CoSO Report caratterizzato dalle seguenti
componenti: ambiente di controllo, risk assessment, attività di controllo, sistemi informativi e flussi di
comunicazione e attività di monitoraggio, ed integrato per gli aspetti informatici dal modello “Control
Objectives for Information and related Technology”, COBIT). Tutto ciò, ovviamente, tenendo conto anche
delle limitate dimensioni della Società.

Il Sistema di Controllo Interno e di Gestione dei Rischi riduce ma non può, ovviamente, eliminare la
possibilità di decisioni sbagliate, errori umani, violazione fraudolenta dei sistemi di controllo e accadimenti
imprevedibili. Pertanto, un buon Sistema di Controllo Interno e di Gestione dei Rischi fornisce rassicurazioni
ragionevoli ma non assolute sul fatto che la Società non sia ostacolata, nel raggiungere i propri obiettivi
imprenditoriali o nello svolgimento ordinato e legittimo delle proprie attività, da circostanze che possono
essere ragionevolmente previste.

Pur nella consapevolezza che nessun processo di controllo può, in termini assoluti, preservare dai rischi
intrinseci all’attività di impresa, il Sistema deve tendere a:

        contribuire ad una conduzione dell’impresa coerente con gli obiettivi aziendali definiti dal Consiglio di
         Amministrazione, favorendo l’assunzione di decisioni consapevoli;
        assicurare la necessaria separazione tra le funzioni operative e quelle di controllo, e pertanto essere
         strutturato in modo da evitare o ridurre al minimo le situazioni di conflitto di interesse
         nell’assegnazione delle competenze;
        agevolare l’identificazione, la misurazione, la gestione ed il monitoraggio adeguato dei rischi assunti
         dalla Società;

FROM GENES TO THERAPY

MOLMED S.p.A.
Via Olgettina, 58 - 20132 Milano, Italy | Tel. +39 0221277.1 - Fax +39 02 21277.325
info@molmed.com - www.molmed.com
Capitale Sociale € 25.580.846,32 i.v. - REA n.1506630 - N. iscrizione Reg. Imprese di Milano - C.F. e P. IVA 11887610159
                                                                                                                           1
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
                                                                                  GESTIONE DEI RISCHI

       stabilire attività di controllo ai diversi livelli operativi e individuare con chiarezza compiti e
        responsabilità, in particolare nelle fasi di supervisione e di intervento e correzione delle irregolarità
        riscontrate.
       assicurare sistemi informativi affidabili e idonei processi di reporting ai diversi livelli ai quali sono
        attribuite funzioni di controllo;
       garantire che le anomalie riscontrate siano tempestivamente portate a conoscenza di adeguati livelli
        dell’azienda.

Il Sistema di Controllo Interno e di Gestione dei Rischi è soggetto ad esame e verifica periodici, tenendo
conto dell’evoluzione dell’operatività aziendale e del contesto di riferimento, nonché delle best practices
esistenti in ambito nazionale e internazionale.

Prima di entrare nel merito del Sistema di Controllo Interno e di Gestione dei Rischi è necessario ricordare
che la natura dell'attività di MolMed e la fase del ciclo di vita delle principali aree strategiche (TK e NGR-
hTNF) attribuiscono all'azienda un profilo di rischio economico-generale caratteristico e intenso connesso
all'esistenza di alcuni specifici rischi di business. MolMed è infatti un'azienda che non ha ad oggi raggiunto le
condizioni di equilibrio economico in quanto il modello di business utilizzato è quello tipico delle aziende
biotech che presentano una significativa pipeline di prodotti in sperimentazione ma che non hanno ancora
completato il percorso che, passando attraverso le varie fasi cliniche, verifica dei risultati e produzione,
conduce alla commercializzazione degli stessi.

A ciò si deve aggiungere il rischio connesso al finanziamento dell'attività che, nel caso di prolungamento del
periodo di sperimentazione e poi di attivazione della commercializzazione, tende ad intensificarsi per il
consumo di cassa tipico di questa tipologia di business.

I suddetti rischi, in questa fase della vita dell'azienda da considerare in parte ineliminabili, sono stati
individuati dalla Società e vengono monitorati mediante una continua attività di analisi da parte dell'AD e
dell'Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi e una periodica
conseguente informativa al CdA da parte dell'AD.

