ESERCIZIO CHIUSO AL 31/12/2017-
Prot. Arca 2018.0004361 del 22/03/2018
Azienda Regionale Centrale Acquisti S.p.A.
Xxx Xxxxx Xxxxx 00 – Xxxxxx (Xx)
Capitale Sociale € 120.000 i.v. – Socio Unico Cod. fisc./R.I. Milano 07948340968 – R.E.A. 2038351
Società soggetta a controllo analogo di Regione Lombardia ex art. 16 D.Lgs n. 175/2016
RELAZIONE SUL GOVERNO SOCIETARIO EX ART. 6 D.LGS n. 175/2016
-ESERCIZIO CHIUSO AL 31/12/2017-
Documento approvato dal Consiglio di Amministrazione di ARCA SpA nella seduta del 20 marzo 2018
Cronologia delle revisioni
Revisione | Data | Sintesi delle modifiche |
01 | 17/11/2017 | Stesura prima versione documento |
02 | 20/03/2018 | Revisione Format e contenuto |
Limiti di utilizzo del documento |
Il trattamento delle informazioni contenute all’interno del documento deve essere esclusivamente finalizzato al conseguimento dello scopo indicato nel documento stesso. È altresì vietato l'utilizzo di tali informazioni nel quadro di un'attività economica o commerciale se non regolamentata da ARCA S.p.A.. L’invio a destinatari esterni all’organizzazione di ARCA S.p.A. è consentito solo se formalizzato e vigente un contratto di collaborazione tra le parti. In particolare, i destinatari esterni non possono modificare, duplicare, distribuire, trasmettere, riprodurre, pubblicare, trasferire o vendere informazioni trattate all’interno del documento. |
Sommario
3. Predisposizione di specifici programmi di valutazione del rischio di crisi aziendale (art. 6, cc. 2 e 4 del D.Lgs 175/2016) 7
3.1 Valutazione dei rischi del Sistema 8
3.2 Valutazione del rischio Contenzioso 8
3.3 Valutazione del rischio Information Technology (IT) 9
3.4 Valutazione dei rischi sulla sicurezza sui luoghi di lavoro 10
3.5 Valutazione dei rischi finanziari 10
3.5.1 Valutazione dell'opportunità di integrare gli strumenti di governo societario (art. 6, cc. 3, 4 e 5 del D.Lgs 175/2016) 10
1. SCOPO
La presente Relazione ha lo scopo di ottemperare alle prescrizioni di cui all’art 6 (commi 2, 3, 4, 5) del D.Lgs n. 175 del 19 agosto 2016 “Testo unico in materia di società a partecipazione pubblica”1, e intende fornire un quadro generale e quanto più possibile completo sul sistema di governo societario adottato.
L’obbligo di pubblicazione della presente Relazione risponde a finalità di pubblicità secondo i principi di cui al D.Lgs n. 33/2013.
2. LA SOCIETÀ
I dati e le caratteristiche principali sono:
ARCA S.p.A. Xxx Xxxxx Xxxxx, 00, 00000 Xxxxxx XX
Capitale Sociale interamente versato € 120.000,00 Socio Unico 100% Regione Lombardia Codice Fiscale/R.I Milano 07948340968- REA 2038351
Società assoggettata al “controllo analogo” xx xxx. 00 X.Xxx x. 000/0000 (xxx. 5 Codice dei contratti pubblici di cui al D.Lgs n. 50/2016) come puntualmente disciplinato dalla D.G.R. n. X/6546 del 4 maggio 2017 cui si fa riferimento.
Lo Statuto societario rep. 69552 Racc. 12857 Notaio Zabban, come da verbale dell’assemblea straordinaria 21 dicembre 2016, è stato approvato in recepimento dell’art. 26 del citato X.Xxx n. 175/2016 e stabilisce che la Società opera secondo il modello in house providing; in particolare che
1 Art. 6 D.Lgs n. 175/2016:
(…)
2.“Le società a controllo pubblico predispongono specifici programmi di valutazione del rischio di crisi aziendale e ne informano l'assemblea nell'ambito della relazione di cui al comma 4.
