Linee di indirizzo del Sistema di Controllo interno e Gestione dei Rischi

Transcript

1 Linee di indirizzo del Sistema di Controllo interno e Gestione dei Rischi 1. Premessa Il Sistema di Controllo interno e di Gestione dei Rischi (il Sistema ) di MolMed S.p.A. (la Società ) costituisce elemento essenziale del suo Sistema di corporate governance ed assume un ruolo fondamentale nell'identificazione, misurazione, gestione e monitoraggio dei principali rischi, essendo orientato a realizzare il perseguimento della salvaguardia del patrimonio sociale, l'efficienza e l'efficacia dei processi aziendali, l'affidabilità dell'informazione finanziaria, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne. Il Sistema, nel suo complesso, è definito come l insieme delle attività volte a identificare e a valutare le azioni o gli eventi il cui verificarsi o la cui assenza possa compromettere, parzialmente o totalmente il raggiungimento degli obiettivi del sistema di controllo, integrato delle successive attività di individuazione dei controlli e definizione delle procedure che favoriscono il raggiungimento degli obiettivi di attendibilità, accuratezza, affidabilità e tempestività dell informazione finanziaria. Costituisce, in particolare, elemento importante del Sistema di Controllo interno e di Gestione dei Rischi il sistema di controllo contabile in quanto concorre ad assicurare che l informativa finanziaria sia affidabile. Per quanto attiene l implementazione e la valutazione dei controlli sull informativa finanziaria, MolMed ha preso a riferimento i criteri stabiliti nel modello di riferimento CoSO Report caratterizzato dalle seguenti componenti: ambiente di controllo, risk assessment, attività di controllo, sistemi informativi e flussi di comunicazione e attività di monitoraggio, ed integrato per gli aspetti informatici dal modello Control Objectives for Information and related Technology, COBIT). Tutto ciò, ovviamente, tenendo conto anche delle limitate dimensioni della Società. Il Sistema di Controllo Interno e di Gestione dei Rischi riduce ma non può, ovviamente, eliminare la possibilità di decisioni sbagliate, errori umani, violazione fraudolenta dei sistemi di controllo e accadimenti imprevedibili. Pertanto, un buon Sistema di Controllo Interno e di Gestione dei Rischi fornisce rassicurazioni ragionevoli ma non assolute sul fatto che la Società non sia ostacolata, nel raggiungere i propri obiettivi imprenditoriali o nello svolgimento ordinato e legittimo delle proprie attività, da circostanze che possono essere ragionevolmente previste. Pur nella consapevolezza che nessun processo di controllo può, in termini assoluti, preservare dai rischi intrinseci all attività di impresa, il Sistema deve tendere a: contribuire ad una conduzione dell impresa coerente con gli obiettivi aziendali definiti dal Consiglio di Amministrazione, favorendo l assunzione di decisioni consapevoli; assicurare la necessaria separazione tra le funzioni operative e quelle di controllo, e pertanto essere strutturato in modo da evitare o ridurre al minimo le situazioni di conflitto di interesse nell assegnazione delle competenze; agevolare l identificazione, la misurazione, la gestione ed il monitoraggio adeguato dei rischi assunti dalla Società; MOLMED S.p.A. Via Olgettina, Milano, Italy Tel Fax info@molmed.com - Capitale Sociale ,32 i.v. - REA n N. iscrizione Reg. Imprese di Milano - C.F. e P. IVA

2 stabilire attività di controllo ai diversi livelli operativi e individuare con chiarezza compiti e responsabilità, in particolare nelle fasi di supervisione e di intervento e correzione delle irregolarità riscontrate. assicurare sistemi informativi affidabili e idonei processi di reporting ai diversi livelli ai quali sono attribuite funzioni di controllo; garantire che le anomalie riscontrate siano tempestivamente portate a conoscenza di adeguati livelli dell azienda. Il Sistema di Controllo Interno e di Gestione dei Rischi è soggetto ad esame e verifica periodici, tenendo conto dell evoluzione dell operatività aziendale e del contesto di riferimento, nonché delle best practices esistenti in ambito nazionale e internazionale. Prima di entrare nel merito del Sistema di Controllo Interno e di Gestione dei Rischi è necessario ricordare che la natura dell'attività di MolMed e la fase del ciclo di vita delle principali aree strategiche (TK e