2. Il Sistema di Controllo Interno e di Gestione dei Rischi - Soggetti
   responsabili dei processi di controllo
I controlli coinvolgono, con diversi ruoli e nell’ambito delle rispettive competenze: il “Consiglio di
Amministrazione”; un “Amministratore incaricato del Sistema di controllo interno e di gestione dei rischi”, un
“Comitato controllo e rischi”, il “Responsabile della funzione di Internal Audit”, l’”Organismo di Vigilanza”, il
“Dirigente Preposto alla redazione dei documenti contabili societari” e il “Collegio Sindacale”.

Consiglio di Amministrazione
Il Consiglio di Amministrazione ha la responsabilità finale del Sistema di Controllo Interno e di Gestione dei
Rischi.

In particolare:
a) definisce la natura e il livello di rischio compatibile con gli obiettivi aziendali;
b) definisce le Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi di cui cura
   l'aggiornamento;

FROM GENES TO THERAPY
                                                                                                               2
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
                                                                                GESTIONE DEI RISCHI

c) esamina i rischi aziendali sottoposti dall'Amministratore incaricato del Sistema di Controllo Interno e
   Gestione dei Rischi e valuta se detti rischi siano stati correttamente individuati e se il Sistema di
   Controllo Interno ne consenta una adeguata gestione;
d) valuta, con cadenza almeno annuale, l'adeguatezza ed efficacia del Sistema di Controllo Interno e di
   Gestione dei Rischi rispetto alle caratteristiche della Società;
e) approva, con cadenza almeno annuale, il piano di lavoro (che dovrà riguardare anche l'affidabilità dei
   sistemi informativi) predisposto dalla funzione di Internal Audit, sentiti il Collegio Sindacale e
   l'Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi;
f)   descrive, nella relazione sul governo societario, le principali caratteristiche del Sistema di Controllo
     Interno e di Gestione dei Rischi, esprimendo la propria valutazione sull'adeguatezza dello stesso;
g) valuta, sentito il Collegio Sindacale, i risultati esposti dal revisore legale nella eventuale lettera di
   suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale;
h) su proposta dell'Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi e
   previo parere favorevole del Comitato Controllo e Rischi, nonché sentito il Collegio Sindacale:
        nomina e revoca il responsabile della funzione di Internal Audit che non è responsabile di alcuna
         area operativa e riporta al Consiglio stesso;
        assicura che lo stesso sia dotato delle risorse adeguate all'espletamento delle proprie responsabilità;
        definisce la remunerazione dello stesso coerentemente con le politiche aziendali.
i)   valuta l'adeguatezza dell'assetto organizzativo, amministrativo e contabile della Società con particolare
     riferimento al Sistema di Controllo Interno e di Gestione dei Rischi.

Al fine di un corretto svolgimento dei compiti demandati alla sua responsabilità il Consiglio di
Amministrazione si avvale della collaborazione di specifici organi preposti a tal fine:

        individua un Amministratore incaricato dell'istituzione e del mantenimento di un efficace Sistema di
         Controllo Interno e Gestione dei Rischi;
        individua un Comitato Controllo e Rischi, attribuendogli funzioni consultive e propositive in relazione
         al Sistema di Controllo Interno e di Gestione dei Rischi.

Inoltre, nel 2005, il Consiglio di Amministrazione di MolMed ha istituito un Consiglio Scientifico (Scientific
Advisory Board - SAB), organismo consultivo indipendente, al fine di svolgere un importante ruolo di
indirizzo in materia di ricerca e sviluppo di nuove strategie terapeutiche, e di verifica esterna oggettiva dei
risultati ottenuti. Il SAB è presieduto dal Professor Claudio Bordignon, il quale, in funzione di Coordinatore,
invita uno o più dei suoi esponenti a relazionare al CdA, su temi scientifici e clinici di maggior rilievo e
attualità e sui rischi connessi, con cadenza almeno annuale e in occasione delle novità scientifiche e cliniche
più significative.

Comitato Controllo e Rischi
La Società, con delibera del Consiglio di Amministrazione del 6 novembre 2007 ha istituito un Comitato per il
Controllo Interno, poi ridenominato “Comitato controllo e rischi”.