3. Fatte salve le funzioni degli organi di controllo previsti a norma di legge e di statuto, le società a controllo pubblico valutano l'opportunità di integrare, in considerazione delle dimensioni e delle caratteristiche organizzative nonché dell'attività svolta, gli strumenti di governo societario con i seguenti: a) regolamenti interni volti a garantire la conformità dell'attività della società alle norme di tutela della concorrenza, comprese quelle in materia di concorrenza sleale, nonché alle norme di tutela della proprietà industriale o intellettuale; b) un ufficio di controllo interno strutturato secondo criteri di adeguatezza rispetto alla dimensione e alla complessità dell'impresa sociale, che collabora con l'organo di controllo statutario, riscontrando tempestivamente le richieste da questo provenienti, e trasmette periodicamente all'organo di controllo statutario relazioni sulla regolarità e l'efficienza della gestione; c) codici di condotta propri, o adesione a codici di condotta collettivi aventi a oggetto la disciplina dei comportamenti imprenditoriali nei confronti di consumatori, utenti, dipendenti e collaboratori, nonché altri portatori di legittimi interessi coinvolti nell'attività della società; d) programmi di responsabilità sociale d'impresa, in conformità alle raccomandazioni della Commissione dell'Unione europea.
4. Gli strumenti eventualmente adottati ai sensi del comma 3 sono indicati nella relazione sul governo societario che le società controllate predispongono annualmente, a chiusura dell'esercizio sociale e pubblicano contestualmente al bilancio d'esercizio.
5. Qualora le società a controllo pubblico non integrino gli strumenti di governo societario con quelli di cui al comma 3, danno conto delle ragioni all'interno della relazione di cui al comma 4.”
oltre l’80% del proprio fatturato è effettuato nello svolgimento di compiti ad essa affidati da Regione Lombardia e la produzione ulteriore rispetto al suddetto limite è consentita solo a condizione che la stessa permetta di conseguire economie di scala o altri recuperi di efficienza sul complesso dell’attività principale della Società.
La Società, principalmente:
• svolge funzioni di centrale di committenza di cui all’art. 1 comma 3bis L.R. 33/2007 e art. 37 e 38 D.Lgs 50/2018 a favore di Regione Lombardia, degli Enti del Sistema Regionale di cui alla L.R. 30/2006, degli Enti Locali e delle altre Pubbliche Amministrazioni aventi sede nel territorio regionale;
• svolge funzioni di Stazione Unica Appaltante ex art. 13 L. 136/2010 e DPCM 30/11/2011;
• svolge funzioni di Soggetto Aggregatore ex art . 9 comma 1 D.L. 66/2014 (Delibera ANAC 58 del 23/07/2015 e art.1 comma 3bis L.R. 33/2007);
• svolge funzioni di coordinamento della pianificazione, programmazione, gestione e controllo degli approvvigionamenti di lavori, beni e servizi avvalendosi del Tavolo Tecnico degli Appalti di cui all’art. 1 comma 3 ter L.R. 33/2007 e D.G.R. n. X/3440 del 24/04/2015.
Gli organi societari sono: l’Assemblea (socio unico Regione Lombardia), il Consiglio di Amministrazione (composto da tre consiglieri di cui un Presidente), il Collegio Sindacale (composto da tre sindaci effettivi di cui un Presidente, due supplenti), il Revisore legale dei conti.
Il Direttore Generale è designato dalla Giunta Regionale Lombarda e nominato dal Consiglio di Amministrazione, determinando la durata dell’incarico, i poteri e il trattamento retributivo.
Nel sito aziendale sono reperibili i nominativi e i curricula professionali dei componenti degli organi societari, del Direttore Generale e dei dirigenti della società.
Le attività e le funzioni di ARCA S.p.A. sono compiutamente illustrate nell’ambito della relazione sulla gestione e la documentazione di riferimento è reperibile sul sito internet nella sezione “Società Trasparente”.
La rappresentazione grafica della struttura organizzativa al 31/12/2017 è la seguente:
Come si evince dall’illustrazione, ARCA, nel rispetto dei valori di indipendenza e autonomia, per un adeguato svolgimento dei propri compiti che sono regolati da specifiche normative, ha costituito il “Sistema dei Controlli Aziendale”.