NGRhTNF) attribuiscono all'azienda un profilo di rischio economico-generale caratteristico e intenso connesso all'esistenza di alcuni specifici rischi di business. MolMed è infatti un'azienda che non ha ad oggi raggiunto le condizioni di equilibrio economico in quanto il modello di business utilizzato è quello tipico delle aziende biotech che presentano una significativa pipeline di prodotti in sperimentazione ma che non hanno ancora completato il percorso che, passando attraverso le varie fasi cliniche, verifica dei risultati e produzione, conduce alla commercializzazione degli stessi. A ciò si deve aggiungere il rischio connesso al finanziamento dell'attività che, nel caso di prolungamento del periodo di sperimentazione e poi di attivazione della commercializzazione, tende ad intensificarsi per il consumo di cassa tipico di questa tipologia di business. I suddetti rischi, in questa fase della vita dell'azienda da considerare in parte ineliminabili, sono stati individuati dalla Società e vengono monitorati mediante una continua attività di analisi da parte dell'ad e dell'amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi e una periodica conseguente informativa al CdA da parte dell'ad. 2. Il Sistema di Controllo Interno e di Gestione dei Rischi - Soggetti responsabili dei processi di controllo I controlli coinvolgono, con diversi ruoli e nell ambito delle rispettive competenze: il Consiglio di Amministrazione ; un Amministratore incaricato del Sistema di controllo interno e di gestione dei rischi, un Comitato controllo e rischi, il Responsabile della funzione di Internal Audit, l Organismo di Vigilanza, il Dirigente Preposto alla redazione dei documenti contabili societari e il Collegio Sindacale. Consiglio di Amministrazione Il Consiglio di Amministrazione ha la responsabilità finale del Sistema di Controllo Interno e di Gestione dei Rischi. In particolare: a) definisce la natura e il livello di rischio compatibile con gli obiettivi aziendali; b) definisce le Linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi di cui cura l'aggiornamento; 2

3 c) esamina i rischi aziendali sottoposti dall'amministratore incaricato del Sistema di Controllo Interno e Gestione dei Rischi e valuta se detti rischi siano stati correttamente individuati e se il Sistema di Controllo Interno ne consenta una adeguata gestione; d) valuta, con cadenza almeno annuale, l'adeguatezza ed efficacia del Sistema di Controllo Interno e di Gestione dei Rischi rispetto alle caratteristiche della Società; e) approva, con cadenza almeno annuale, il piano di lavoro (che dovrà riguardare anche l'affidabilità dei sistemi informativi) predisposto dalla funzione di Internal Audit, sentiti il Collegio Sindacale e l'amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi; f) descrive, nella relazione sul governo societario, le principali caratteristiche del Sistema di Controllo Interno e di Gestione dei Rischi, esprimendo la propria valutazione sull'adeguatezza dello stesso; g) valuta, sentito il Collegio Sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali emerse in sede di revisione legale; h) su proposta dell'amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi e previo parere favorevole del Comitato Controllo e Rischi, nonché sentito il Collegio Sindacale: nomina e revoca il responsabile della funzione di Internal Audit che non è responsabile di alcuna area operativa e riporta al Consiglio stesso; assicura che lo stesso sia dotato delle risorse adeguate all'espletamento delle proprie responsabilità; definisce la remunerazione dello stesso coerentemente con le politiche aziendali. i) valuta l'adeguatezza dell'assetto organizzativo, amministrativo e contabile della Società con particolare riferimento al Sistema di Controllo Interno e di Gestione dei Rischi. Al fine di un corretto svolgimento dei compiti demandati alla sua responsabilità il Consiglio di Amministrazione si avvale della collaborazione di specifici organi preposti a tal fine: individua un Amministratore incaricato dell'istituzione e del mantenimento di un efficace Sistema di Controllo Interno e Gestione dei Rischi; individua un Comitato Controllo e Rischi, attribuendogli funzioni consultive e propositive in relazione al Sistema di Controllo Interno e di Gestione dei Rischi. Inoltre, nel 2005, il Consiglio di Amministrazione di MolMed ha istituito un Consiglio Scientifico (Scientific Advisory Board - SAB), organismo consultivo indipendente, al fine di svolgere un importante ruolo di indirizzo in materia di ricerca e sviluppo di nuove strategie terapeutiche, e di verifica esterna oggettiva dei risultati ottenuti. Il SAB è presieduto dal Professor Claudio Bordignon, il quale, in funzione di Coordinatore, invita uno o più dei suoi esponenti a relazionare al CdA, su temi scientifici e clinici di maggior rilievo e attualità e sui rischi connessi, con cadenza almeno annuale e in occasione delle novità scientifiche e cliniche più significative. Comitato Controllo e Rischi La Società, con delibera del Consiglio di Amministrazione del 6 novembre 2007 ha istituito un Comitato per il Controllo Interno, poi ridenominato Comitato controllo e rischi. Il Comitato Controllo e Rischi nell assistere il Consiglio di Amministrazione: a) valuta, unitamente al Dirigente preposto alla redazione dei documenti contabili societari e sentiti il revisore legale e il Collegio sindacale, il corretto utilizzo dei principi contabili; 3

4 b) esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali; c) esamina le relazioni periodiche, aventi per oggetto la valutazione del Sistema di Controllo Interno e di Gestione dei Rischi, e quelle di particolare rilevanza predisposte dalla funzione Internal Audit; d) monitora l autonomia, l adeguatezza, l efficacia e l efficienza della funzione di Internal Audit; e) può chiedere alla funzione di Internal Audit lo svolgimento di verifiche su specifiche aree operative, dandone contestuale comunicazione al Presidente del Collegio sindacale; f) rilascia pareri al Consiglio di Amministrazione in merito alla nomina e revoca del Responsabile della funzione di Internal Audit, alla definizione della sua remunerazione coerentemente con le politiche aziendali, nonché alla verifica che lo stesso sia dotato delle risorse adeguate all espletamento delle proprie responsabilità; g) esamina, sentito il Collegio Sindacale, i risultati esposti dal revisore legale nella eventuale lettera di suggerimenti e nella relazione sulle questioni fondamentali ed esprime il proprio parere al CdA; h) esamina il piano di lavoro predisposto dal Responsabile della funzione di Internal Audit ed esprime il proprio parere al CdA; i) svolge le funzioni di Comitato per le Operazioni con Parti correlate secondo quanto previsto dalle Procedure adottate in materia dalla Società. j) esamina la relazione sul governo societario, per le parti in cui vengono descritte le principali caratteristiche del Sistema di Controllo Interno e di Gestione dei Rischi ed esprime il proprio parere al CdA; k) esamina le linee di indirizzo del Sistema di Controllo Interno e di Gestione dei Rischi ed esprime il proprio parere al CdA; l) riferisce al Consiglio, almeno semestralmente, in occasione dell approvazione della relazione finanziaria annuale e semestrale, sull attività svolta nonché sull adeguatezza del Sistema di Controllo Interno e di Gestione dei Rischi. Ai lavori del Comitato viene invitato a partecipare il Presidente del Collegio Sindacale o il Sindaco effettivo da quest ultimo designato e possono partecipare gli altri Sindaci. Ai fini dell espletamento dei compiti ad esso conferiti, il Comitato per il Controllo Interno può avvalersi sia dell ausilio di dipendenti della Società, sia di professionisti esterni, purché adeguatamente vincolati alla necessaria riservatezza. Il Comitato ha accesso alle informazioni ed alle funzioni aziendali necessarie al corretto svolgimento dei suoi compiti. La Società mette a disposizione del Comitato risorse finanziarie necessarie per lo svolgimento dei propri compiti. Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi Con delibera del 21 gennaio 2008, il Consiglio di Amministrazione di MolMed ha istituito la figura dell Amministratore Esecutivo incaricato di sovrintendere alla funzionalità del Sistema di Controllo Interno (ora Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi ). L Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi espleta l incarico di sovraintendere a tutte le attività di identificazione dei principali rischi aziendali, esegue le Linee di indirizzo definite dal Consiglio ai fini della progettazione, realizzazione e gestione del Sistema tenendo conto della struttura societaria, delle condizioni operative e del panorama legislativo e regolamentare, avvalendosi, nello svolgimento delle predette attività, di consulenti esperti in materia e confrontandosi e cooperando 4