Il Comitato Controllo e Rischi nell’assistere il Consiglio di Amministrazione:

a) valuta, unitamente al Dirigente preposto alla redazione dei documenti contabili societari e sentiti il
   revisore legale e il Collegio sindacale, il corretto utilizzo dei principi contabili;

FROM GENES TO THERAPY
                                                                                                              3
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
                                                                                 GESTIONE DEI RISCHI

b) esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali;
c) esamina le relazioni periodiche, aventi per oggetto la valutazione del Sistema di Controllo Interno e di
   Gestione dei Rischi, e quelle di particolare rilevanza predisposte dalla funzione Internal Audit;
d) monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza della funzione di Internal Audit;
e) può chiedere alla funzione di Internal Audit lo svolgimento di verifiche su specifiche aree operative,
   dandone contestuale comunicazione al Presidente del Collegio sindacale;
f)   rilascia pareri al Consiglio di Amministrazione in merito alla nomina e revoca del Responsabile della
     funzione di Internal Audit, alla definizione della sua remunerazione coerentemente con le politiche
     aziendali, nonché alla verifica che lo stesso sia dotato delle risorse adeguate all’espletamento delle
     proprie responsabilità;
g) esamina, sentito il Collegio Sindacale, i risultati esposti dal revisore legale nella eventuale lettera di
   suggerimenti e nella relazione sulle questioni fondamentali ed esprime il proprio parere al CdA;
h) esamina il piano di lavoro predisposto dal Responsabile della funzione di Internal Audit ed esprime il
   proprio parere al CdA;
i)   svolge le funzioni di Comitato per le Operazioni con Parti correlate secondo quanto previsto dalle
     Procedure adottate in materia dalla Società.
j)   esamina la relazione sul governo societario, per le parti in cui vengono descritte le principali
     caratteristiche del Sistema di Controllo Interno e di Gestione dei Rischi ed esprime il proprio parere al
     CdA;
k) esamina le linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi ed esprime il
   proprio parere al CdA;
l)   riferisce al Consiglio, almeno semestralmente, in occasione dell’approvazione della relazione finanziaria
     annuale e semestrale, sull’attività svolta nonché sull’adeguatezza del Sistema di Controllo Interno e di
     Gestione dei Rischi.

Ai lavori del Comitato viene invitato a partecipare il Presidente del Collegio Sindacale o il Sindaco effettivo
da quest’ultimo designato e possono partecipare gli altri Sindaci.

Ai fini dell’espletamento dei compiti ad esso conferiti, il Comitato per il Controllo Interno può avvalersi sia
dell’ausilio di dipendenti della Società, sia di professionisti esterni, purché adeguatamente vincolati alla
necessaria riservatezza. Il Comitato ha accesso alle informazioni ed alle funzioni aziendali necessarie al
corretto svolgimento dei suoi compiti. La Società mette a disposizione del Comitato risorse finanziarie
necessarie per lo svolgimento dei propri compiti.

Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi
Con delibera del 21 gennaio 2008, il Consiglio di Amministrazione di MolMed ha istituito la figura
dell’Amministratore Esecutivo incaricato di sovrintendere alla funzionalità del Sistema di Controllo Interno
(ora “Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi”).

L’Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi espleta l’incarico di
sovraintendere a tutte le attività di identificazione dei principali rischi aziendali, esegue le Linee di indirizzo
definite dal Consiglio ai fini della progettazione, realizzazione e gestione del Sistema tenendo conto della
struttura societaria, delle condizioni operative e del panorama legislativo e regolamentare, avvalendosi, nello
svolgimento delle predette attività, di consulenti esperti in materia e confrontandosi e cooperando

FROM GENES TO THERAPY
                                                                                                                 4
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
                                                                                 GESTIONE DEI RISCHI

costantemente in ordine alle predette tematiche ed attività con il Comitato per il Controllo e Rischi e con il
Responsabile della funzione di Internal Audit.

L’Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, in particolare:

a) identifica i fattori di rischio per l’Emittente anche alla luce dei mutamenti delle condizioni interne ed
   esterne in cui operano, nonché degli andamenti gestionali, degli scostamenti dalle previsioni e del
   panorama legislativo e regolamentare di volta in volta vigente;
b) dà esecuzione alle Linee di indirizzo definite dal Consiglio di Amministrazione, curando la progettazione,
   realizzazione e Gestione del Sistema di Controllo Interno e di Gestione dei Rischi e verificandone
   costantemente l’adeguatezza e l’efficacia;
c) riferisce tempestivamente al Comitato controllo e rischi (o al Consiglio di Amministrazione) in merito a
   problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto comunque
   notizia, affinché il Comitato (o il Consiglio) possa prendere le opportune iniziative;
d) definisce i compiti delle unità operative dedicate alle funzioni di controllo, assicurando che le varie attività
   siano dirette da personale qualificato, in possesso di esperienza e conoscenze specifiche;
e) stabilisce canali di comunicazione efficaci al fine di assicurare che tutto il personale sia a conoscenza
   delle politiche e delle procedure relative ai propri compiti e responsabilità;
f)   almeno una volta l’anno, di regola in occasione della approvazione della relazione finanziaria annuale –
     nonché tutte le volte in cui comunque lo ritenga necessario od opportuno, in relazione alle circostanze,
     come nel caso in cui sorgano nuovi rischi rilevanti o vi siano incrementi rilevanti delle possibilità di rischio
     – sottopone all’esame ed alla valutazione del Consiglio di Amministrazione i rischi aziendali e l’insieme
     dei processi di controllo attuati e progettati per la loro prevenzione, la loro riduzione e la loro efficace ed
     efficiente gestione, al fine di consentire al Consiglio di Amministrazione una informata e consapevole
     decisione in merito alle strategie ed alle politiche di gestione dei principali rischi dell’Emittente;
g) propone al Consiglio di Amministrazione, informandone altresì il Comitato Controllo e Rischi, la nomina,
   la revoca e la remunerazione del Responsabile della funzione di Internal Audit e ne assicura
   l’indipendenza e l’autonomia operativa da ciascun responsabile di aree operative, verificando che lo
   stesso sia dotato di mezzi idonei a svolgere efficacemente i compiti affidatigli;
h) sottopone al Consiglio di Amministrazione il piano annuale di lavoro predisposto dal Responsabile della
   funzione di Internal Audit, previo parere del Comitato Controllo e Rischi;
i)   si occupa dell’adattamento del Sistema di Controllo Interno e di Gestione dei Rischi alla dinamica delle
     condizioni operative e del panorama legislativo e regolamentare;
j)   può chiedere alla funzione di Internal Audit lo svolgimento di verifiche su specifiche aree operative e sul
     rispetto delle regole e procedure interne nell’esecuzione di operazioni aziendali, dandone contestuale
     comunicazione al Presidente del Comitato Controllo e Rischi e al Presidente del Collegio sindacale,
     nonché ove del caso, in relazione agli eventi oggetto di esame, anche al Presidente del Consiglio di
     Amministrazione.

Funzione di Internal Audit
Il soggetto preposto al Controllo Interno di MolMed, ai sensi dell’art. 150, comma 4, del Testo Unico e ai
sensi dell’art. 8 del Codice di Autodisciplina, si identifica con il Responsabile della funzione di Internal Audit
ed è stato nominato per la prima volta il 10 marzo 2008 dal Presidente e Amministratore Delegato, su delega
del Consiglio di Amministrazione, sentiti il Comitato per il Controllo Interno e l’Amministratore Esecutivo
incaricato.

FROM GENES TO THERAPY
                                                                                                                   5
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
                                                                                 GESTIONE DEI RISCHI