Gli elementi di tale sistema si rilevano dal seguente schema:
3. PREDISPOSIZIONE DI SPECIFICI PROGRAMMI DI VALUTAZIONE DEL RISCHIO DI CRISI AZIENDALE (ART. 6, CC. 2 E 4 DEL D.LGS 175/2016)
Sono state considerate le seguenti “soglie di allarme” per verificare il potenziale rischio di crisi aziendale:
1) gestione operativa della società negativa per tre esercizi consecutivi (differenza tra valore e costi della produzione: A meno B, ex articolo 2525 c.c.);
2) perdite di esercizio cumulate negli ultimi tre esercizi, al netto degli eventuali utili di esercizio del medesimo periodo, che abbiano eroso il patrimonio netto in una misura superiore al 15%;
3) relazione redatta dal Revisore legale o quella del Collegio Sindacale che rappresentino dubbi di continuità aziendale;
4) indice di struttura finanziaria, dato dal rapporto tra patrimonio più debiti a medio e lungo termine e attivo immobilizzato, inferiore a 1 in una misura superiore del 20%;
5) indice di disponibilità finanziaria, dato dal rapporto tra attività correnti e passività correnti, inferiore a 1;
6) peso degli oneri finanziari, misurato come oneri finanziari su fatturato, superiore al 5%. Nel merito, l’analisi del bilancio 2017 evidenzia le seguenti risultanze:
INDICATORI
n. | Soglia di allarme | Risultanze 2017 |
01 | La gestione operativa della società è negativa per tre esercizi consecutivi | NO |
02 | Le perdite di esercizio cumulate negli ultimi tre esercizi, al netto degli eventuali utili di esercizio del medesimo periodo hanno eroso il patrimonio netto in una misura superiore al 15% | NO |
03 | La relazione redatta dal revisore legale o quella del collegio sindacale rappresentano dubbi di continuità aziendale | NO |
04 | L’indice di struttura finanziaria, dato dal rapporto tra patrimonio più debiti a medio e lungo termine e attivo immobilizzato, è inferiore a 1 in una misura superiore del 20% | NO |
05 | L’indice di disponibilità finanziaria, dato dal rapporto tra attività correnti e passività correnti, è inferiore ad 1 | NO |
06 | Il peso degli oneri finanziari, misurato come oneri finanziari su fatturato, è superiore al 5% | NO |
Altre valutazioni di rischio a impatto sulla gestione aziendale, come già indicate nella relazione di Governo societario per lo scorso anno, hanno condotto a declinare il tema nelle seguenti aree:
1. Valutazione dei rischi del sistema;
2. Valutazione del rischio su procedimenti di gara;
3. Valutazione del rischio Information Technology (IT);
4. Valutazione dei rischi sulla sicurezza del lavoro;
5. Valutazione dei rischi finanziari.
3.1 VALUTAZIONE DEI RISCHI DEL SISTEMA
Sin dal febbraio 2015 ARCA ha avviato, con Regione Lombardia, un progetto per la definizione dei rischi del Sistema Regionale al fine di effettuare una ricognizione e quindi una mappatura dei rischi di tutti gli Enti e le Società rientranti nel Sistema Regionale.
Il modello proposto da Regione Lombardia e condiviso dai partecipanti per effettuare la ricognizione dei rischi è quello del Control Self Risk Assessment (di seguito “CSRA”), ovvero un processo di “autovalutazione” dei rischi da parte del management operativo attraverso un percorso specifico che ha previsto l’utilizzo di strumenti come questionari e workshop con gli auditors quali facilitatori qualificati.
Questo tipo di approccio ha quindi consentito ad ARCA di identificare i rischi, determinare i processi di controllo per mitigare tali rischi e sviluppare piani di azione sia in termini di struttura che di procedure e regolamenti per ridurre i rischi entro i limiti accettabili al fine di valutare realisticamente la probabilità di conseguimento degli obiettivi aziendali.
I risultati emersi dall’analisi dei rischi sono stati utilizzati come base per la costruzione del Piano di Audit Interni.
Nel corso del 2016, alla luce degli esiti dell’analisi sopra citata, sono stati svolti audit sui contratti sottoscritti e per l’anno 2017 è stato pianificato un audit interno sul tema “Gestione del personale” (il programma è contenuto nel documento aziendale “Piano di audit annuale 2017”). Tuttavia tale attività, per fattori strategici e sopravvenute ulteriori priorità, è stata rinviata al secondo semestre dell’anno 2018.
Tale decisione, discussa nelle sedute consiliari, è stata comunicata all’Unità Organizzativa Programmazione e Coordinamento SIREG di Regione Lombardia.
Le attività di audit interno di ARCA vengono sempre studiate, pianificate e svolte di concerto con la Struttura di Audit di Regione Lombardia al fine di rafforzare gli standard organizzativi delle funzioni di audit dei diversi enti e società del SIREG e per avere un costante supporto metodologico condiviso volto a favorire una adeguata qualità delle attività svolte.