5 costantemente in ordine alle predette tematiche ed attività con il Comitato per il Controllo e Rischi e con il Responsabile della funzione di Internal Audit. L Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, in particolare: a) identifica i fattori di rischio per l Emittente anche alla luce dei mutamenti delle condizioni interne ed esterne in cui operano, nonché degli andamenti gestionali, degli scostamenti dalle previsioni e del panorama legislativo e regolamentare di volta in volta vigente; b) dà esecuzione alle Linee di indirizzo definite dal Consiglio di Amministrazione, curando la progettazione, realizzazione e Gestione del Sistema di Controllo Interno e di Gestione dei Rischi e verificandone costantemente l adeguatezza e l efficacia; c) riferisce tempestivamente al Comitato controllo e rischi (o al Consiglio di Amministrazione) in merito a problematiche e criticità emerse nello svolgimento della propria attività o di cui abbia avuto comunque notizia, affinché il Comitato (o il Consiglio) possa prendere le opportune iniziative; d) definisce i compiti delle unità operative dedicate alle funzioni di controllo, assicurando che le varie attività siano dirette da personale qualificato, in possesso di esperienza e conoscenze specifiche; e) stabilisce canali di comunicazione efficaci al fine di assicurare che tutto il personale sia a conoscenza delle politiche e delle procedure relative ai propri compiti e responsabilità; f) almeno una volta l anno, di regola in occasione della approvazione della relazione finanziaria annuale nonché tutte le volte in cui comunque lo ritenga necessario od opportuno, in relazione alle circostanze, come nel caso in cui sorgano nuovi rischi rilevanti o vi siano incrementi rilevanti delle possibilità di rischio sottopone all esame ed alla valutazione del Consiglio di Amministrazione i rischi aziendali e l insieme dei processi di controllo attuati e progettati per la loro prevenzione, la loro riduzione e la loro efficace ed efficiente gestione, al fine di consentire al Consiglio di Amministrazione una informata e consapevole decisione in merito alle strategie ed alle politiche di gestione dei principali rischi dell Emittente; g) propone al Consiglio di Amministrazione, informandone altresì il Comitato Controllo e Rischi, la nomina, la revoca e la remunerazione del Responsabile della funzione di Internal Audit e ne assicura l indipendenza e l autonomia operativa da ciascun responsabile di aree operative, verificando che lo stesso sia dotato di mezzi idonei a svolgere efficacemente i compiti affidatigli; h) sottopone al Consiglio di Amministrazione il piano annuale di lavoro predisposto dal Responsabile della funzione di Internal Audit, previo parere del Comitato Controllo e Rischi; i) si occupa dell adattamento del Sistema di Controllo Interno e di Gestione dei Rischi alla dinamica delle condizioni operative e del panorama legislativo e regolamentare; j) può chiedere alla funzione di Internal Audit lo svolgimento di verifiche su specifiche aree operative e sul rispetto delle regole e procedure interne nell esecuzione di operazioni aziendali, dandone contestuale comunicazione al Presidente del Comitato Controllo e Rischi e al Presidente del Collegio sindacale, nonché ove del caso, in relazione agli eventi oggetto di esame, anche al Presidente del Consiglio di Amministrazione. Funzione di Internal Audit Il soggetto preposto al Controllo Interno di MolMed, ai sensi dell art. 150, comma 4, del Testo Unico e ai sensi dell art. 8 del Codice di Autodisciplina, si identifica con il Responsabile della funzione di Internal Audit ed è stato nominato per la prima volta il 10 marzo 2008 dal Presidente e Amministratore Delegato, su delega del Consiglio di Amministrazione, sentiti il Comitato per il Controllo Interno e l Amministratore Esecutivo incaricato. 5

