Comunicazione comunicazione cg n. 0186002 - AREA PUBBLICA
Bollettino
« Indietro
Comunicazione n. 0186002 del 4-6-2018
Oggetto: Criteri e metodologie di valutazione dei rischi di riciclaggio e di finanziamento del terrorismo cui i revisori legali e le società di revisione sono esposti nell'esercizio della loro attività
1. Premessa
Con la presente Comunicazione si individuano, ai sensi dell'art. 15, comma 1, del d.lgs. n. 231/2007, i criteri e le metodologie per l'analisi e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo cui i revisori legali e le società di revisione sono esposti nell'esercizio della loro attività (di seguito anche "autovalutazione dei rischi di riciclaggio e di finanziamento del terrorismo").
La presente Comunicazione ha natura di orientamento riguardo al rispetto, da parte dei revisori legali e delle società di revisione, degli obblighi posti dall'articolo 6, commi 1 e 2, del "Regolamento recante disposizioni di attuazione del Decreto Legislativo 21 novembre 2007, n. 231 e successive modifiche ed integrazioni, in materia di organizzazione, procedure e controlli interni dei revisori legali e delle società di revisione con incarichi di revisione su enti di interesse pubblico o su enti sottoposti a regime intermedio, a fini di prevenzione e contrasto dell'uso del sistema economico e finanziario a scopo di riciclaggio e finanziamento del terrorismo" (di seguito anche "Regolamento in materia di organizzazione, procedure e controlli interni").
Gli atti relativi all'autovalutazione annuale dei rischi di riciclaggio e di finanziamento del terrorismo condotta dalle società di revisione ai sensi dell'articolo 6, comma 4, del predetto Regolamento sono trasmessi alla Consob all'indirizzo di posta elettronica certificata consob@pec.consob.it (all'attenzione della Divisione Ispettorato, Ufficio Accertamenti Ispettivi su Fenomeni Abusivi e Antiriciclaggio).
2. La metodologia di autovalutazione
La metodologia di autovalutazione dei rischi di riciclaggio e di finanziamento del terrorismo si sviluppa nelle seguenti tre fasi di attività:
- Identificazione e valutazione dei rischi di riciclaggio e di finanziamento del terrorismo a cui le società di revisione e i revisori legali sono esposti nell'ambito dell'attività svolta (identificazione del "rischio inerente");
- Valutazione dell'idoneità dei presidi organizzativi, procedurali e di controllo concretamente implementati dalle società di revisione e dai revisori legali rispetto ai rischi precedentemente identificati al fine di individuare eventuali vulnerabilità (analisi delle "vulnerabilità");
- Determinazione del rischio residuo cui le società di revisione e i revisori legali, tenuto conto del livello di vulnerabilità, rimangono esposti e delle iniziative correttive da intraprendere al fine di mitigare detto rischio.
2.1 Valutazione del rischio inerente
Al fine di identificare il livello di rischio inerente, sono presi in considerazione almeno i seguenti elementi:
- il numero di clienti (e titolari effettivi) operativi in settori di attività economica a rischio di riciclaggio e di finanziamento del terrorismo[1];
- il numero di clienti (e titolari effettivi) operativi in aree geografiche a rischio di riciclaggio e di finanziamento del terrorismo[2];
- il numero di clienti (e titolari effettivi) coinvolti in vicende oggetto di notizie pregiudizievoli (es. coinvolgimento in procedimenti penali per riciclaggio, terrorismo o altri reati presupposto e fattispecie connesse ai reati di riciclaggio o con finalità di terrorismo) o presenti nelle liste cd. "antiterrorismo";
- il numero di clienti con assetti partecipativi complessi o poco trasparenti (ad esempio per la presenza di trust o schermi fiduciari);
- il numero di clienti con rilevanti rapporti di affari con soggetti operativi in aree geografiche a rischio di riciclaggio e di finanziamento del terrorismo;
- il numero di clienti con situazioni di precario equilibrio economico-finanziario (cd. "incertezze significative") che hanno formato oggetto di giudizi con rilievi o negativi;
- il numero di clienti con riferimento ai quali sono stati formulati richiami di informativa;
- il numero di clienti che hanno rilasciato parziali, inesatte, incomplete o false dichiarazioni che hanno determinato l'impossibilità ad emettere un giudizio;
- il numero di clienti per i quali sono stati rilevati comportamenti non collaborativi o reticenti;
- il numero di clienti classificati ad elevato rischio di riciclaggio o di finanziamento del terrorismo (anche per effetto della presenza di persone politicamente esposte estere o nazionali)[3];
- il volume del fatturato derivante da attività diverse dalla revisione contabile.
Le società di revisione e i revisori legali possono individuare fattori di rischio ulteriori rispetto a quelli sopra elencati, anche in considerazione delle specificità delle attività svolte e della clientela per conto della quale operano.
Alla luce dei sopra elencati elementi di valutazione, tenuto anche conto degli elementi risultanti dalle relazioni e dalle altre evidenze delle funzioni aziendali di controllo e delle risultanze delle eventuali verifiche ispettive condotte dalle Autorità di vigilanza, le società di revisione e i revisori legali misurano il livello di rischio inerente, che è ricondotto in uno dei quattro livelli orientativamente descritti nella tabella seguente.