Il Responsabile della funzione di Internal Audit:
a) non è responsabile di alcuna area operativa e dipende gerarchicamente dal Consiglio di
   Amministrazione;
b) predispone e condivide con gli altri organi societari di controllo il Piano di Audit aziendale;
c) verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli standard
   internazionali, l’operatività e l’idoneità del Sistema di Controllo Interno e di Gestione dei Rischi,
   attraverso un piano di Audit, approvato dal Consiglio di Amministrazione, basato su un processo
   strutturato di analisi e prioritizzazione dei principali rischi;
d) ha accesso diretto a tutte le informazioni utili per lo svolgimento dell’incarico;
e) predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con
   cui viene condotta la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro contenimento. Le
   relazioni periodiche contengono una valutazione sull’idoneità del sistema di controllo interno e di
   gestione dei rischi;
f)   predispone tempestivamente relazioni su eventi di particolare rilevanza;
g) trasmette le relazioni di cui ai punti e) ed f) ai presidenti del Collegio sindacale, del Comitato di controllo
   e gestione rischi e del Consiglio di Amministrazione, nonché all’Amministratore incaricato del Sistema di
   Controllo Interno e di Gestione dei Rischi;
h) verifica, nell’ambito del piano di Audit, l’affidabilità dei sistemi informativi, inclusi i sistemi di rilevazione
   contabile;
i)   predispone il piano annuale di lavoro basato su un processo strutturato di analisi e prioritizzazione dei
     principali rischi (“Piano di Audit”) e lo illustra all’Amministratore Incaricato del Sistema di Controllo
     Interno e di Gestione dei Rischi, al Comitato Controllo e Rischi, al Collegio Sindacale e al Consiglio di
     Amministrazione, in tempo utile per l’espletamento delle loro rispettive funzioni e, in particolare, per gli
     eventuali suggerimenti che intendessero effettuare verifica che le regole e le procedure dei processi di
     controllo siano rispettate e che tutti i soggetti coinvolti operino in conformità agli obiettivi prefissati;
j)   controlla l’affidabilità dei flussi informativi, inclusi i sistemi di elaborazione automatica dei dati e dei
     sistemi di rilevazione di natura amministrativo-contabile;
k) verifica, nell’ambito del piano di lavoro, che le procedure adottate dall’Emittente assicurino il rispetto
   delle disposizioni di legge e regolamentari vigenti;
l)   espleta inoltre compiti d’accertamento con riguardo a specifici aspetti, ove lo ritenga opportuno o su
     richiesta del Consiglio di Amministrazione, del Comitato Controllo e Rischi, dell’Amministratore
     Incaricato del Sistema di Controllo Interno o del Collegio sindacale;
m) accerta, con le modalità ritenute più opportune, che le anomalie riscontrate nell’operatività e nel
   funzionamento dei controlli siano rimosse;
n) conserva con ordine tutta la documentazione relativa alle attività svolte; tale documentazione è a
   disposizione dei soggetti responsabili dei processi di controllo che ne facciano richiesta e, alla luce sia
   dei risultati dei controlli, che dell’analisi dei rischi aziendali, individua le eventuali carenze del Sistema di
   Controllo Interno e di Gestione dei Rischi e propone eventuali necessari interventi sul Sistema stesso; le
   carenze individuate e gli interventi proposti sono riportati nelle relative Relazioni di Internal Audit;
o) trasmette le relazioni di cui ai precedentei punti agli Amministratori Incaricati del Sistema di Controllo
   Interno e di Gestione dei Rischi, ai Presidenti del Collegio Sindacale, del Comitato Controllo e Rischi e,
   ove del caso in relazione agli eventi oggetto di esame, al Presidente del Consiglio di Amministrazione ,

FROM GENES TO THERAPY
                                                                                                                   6
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
                                                                                 GESTIONE DEI RISCHI

    nonché all’Organismo di Vigilanza; il Collegio Sindacale prende visione dei predetti documenti in
    occasione delle riunioni del Comitato Controllo e Rischi;
p) almeno due volte l’anno, in tempo utile per consentire al Comitato Controllo e Rischi e al Consiglio di
   Amministrazione, nonché all’Amministratore Incaricato del Sistema di Controllo Interno l’espletamento
   dei rispettivi compiti in occasione delle riunioni del Consiglio per l’approvazione della relazioni finanziaria
   annuale e della relazione finanziaria semestrale, redige una sintesi semestrale riepilogativa dei principali
   rilievi emersi nel semestre di riferimento e durante tutto l’anno. La relazione annuale compilata per la
   riunione di approvazione della relazione finanziaria annuale contiene anche un aggiornamento dei rischi
   aziendali oggetto di monitoraggio emersi durante l’anno. In particolare, il responsabile della funzione di
   Internal Audit annualmente raccoglie le informazioni rilevanti al fine della valutazione di adeguatezza del
   Sistema di Controllo Interno e di Gestione dei Rischi (i.e. risultanze degli Audit; interventi di monitoraggio
   231 e 262, interventi di cambiamento organizzativo e di governo dei business ecc.) e predisponendo un
   documento riepilogativo. Il documento viene messo a disposizione entro il mese di febbraio di ogni anno
   al CCR che con le sue valutazioni lo sottopone al CdA. Il documento viene messo a disposizione entro il
   mese di febbraio di ogni anno al CCR che con le sue valutazioni lo sottopone al CdA.;
q) in presenza di criticità che suggeriscano un intervento urgente, informa senza indugio gli Amministratori
   Incaricati del Sistema di Controllo Interno e gli organi delegati, nonché, i Presidenti del Comitato
   Controllo e Rischi, del Collegio Sindacale, e ove del caso del Consiglio di Amministrazione, per
   aggiornarli sui risultati del loro operato.