6 Il Responsabile della funzione di Internal Audit: a) non è responsabile di alcuna area operativa e dipende gerarchicamente dal Consiglio di Amministrazione; b) predispone e condivide con gli altri organi societari di controllo il Piano di Audit aziendale; c) verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli standard internazionali, l operatività e l idoneità del Sistema di Controllo Interno e di Gestione dei Rischi, attraverso un piano di Audit, approvato dal Consiglio di Amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei principali rischi; d) ha accesso diretto a tutte le informazioni utili per lo svolgimento dell incarico; e) predispone relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui viene condotta la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro contenimento. Le relazioni periodiche contengono una valutazione sull idoneità del sistema di controllo interno e di gestione dei rischi; f) predispone tempestivamente relazioni su eventi di particolare rilevanza; g) trasmette le relazioni di cui ai punti e) ed f) ai presidenti del Collegio sindacale, del Comitato di controllo e gestione rischi e del Consiglio di Amministrazione, nonché all Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi; h) verifica, nell ambito del piano di Audit, l affidabilità dei sistemi informativi, inclusi i sistemi di rilevazione contabile; i) predispone il piano annuale di lavoro basato su un processo strutturato di analisi e prioritizzazione dei principali rischi ( Piano di Audit ) e lo illustra all Amministratore Incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, al Comitato Controllo e Rischi, al Collegio Sindacale e al Consiglio di Amministrazione, in tempo utile per l espletamento delle loro rispettive funzioni e, in particolare, per gli eventuali suggerimenti che intendessero effettuare verifica che le regole e le procedure dei processi di controllo siano rispettate e che tutti i soggetti coinvolti operino in conformità agli obiettivi prefissati; j) controlla l affidabilità dei flussi informativi, inclusi i sistemi di elaborazione automatica dei dati e dei sistemi di rilevazione di natura amministrativo-contabile; k) verifica, nell ambito del piano di lavoro, che le procedure adottate dall Emittente assicurino il rispetto delle disposizioni di legge e regolamentari vigenti; l) espleta inoltre compiti d accertamento con riguardo a specifici aspetti, ove lo ritenga opportuno o su richiesta del Consiglio di Amministrazione, del Comitato Controllo e Rischi, dell Amministratore Incaricato del Sistema di Controllo Interno o del Collegio sindacale; m) accerta, con le modalità ritenute più opportune, che le anomalie riscontrate nell operatività e nel funzionamento dei controlli siano rimosse; n) conserva con ordine tutta la documentazione relativa alle attività svolte; tale documentazione è a disposizione dei soggetti responsabili dei processi di controllo che ne facciano richiesta e, alla luce sia dei risultati dei controlli, che dell analisi dei rischi aziendali, individua le eventuali carenze del Sistema di Controllo Interno e di Gestione dei Rischi e propone eventuali necessari interventi sul Sistema stesso; le carenze individuate e gli interventi proposti sono riportati nelle relative Relazioni di Internal Audit; o) trasmette le relazioni di cui ai precedentei punti agli Amministratori Incaricati del Sistema di Controllo Interno e di Gestione dei Rischi, ai Presidenti del Collegio Sindacale, del Comitato Controllo e Rischi e, ove del caso in relazione agli eventi oggetto di esame, al Presidente del Consiglio di Amministrazione, 6

7 nonché all Organismo di Vigilanza; il Collegio Sindacale prende visione dei predetti documenti in occasione delle riunioni del Comitato Controllo e Rischi; p) almeno due volte l anno, in tempo utile per consentire al Comitato Controllo e Rischi e al Consiglio di Amministrazione, nonché all Amministratore Incaricato del Sistema di Controllo Interno l espletamento dei rispettivi compiti in occasione delle riunioni del Consiglio per l approvazione della relazioni finanziaria annuale e della relazione finanziaria semestrale, redige una sintesi semestrale riepilogativa dei principali rilievi emersi nel semestre di riferimento e durante tutto l anno. La relazione annuale compilata per la riunione di approvazione della relazione finanziaria annuale contiene anche un aggiornamento dei rischi aziendali oggetto di monitoraggio emersi durante l anno. In particolare, il responsabile della funzione di Internal Audit annualmente raccoglie le informazioni rilevanti al fine della valutazione di adeguatezza del Sistema di Controllo Interno e di Gestione dei Rischi (i.e. risultanze degli Audit; interventi di monitoraggio 231 e 262, interventi di cambiamento organizzativo e di governo