3.2 VALUTAZIONE DEL RISCHIO CONTENZIOSO
Il Responsabile della Funzione Giuridico Legale – Attività Interne effettua, come per legge, la valutazione del rischio di contenzioso, di norma riguardante prevalentemente i procedimenti di gara, ai fini dell’accantonamento al Fondo Rischi nel bilancio di esercizio, cui si fa riferimento per il valore dell’anno 2017.
3.3 VALUTAZIONE DEL RISCHIO INFORMATION TECHNOLOGY (IT)
Relativamente agli aspetti di gestione del rischio legati alla infrastruttura IT di cui si avvale ARCA per lo svolgimento della attività istituzionale, sono state svolte le attività come di seguito elencate:
• Piattaforma di e-Procurement SINTEL-NECA - Rischio informatico, Cyber Risk:
o azioni rivolte all’incremento dei livelli di sicurezza sui servizi di piattaforma attualmente erogati a livello infrastrutturale da Telecom (TIM S.p.A.), e a livello di sviluppo dall’RTI Fastweb-Lutech per le attività di manutenzione correttiva ed evolutiva;
o esecuzione con esito positivo di un audit a Telecom per la verifica del possesso dei requisiti necessari per la certificazione sulla sicurezza come da norma ISO/IEC 27001;
o hardening continuativo dei sistemi Telecom che erogano i servizi infrastrutturali di e-Procurement, tra cui l’aggiornamento continuo di tutte le patch di sicurezza disponibili dai produttori dei software di terze parti (Oracle, Solaris, RedHat, Windows, etc.);
o monitoraggio e presidio continuativo da parte di Telecom sui servizi infrastrutturali erogati ad ARCA, a prevenzione di attacchi dall’esterno;
o predisposizione ed esecuzione periodica dei test di Disaster Recovery sui sistemi Telecom che erogano i Servizi infrastrutturali di e-Procurement;
o predisposizione ed esecuzione periodica di test di Vulnerability Assessment e Penetration Test (VAPT) sui sistemi Telecom che erogano i servizi infrastrutturali di e-Procurement;
o predisposizione ed esecuzione di attività di web penetration test funzionale (WPT) sulla piattaforma di e-procurement, con analisi ed individuazione delle eventuali vulnerabilità applicative, e pianificazione degli interventi di risoluzione (remediation) sulla configurazione e sul codice applicativo della piattaforma;
o ingaggio dell’RTI Fastweb-Lutech per gli interventi di sviluppo (CR) di remediation applicativo sulla piattaforma di e-Procurement e successivi rilasci delle risoluzioni (patch);
o esecuzione di un secondo WPT – recheck funzionale – a garanzia della completa individuazione e correzione delle eventuali vulnerabilità applicative rilevate nel sistema;
o continua applicazione di meccanismi di rotazione delle chiavi di cifratura per le offerte di gara depositate in piattaforma;
o aggiornamento continuo dei certificati su tutta la catena dei servizi di e- procurement, a partire dalla sessione del browser dell’utente finale fino ad arrivare allo strato applicativo su server, incluso l’utilizzo di protocolli di rete sicuri (HTTPS).
o esame delle ipotesi sotto il profilo assicurativo, con l’obiettivo di valutare una copertura assicurativa aziendale per rischi correlati alla Cyber Security, sia per i servizi di piattaforma di e-procurement, che per i servizi dei sistemi informativi interni ad ARCA.
3.4 VALUTAZIONE DEI RISCHI SULLA SICUREZZA SUI LUOGHI DI LAVORO
XXXX ha predisposto e mantiene aggiornati i necessari documenti e il relativo sistema in tema di sicurezza del lavoro con particolare riferimento al Documento Valutazione Rischi, ai sensi dell’art. 17 D.Lgs 81/2008. È altresì attuata la programmazione e l’effettuazione degli adempimenti in tema di formazione in materia di prevenzione e protezione dei lavoratori.
3.5 VALUTAZIONE DEI RISCHI FINANZIARI
Tale valutazione è presente in apposito capitolo della relazione sulla gestione approvata unitamente al Bilancio di esercizio 2017 dall’Assemblea dei Soci (Socio unico Regione Lombardia).