Le verifiche del Responsabile della funzione di Internal Audit sono svolte effettuando controlli a campione sui
processi oggetto di Audit.

Dirigente Preposto alla redazione dei documenti contabili societari
La legge attribuisce al Dirigente Preposto alla redazione dei documenti contabili societari il compito di
predisporre adeguate procedure amministrative e contabili per la formazione del bilancio d'esercizio e
consolidato, nonché delle altre comunicazioni di carattere finanziario.

Il 6 novembre 2007, il Consiglio di Amministrazione della Società ha nominato, ai sensi dell’art. 154 bis del
TUF, il Dirigente Preposto alla redazione dei documenti contabili e societari, nella persona del Chief
Financial Officer, con il compito di predisporre adeguate procedure amministrative e contabili per la
formazione del bilancio di esercizio nonché di ogni altra comunicazione di carattere finanziario.

Il Dirigente Preposto, tra l’altro, rilascia una dichiarazione che accompagna gli atti e le comunicazioni della
Società diffusi al mercato e relativi all’informativa contabile, anche infrannuale, che ne attesta la
corrispondenza alle risultanze documentali, ai libri ed alle scritture contabili. Il medesimo Dirigente,
unitamente all’Amministratore Delegato, attesta inoltre con apposita relazione allegata al Bilancio di
esercizio ed alla relazione finanziaria semestrale: (i) l’adeguatezza e l’effettiva applicazione delle procedure
amministrative e contabili sopra indicate nel corso del periodo cui si riferiscono tali documenti contabili; (ii) la
conformità del contenuto di tali ultimi documenti ai principi contabili internazionali applicabili nell’ambito della
Comunità Europea; (iii) la corrispondenza dei documenti medesimi alle risultanze dei libri e delle scritture
contabili e la loro idoneità a fornire una rappresentazione veritiera e corretta della situazione patrimoniale,
economica e finanziaria della Società e del Gruppo; (iv) che la relazione sulla gestione al Bilancio di
esercizio contiene un’analisi attendibile dell’andamento e del risultato della gestione, nonché della situazione
della Società, unitamente alla descrizione dei principali rischi ed incertezze cui quest’ultima è esposta; (v)
che la relazione intermedia sulla gestione inclusa nella relazione finanziaria semestrale contiene un’analisi
attendibile circa gli eventi di maggiore importanza verificatisi durante i primi sei mesi dell’esercizio,

FROM GENES TO THERAPY
                                                                                                                  7
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
                                                                                      GESTIONE DEI RISCHI

unitamente ad una descrizione dei principali rischi ed incertezze per i sei mesi restanti dell’esercizio ed ad
una informativa sulle operazioni rilevanti con parti correlate.

I contenuti dell’attestazione che il Dirigente in questione e l’Amministratore Delegato devono rilasciare in
base a quanto ora indicato sono stati individuati dalla Consob con apposito regolamento ed osservati dalla
Società.

Al Dirigente Preposto alla redazione dei documenti contabili societari spetta dunque il compito primario di
progettare, gestire e monitorare i processi riguardanti, in particolare, i flussi informativi di natura
amministrativo-contabile, inclusi i sistemi di elaborazione automatica dei dati e di rilevazione contabile,
anche al fine di rendere — nelle forme previste dalla legge e dalla inerente regolamentazione di attuazione
— le attestazioni sulla loro adeguatezza ed effettiva applicazione. Spetta al Dirigente Preposto, in primo
luogo, identificare e valutare i rischi sull'informativa finanziaria, identificare e realizzare gli opportuni controlli,
diretti a mitigare la possibilità che tali rischi si concretizzino, e monitorare e valutare l'effettività dei controlli
nel contesto di un Sistema di Gestione dei Rischi e di Controllo Interno, in relazione al processo di
informativa finanziaria, adeguato e funzionante.

Al Dirigente Preposto devono essere assicurati tutti i poteri e i mezzi necessari a garantire l'attendibilità,
affidabilità, accuratezza e tempestività dell'informativa finanziaria e, in generale, l'adempimento dei doveri
derivanti dalla legge e dallo Statuto Sociale, senza alcuna specifica limitazione di spesa, con il solo limite
della necessaria ragionevolezza di quanto disposto dallo stesso.

Collegio Sindacale
Il Collegio sindacale vigila sull'efficacia del Sistema di Controllo Interno e di Gestione dei Rischi.