dei business ecc.) e predisponendo un documento riepilogativo. Il documento viene messo a disposizione entro il mese di febbraio di ogni anno al CCR che con le sue valutazioni lo sottopone al CdA. Il documento viene messo a disposizione entro il mese di febbraio di ogni anno al CCR che con le sue valutazioni lo sottopone al CdA.; q) in presenza di criticità che suggeriscano un intervento urgente, informa senza indugio gli Amministratori Incaricati del Sistema di Controllo Interno e gli organi delegati, nonché, i Presidenti del Comitato Controllo e Rischi, del Collegio Sindacale, e ove del caso del Consiglio di Amministrazione, per aggiornarli sui risultati del loro operato. Le verifiche del Responsabile della funzione di Internal Audit sono svolte effettuando controlli a campione sui processi oggetto di Audit. Dirigente Preposto alla redazione dei documenti contabili societari La legge attribuisce al Dirigente Preposto alla redazione dei documenti contabili societari il compito di predisporre adeguate procedure amministrative e contabili per la formazione del bilancio d'esercizio e consolidato, nonché delle altre comunicazioni di carattere finanziario. Il 6 novembre 2007, il Consiglio di Amministrazione della Società ha nominato, ai sensi dell art. 154 bis del TUF, il Dirigente Preposto alla redazione dei documenti contabili e societari, nella persona del Chief Financial Officer, con il compito di predisporre adeguate procedure amministrative e contabili per la formazione del bilancio di esercizio nonché di ogni altra comunicazione di carattere finanziario. Il Dirigente Preposto, tra l altro, rilascia una dichiarazione che accompagna gli atti e le comunicazioni della Società diffusi al mercato e relativi all informativa contabile, anche infrannuale, che ne attesta la corrispondenza alle risultanze documentali, ai libri ed alle scritture contabili. Il medesimo Dirigente, unitamente all Amministratore Delegato, attesta inoltre con apposita relazione allegata al Bilancio di esercizio ed alla relazione finanziaria semestrale: (i) l adeguatezza e l effettiva applicazione delle procedure amministrative e contabili sopra indicate nel corso del periodo cui si riferiscono tali documenti contabili; (ii) la conformità del contenuto di tali ultimi documenti ai principi contabili internazionali applicabili nell ambito della Comunità Europea; (iii) la corrispondenza dei documenti medesimi alle risultanze dei libri e delle scritture contabili e la loro idoneità a fornire una rappresentazione veritiera e corretta della situazione patrimoniale, economica e finanziaria della Società e del Gruppo; (iv) che la relazione sulla gestione al Bilancio di esercizio contiene un analisi attendibile dell andamento e del risultato della gestione, nonché della situazione della Società, unitamente alla descrizione dei principali rischi ed incertezze cui quest ultima è esposta; (v) che la relazione intermedia sulla gestione inclusa nella relazione finanziaria semestrale contiene un analisi attendibile circa gli eventi di maggiore importanza verificatisi durante i primi sei mesi dell esercizio, 7

8 unitamente ad una descrizione dei principali rischi ed incertezze per i sei mesi restanti dell esercizio ed ad una informativa sulle operazioni rilevanti con parti correlate. I contenuti dell attestazione che il Dirigente in questione e l Amministratore Delegato devono rilasciare in base a quanto ora indicato sono stati individuati dalla Consob con apposito regolamento ed osservati dalla Società. Al Dirigente Preposto alla redazione dei documenti contabili societari spetta dunque il compito primario di progettare, gestire e monitorare i processi riguardanti, in particolare, i flussi informativi di natura amministrativo-contabile, inclusi i sistemi di elaborazione automatica dei dati e di rilevazione contabile, anche al fine di rendere nelle forme previste dalla legge e dalla inerente regolamentazione di attuazione le attestazioni sulla loro adeguatezza ed effettiva applicazione. Spetta al Dirigente Preposto, in primo luogo, identificare e valutare i rischi sull'informativa finanziaria, identificare e realizzare gli opportuni controlli, diretti a mitigare la possibilità che tali rischi si concretizzino, e monitorare e valutare l'effettività dei controlli nel contesto di un Sistema di Gestione dei Rischi e di Controllo Interno, in relazione