3.5.1 Valutazione dell'opportunità di integrare gli strumenti di governo societario (art. 6, cc. 3, 4 e 5 del D.Lgs 175/2016)
Di seguito le risultanze della valutazione effettuata:
Oggetto della valutazione | Risultanza della valutazione | ||
a) | Regolamenti interni volti a garantire la | Regolamento nomina RUP e | |
conformità dell'attività della società alle norme di | Commissioni di gara; | ||
tutela della concorrenza, comprese quelle in | Regolamento acquisti sotto-soglia; | ||
materia di concorrenza sleale, nonché alle norme | Regolamento cassa economale; | ||
di tutela della proprietà industriale o intellettuale | Regolamento affidamento incarichi | ||
professionali; | |||
Regolamento per la selezione del | |||
personale; | |||
Regolamento per l’istituto del | |||
whistleblower; | |||
Regolamento per la valutazione delle | |||
prestazioni individuali, il riconoscimento | |||
degli incrementi economici e le | |||
progressioni di carriera; | |||
Regolamento per la gestione, | |||
misurazione e valutazione delle | |||
performance; | |||
Regolamento utilizzo sicuro delle risorse | |||
aziendali. | |||
b) | Un sistema di controllo strutturato | secondo | Collegio sindacale; |
Oggetto della valutazione | Risultanza della valutazione | |
criteri di adeguatezza rispetto alla dimensione e alla complessità dell'impresa sociale, che collabora con l'organo di controllo statutario, riscontrando tempestivamente le richieste da questo provenienti e trasmette periodicamente all'organo di controllo statutario relazioni sulla regolarità e sull'efficienza della gestione | Revisore dei conti; Organismo di Vigilanza; Funzione Controlli interni; Internal Audit; Funzione Contract Control Management. | |
c) | Codici di condotta propri, o adesione a codici di condotta collettivi aventi ad oggetto la disciplina dei comportamenti imprenditoriali nei confronti di consumatori, utenti, dipendenti e collaboratori, nonché altri portatori di legittimi interessi coinvolti nell'attività della società | Codice Etico; Modello di organizzazione, gestione e controllo ex D.Lgs.231/2001 (con integrato Piano Triennale per la Prevenzione della Corruzione – L. 190/2012 e Programma Triennale per la Trasparenza e l’integrità – D.Lgs 33/2013). |
d) | Programmi di responsabilità sociale d'impresa, in conformità alle raccomandazioni della Commissione dell'Unione europea. | Integrazione non necessaria. |
Con particolare riguardo agli strumenti di cui alla lettera d) della sopra riportata tabella, ARCA
S.p.A. non ha predisposto per il 2017 uno specifico programma di responsabilità sociale -peraltro non obbligatorio ex lege - perché, tenuto conto delle dimensioni dell’Azienda e, soprattutto, degli strumenti già adottati, vigenti e consolidati, essa è già dotata di una serie di strumenti del tutto rispettosi dei principi di responsabilità sociale, in particolare (alcuni già accennati in tabella):
• Codice Etico che sancisce, tra l’altro, l’impegno prioritario e costante nella tutela delle pari opportunità, nel rispetto e l’attenzione per le disabilità, nella prevenzione dei rischi, tutela dell’ambiente nonché salute e sicurezza nello svolgimento delle attività sociali;
• Modello di organizzazione gestione e Controllo ex X.Xxx n. 231/2001 con Piano per la prevenzione della corruzione ex L. 190/2012 e relativi Organismo di vigilanza e Responsabile della Prevenzione della Corruzione e Trasparenza;
• tutti i fatti di gestione sono adeguatamente documentati al fine di fornire una rappresentazione contabile che rifletta la natura e la sostanza delle operazioni secondo la normativa vigente e i principi contabili dettati dagli organismi competenti;
• la selezione dei fornitori è svolta nel rispetto della normativa vigente in materia di appalti pubblici (D.Lgs n. 50/2016);
• la selezione del personale è conforme alle regole dettate dal vigente Testo unico in materia di società a partecipazione pubblica (D.Lgs n. 175/2016) e secondo i principi di cui al D.Lgs 165/2001 art 35 e alla D.G.R. n. X/5487 del 2 agosto 2016;
• per quanto riguarda la comunicazione, la Società si avvale di una serie di strumenti adeguati a diffondere, anche presso gli stakeholder, una corretta informazione sulle tematiche di interesse aziendale e per consolidare, anche tramite la partecipazione o la promozione di eventi, studi e seminari tecnici, i rapporti con i propri interlocutori;
• l’accessibilità al sito è garantita e oggettivamente apprezzabile;
• la sezione del sito internet aziendale “Società Trasparente” adempie agli obblighi di legge e garantisce la massima trasparenza dell’agire della Società.