Nell'ambito delle proprie attività, il Collegio:
a)    può chiedere alla funzione di Internal Audit lo svolgimento di verifiche su specifiche aree operative od
     operazioni aziendali;
b)    scambia tempestivamente con il Comitato Controllo e Rischi le informazioni rilevanti per l'espletamento
     dei rispettivi compiti.

Nell’espletamento della propria attività il Collegio Sindacale si coordina con la funzione di Internal Audit, con
l’Organismo di Vigilanza e con il Comitato controllo e rischi, partecipando a riunioni congiunte a tal fine.

Organismo di Vigilanza ai sensi del D. Lgs. n. 231/2001
L’Organismo di Vigilanza dell’Emittente è costituito e funzionante nel rispetto delle previsioni del D. Lgs. n.
231/2001.

Ruolo, compiti e funzioni dell’Organismo di Vigilanza sono definiti all’interno del Modello di Organizzazione,
Gestione e Controllo approvato dalla Società, al quale si fa integrale rinvio.

Per un efficace ed efficiente Sistema di controlliall’interno della Società è in ogni caso stabilito quanto segue:
a) l’Organismo di Vigilanza relaziona – di regola almeno semestralmente– il Consiglio di Amministrazione
   sugli esiti delle attività svolte, nonché sull’eventuale aggiornamento dei processi “a rischio”;
b) ogni qualvolta ravvisi una significativa violazione del Modello, o comunque una sensibile criticità
   attinente la puntuale osservanza del Modello medesimo, può riferire direttamente al Consiglio di
   Amministrazione e, per esso, all’Amministratore Incaricato del Sistema di Controllo Interno e di Gestione

FROM GENES TO THERAPY
                                                                                                                      8
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
                                                                                  GESTIONE DEI RISCHI

    dei Rischi, nonché, qualora ne ravvisi la necessità e, in particolare per violazioni poste in essere dai
    vertici aziendali o dai Consiglieri di Amministrazione, al Collegio Sindacale.

Dipendenti
Tutti i dipendenti della Società, in funzione dei compiti loro affidati nell'organizzazione aziendale, devono
impegnarsi per assicurare un efficace ed efficiente funzionamento del Sistema di Controllo Interno e di
Gestione dei Rischi, come parte della loro responsabilità nel raggiungimento degli obiettivi.

Essi, pertanto, devono avere la necessaria conoscenza, preparazione e capacità per agire ed operare
nell'ambito del Sistema di Controllo Interno e di Gestione dei Rischi e deve essere loro consentito di
adempiere ai compiti conseguenti al proprio ruolo ed assolvere alle proprie responsabilità. Questo implica,
pertanto, il diritto ed il dovere di ogni singolo dipendente di avere piena conoscenza e comprensione della
Società in cui opera, dei meccanismi operativi, degli obiettivi, dei mercati in cui opera e dei rischi cui è
quotidianamente esposto.

3. Linee di indirizzo

Criteri di individuazione e valutazione dei Rischi
L'Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, avvalendosi del
supporto della funzione di Internal Audit, indirizza le attività di gestione dei rischi sui principali rischi
aziendali, tenendo conto degli obiettivi aziendali e delle caratteristiche delle attività svolte dalla Società, e li
sottopone periodicamente all'esame del Consiglio di Amministrazione.

Tali rischi sono individuati sulla base dei seguenti criteri:
a) natura del rischio, con particolare riferimento ai rischi di natura finanziaria, quelli relativi all'osservanza
   delle norme contabili e quelli con un potenziale significativo impatto sulla reputazione della Società;
b) significativa probabilità del verificarsi del rischio;
c) limitata capacità della Società a ridurre l'impatto del rischio sulla sua operatività;
d) significativa entità del rischio.

Conseguentemente, il Consiglio di Amministrazione esamina tali rischi e le rispettive misure di contenimento,
in funzione anche della natura e il livello di rischio ritenuto compatibile con gli obiettivi strategici della
Società.

Considerando le specificità delle attività di MolMed, l’approccio pianificato prevede lo svolgimento di periodici
“Risk Assessment” mirati a valutare l’adeguatezza del Sistema di Controllo interno a livello di “Company
Level Control” a seguito di eventuali cambiamenti intercorsi sia a livello organizzativo che procedurale.
Obietttivo dei Risk Assessment periodici e l’aggiornamento e la condivisione con il management aziendale di
una mappa dei processi, con individuazione dell’elenco dei rischi a cui la Società è soggetta.