al processo di informativa finanziaria, adeguato e funzionante. Al Dirigente Preposto devono essere assicurati tutti i poteri e i mezzi necessari a garantire l'attendibilità, affidabilità, accuratezza e tempestività dell'informativa finanziaria e, in generale, l'adempimento dei doveri derivanti dalla legge e dallo Statuto Sociale, senza alcuna specifica limitazione di spesa, con il solo limite della necessaria ragionevolezza di quanto disposto dallo stesso. Collegio Sindacale Il Collegio sindacale vigila sull'efficacia del Sistema di Controllo Interno e di Gestione dei Rischi. Nell'ambito delle proprie attività, il Collegio: a) può chiedere alla funzione di Internal Audit lo svolgimento di verifiche su specifiche aree operative od operazioni aziendali; b) scambia tempestivamente con il Comitato Controllo e Rischi le informazioni rilevanti per l'espletamento dei rispettivi compiti. Nell espletamento della propria attività il Collegio Sindacale si coordina con la funzione di Internal Audit, con l Organismo di Vigilanza e con il Comitato controllo e rischi, partecipando a riunioni congiunte a tal fine. Organismo di Vigilanza ai sensi del D. Lgs. n. 231/2001 L Organismo di Vigilanza dell Emittente è costituito e funzionante nel rispetto delle previsioni del D. Lgs. n. 231/2001. Ruolo, compiti e funzioni dell Organismo di Vigilanza sono definiti all interno del Modello di Organizzazione, Gestione e Controllo approvato dalla Società, al quale si fa integrale rinvio. Per un efficace ed efficiente Sistema di controlliall interno della Società è in ogni caso stabilito quanto segue: a) l Organismo di Vigilanza relaziona di regola almeno semestralmente il Consiglio di Amministrazione sugli esiti delle attività svolte, nonché sull eventuale aggiornamento dei processi a rischio ; b) ogni qualvolta ravvisi una significativa violazione del Modello, o comunque una sensibile criticità attinente la puntuale osservanza del Modello medesimo, può riferire direttamente al Consiglio di Amministrazione e, per esso, all Amministratore Incaricato del Sistema di Controllo Interno e di Gestione 8

9 dei Rischi, nonché, qualora ne ravvisi la necessità e, in particolare per violazioni poste in essere dai vertici aziendali o dai Consiglieri di Amministrazione, al Collegio Sindacale. Dipendenti Tutti i dipendenti della Società, in funzione dei compiti loro affidati nell'organizzazione aziendale, devono impegnarsi per assicurare un efficace ed efficiente funzionamento del Sistema di Controllo Interno e di Gestione dei Rischi, come parte della loro responsabilità nel raggiungimento degli obiettivi. Essi, pertanto, devono avere la necessaria conoscenza, preparazione e capacità per agire ed operare nell'ambito del Sistema di Controllo Interno e di Gestione dei Rischi e deve essere loro consentito di adempiere ai compiti conseguenti al proprio ruolo ed assolvere alle proprie responsabilità. Questo implica, pertanto, il diritto ed il dovere di ogni singolo dipendente di avere piena conoscenza e comprensione della Società in cui opera, dei meccanismi operativi, degli obiettivi, dei mercati in cui opera e dei rischi cui è quotidianamente esposto. 3. Linee di indirizzo Criteri di individuazione e valutazione dei Rischi L'Amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, avvalendosi del supporto della funzione di Internal Audit, indirizza le attività di gestione dei rischi sui principali rischi aziendali, tenendo conto degli obiettivi aziendali e delle caratteristiche delle attività svolte dalla Società, e li sottopone periodicamente all'esame del Consiglio di Amministrazione. Tali rischi sono individuati sulla base dei seguenti criteri: a) natura del rischio, con particolare riferimento ai rischi di natura finanziaria, quelli relativi all'osservanza delle norme contabili e quelli con un potenziale significativo impatto sulla reputazione della Società; b) significativa probabilità del verificarsi del rischio; c) limitata capacità della Società a ridurre l'impatto del rischio sulla sua operatività; d) significativa entità del rischio. Conseguentemente, il Consiglio di Amministrazione esamina tali rischi e le rispettive misure di contenimento, in funzione anche della natura e il livello di rischio ritenuto compatibile con gli obiettivi strategici della Società. Considerando le specificità delle attività di MolMed, l approccio pianificato prevede lo svolgimento di periodici Risk Assessment mirati a valutare l adeguatezza del Sistema di Controllo interno a livello di Company Level Control a seguito di eventuali cambiamenti intercorsi sia a livello organizzativo che procedurale. Obietttivo dei Risk Assessment periodici e l aggiornamento e la condivisione con il management aziendale di una mappa dei processi, con individuazione dell elenco dei rischi a cui la Società è soggetta. Nello specifico,l approccio aziendale prevede le seguenti fasi di sviluppo: 1) mappatura (analisi di flusso) del processo gestito, inteso come descrizione dei flussi di attivita e dei flussi documentali ad esso riconducibili; 2) valutazione dei rischi lordi : per ciascun rischio vengono valutate le dimensioni di Impatto e Probabilità, la cui combinazione fornisce un livello della rischiosità potenziale 9

10 3) valutazione dei presidi di controllo associati al rischio: per ciascuno dei rischi identificati, viene analizzata la struttura di governo, la struttura procedurale, i meccanismi organizzativi, operativi ed i sistemi, al fine di rilevare il livello di mitigazione dei rischi. 4) valutazione del rischio netto : la valutazione del rischio lordo, potenziale, viene analizzata considerando gli effetti mitiganti dei presidi identificati. Il risultato è l esposizione netta, ovvero come effettivamente percepita dal management, per ciascun rischio. L approccio sopra descritto permette la condivisone, all interno della Società, dell analisi e della valutazione dei rischi rilevati con il management, la rilevazione e la valutazione del sistema dei presidi di controllo a mitigazione dei rischi e le azioni di miglioramento identificate. La condivisione della valutazione dei rischi identificati permette l elaborazione e l'aggiornamento degli Action Plans tesi alla mitigazione del sistema dei rischi sulla base della loro priorità e rilevanza. Attuazione del Sistema di Controllo Interno e di Gestione dei Rischi Il Sistema di Controllo Interno e di Gestione dei Rischi, costituito dall'insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l'identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi, per il tramite delle attività degli organi di cui sopra a ciò preposti, contribuisce a: a) promuovere l'efficienza e l'efficacia dei processi aziendali consentendo la gestione adeguata dei rischi operativi, finanziari, legali o di altra natura che la ostacolino nel raggiungimento dei propri obiettivi imprenditoriali; b) supportare l'affidabilità dell'informazione finanziaria e la qualità del sistema di reporting interno ed esterno attraverso l'utilizzo di processi, procedure e sistemi che permettano di generare un flusso di informazioni significative e affidabili all'interno ed all'esterno dell'organizzazione; c) perseguire il rispetto di leggi e regolamenti nonché dello Statuto sociale e delle procedure interne; d) salvaguardare il patrimonio sociale e la protezione dei beni aziendali da un loro uso inappropriato o fraudolento e dalla loro perdita. Valutazione dell'efficacia del Sistema di Controllo Interno e di Gestione dei Rischi La periodica verifica dell'adeguatezza e dell'effettivo funzionamento e la sua eventuale revisione, costituiscono parte essenziale della struttura del Sistema di Controllo Interno e di Gestione dei Rischi, al fine di consentire una sua piena e corretta efficacia. Tale verifica periodica, come detto, spetta al Consiglio di Amministrazione assistito dal Comitato Controllo e Rischi. Lo stesso avrà cura non solo di verificare l'esistenza e l'attuazione nell'ambito della Società di un Sistema di Controllo Interno e di Gestione dei Rischi, ma anche di procedere periodicamente ad un esame dettagliato della struttura del Sistema stesso, della sua idoneità e del suo effettivo e concreto funzionamento. A tal fine il Consiglio di Amministrazione riceve ed esamina almeno semestralmente le relazioni predisposte dal Responsabile della funzione di Internal Audit, dal Comitato Controllo e Rischi e dall'amministratore incaricato del Sistema di Controllo Interno e di Gestione dei Rischi, al fine di verificare (i) se la struttura del Sistema di Controllo Interno e di Gestione dei Rischi in essere nella Società risulti concretamente efficace nel perseguimento degli obiettivi e (ii) se le eventuali debolezze segnalate implichino la necessità di un miglioramento del Sistema. 10