Nello specifico,l’approccio aziendale prevede le seguenti fasi di sviluppo:

1) mappatura (analisi di flusso) del processo gestito, inteso come descrizione dei flussi di attivita’ e dei
   flussi documentali ad esso riconducibili;

2) valutazione dei rischi “lordi”: per ciascun rischio vengono valutate le dimensioni di Impatto e
   Probabilità, la cui combinazione fornisce un livello della rischiosità “potenziale”

FROM GENES TO THERAPY
                                                                                                                  9
LINEE DI INDIRIZZO DEL SISTEMA DI CONTROLLO INTERNO E
                                                                                GESTIONE DEI RISCHI

3) valutazione dei presidi di controllo associati al rischio: per ciascuno dei rischi identificati, viene
   analizzata la struttura di governo, la struttura procedurale, i meccanismi organizzativi, operativi ed i
   sistemi, al fine di rilevare il livello di mitigazione dei rischi.

4) valutazione del rischio “netto”: la valutazione del rischio lordo, “potenziale”, viene analizzata
   considerando gli effetti mitiganti dei presidi identificati. Il risultato è l’esposizione “netta”, ovvero come
   effettivamente percepita dal management, per ciascun rischio.

L’approccio sopra descritto permette la condivisone, all’interno della Società, dell’analisi e della valutazione
dei rischi rilevati con il management, la rilevazione e la valutazione del sistema dei presidi di controllo a
mitigazione dei rischi e le azioni di miglioramento identificate. La condivisione della valutazione dei rischi
identificati permette l’elaborazione e l'aggiornamento degli Action Plans tesi alla mitigazione del sistema dei
rischi sulla base della loro priorità e rilevanza.

Attuazione del Sistema di Controllo Interno e di Gestione dei Rischi
Il Sistema di Controllo Interno e di Gestione dei Rischi, costituito dall'insieme delle regole, delle procedure e
delle strutture organizzative volte a consentire l'identificazione, la misurazione, la gestione e il monitoraggio
dei principali rischi, per il tramite delle attività degli organi di cui sopra a ciò preposti, contribuisce a:
a) promuovere l'efficienza e l'efficacia dei processi aziendali consentendo la gestione adeguata dei rischi
   operativi, finanziari, legali o di altra natura che la ostacolino nel raggiungimento dei propri obiettivi
   imprenditoriali;
b) supportare l'affidabilità dell'informazione finanziaria e la qualità del sistema di reporting interno ed
   esterno attraverso l'utilizzo di processi, procedure e sistemi che permettano di generare un flusso di
   informazioni significative e affidabili all'interno ed all'esterno dell'organizzazione;
c) perseguire il rispetto di leggi e regolamenti nonché dello Statuto sociale e delle procedure interne;
d) salvaguardare il patrimonio sociale e la protezione dei beni aziendali da un loro uso inappropriato o
   fraudolento e dalla loro perdita.

Valutazione dell'efficacia del Sistema di Controllo Interno e di Gestione dei Rischi
La periodica verifica dell'adeguatezza e dell'effettivo funzionamento e la sua eventuale revisione,
costituiscono parte essenziale della struttura del Sistema di Controllo Interno e di Gestione dei Rischi, al fine
di consentire una sua piena e corretta efficacia.

Tale verifica periodica, come detto, spetta al Consiglio di Amministrazione assistito dal Comitato Controllo e
Rischi. Lo stesso avrà cura non solo di verificare l'esistenza e l'attuazione nell'ambito della Società di un
Sistema di Controllo Interno e di Gestione dei Rischi, ma anche di procedere periodicamente ad un esame
dettagliato della struttura del Sistema stesso, della sua idoneità e del suo effettivo e concreto funzionamento.

A tal fine il Consiglio di Amministrazione riceve ed esamina almeno semestralmente le relazioni predisposte
dal Responsabile della funzione di Internal Audit, dal Comitato Controllo e Rischi e dall'Amministratore
incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, al fine di verificare (i) se la struttura del
Sistema di Controllo Interno e di Gestione dei Rischi in essere nella Società risulti concretamente efficace
nel perseguimento degli obiettivi e (ii) se le eventuali debolezze segnalate implichino la necessità di un
miglioramento del Sistema.

FROM GENES TO THERAPY
                                                                                                               10
Puoi anche leggere