Tabella 1- Analisi del rischio inerente
| Giudizio |
Criteri di attribuzione |
| Rischio basso |
Un numero molto limitato di clienti/titolari effettivi opera in settori o aree a rischio di riciclaggio e di finanziamento del terrorismo, o risulta coinvolto in vicende oggetto di notizie pregiudizievoli, o presenta uno o più dei fattori di rischio sopra elencati nel testo. Molto limitato è il numero di clienti a rischio riciclaggio o finanziamento del terrorismo più elevato. L'importo del fatturato è derivante quasi esclusivamente dall'attività di revisione contabile. |
| Rischio medio-basso |
Un numero limitato di clienti/titolari effettivi opera in settori o aree a rischio di riciclaggio e di finanziamento del terrorismo, o risulta coinvolto in vicende oggetto di notizie pregiudizievoli, o presenta uno o più dei fattori di rischio sopra elencati nel testo. Limitato è il numero di clienti a rischio riciclaggio o finanziamento del terrorismo più elevato. L'importo del fatturato derivante da attività di revisione contabile è prevalente rispetto a quello derivante da altre prestazioni. |
| Rischio medio-alto |
Sono presenti numerosi clienti/titolari effettivi che operano in settori o aree a rischio di riciclaggio e di finanziamento del terrorismo, o risultano coinvolti in vicende oggetto di notizie pregiudizievoli, o presentano uno o più dei fattori di rischio sopra elencati nel testo. Sono presenti numerosi clienti a rischio riciclaggio o finanziamento del terrorismo più elevato. L'importo del fatturato derivante dall'attività di revisione contabile è all'incirca equivalente a quello delle altre prestazioni. |
| Rischio alto |
Sono molto numerosi i clienti/titolari effettivi che operano in settori o aree a rischio di riciclaggio e di finanziamento del terrorismo, o che risultano coinvolti in vicende oggetto di notizie pregiudizievoli, o presentano uno o più dei fattori di rischio sopra elencati nel testo. I clienti a rischio riciclaggio o finanziamento del terrorismo più elevato sono molto numerosi. L'importo del fatturato derivante dall'attività di revisione contabile è inferiore a quello delle altre prestazioni. |
Nella determinazione del livello di rischio inerente, le società di revisione e i revisori legali si attengono a criteri prudenziali. In particolare, nei casi di dubbio tra più livelli di giudizio, è di massima preferito quello a rischio più elevato.
L'attribuzione del livello di rischio inerente viene sempre accompagnata dalla descrizione degli elementi di valutazione considerati e delle motivazioni che hanno determinato le scelte effettuate.
2.2 Analisi delle vulnerabilità
Ai sensi dell'art. 5 del Regolamento in materia di organizzazione, procedure e controlli interni, le società di revisione e i revisori legali adottano e attuano politiche e procedure idonee a mitigare i rischi di riciclaggio e di finanziamento del terrorismo.
Di seguito è riportata una tabella di riepilogo che illustra in forma sintetica il sistema dei presidi (assetto organizzativo, procedure interne, sistemi di controllo, formazione) considerato espressione di una vulnerabilità non significativa, in quanto pienamente efficace e idoneo a consentire di individuare tempestivamente e contrastare i rischi di riciclaggio e finanziamento del terrorismo cui la società di revisione o il revisore possono essere esposti.
I revisori legali effettuano l'analisi delle vulnerabilità in coerenza con la loro natura di professionisti individuali ed in misura proporzionata alla struttura organizzativa di cui eventualmente si avvalgono.
Tabella 2 – Vulnerabilità non significativa: presidi di mitigazione pienamente efficaci ed adeguati
| Assetto organizzativo |
Sono stati definiti ruoli, responsabilità e compiti degli Organi e/o dei soggetti coinvolti nei processi volti all'adempimento degli obblighi previsti dalla normativa antiriciclaggio. E' previsto un sistema di flussi informativi verso gli Organi aziendali, adeguato, completo e tempestivo. La nomina del Responsabile della Funzione Antiriciclaggio è stata attribuita in base a comprovate competenze o esperienze in materia antiriciclaggio ed è previsto un meccanismo di sostituzione qualora il predetto Responsabile svolga attività professionale nei confronti della clientela. La Funzione Antiriciclaggio è organizzata in coerenza con il principio di proporzionalità ed in modo tale da garantirne l'indipendenza. In caso di esternalizzazione della Funzione Antiriciclaggio sono state adottate le cautele necessarie a garantire il mantenimento dei poteri di indirizzo e controllo da parte degli organi aziendali, nonché il monitoraggio interno delle modalità di svolgimento del servizio. |
| Procedure interne |
Le procedure descrivono compiutamente i processi operativi concretamente adottati al fine dell'assolvimento degli obblighi previsti dalla normativa primaria e secondaria (identificazione e verifica del cliente e del titolare effettivo, controllo costante, conservazione dei dati e delle informazioni, segnalazione di operazioni sospette). E' stato adottato un sistema di profilatura della clientela appropriato al contesto operativo ed alle caratteristiche della clientela di riferimento. Il predetto sistema, basato su un meccanismo di ponderazione oggettiva secondo metriche prefissate, consente la classificazione della clientela almeno su tre livelli di rischio ("basso", "medio" e "alto"). Sono previste misure di adeguata verifica commisurate al profilo di rischio riciclaggio attribuito alla clientela. Le disposizioni procedurali sono state portate a conoscenza di tutto il personale e risultano aggiornate al quadro normativo e regolamentare in vigore. |
| Sistema di controllo |
Il sistema dei controlli adottato è idoneo alla tempestiva rilevazione e gestione dei rischi di riciclaggio e finanziamento del terrorismo. Le funzioni di controllo svolgono le proprie verifiche con continuità e ne formalizzano gli esiti. Gli esiti delle verifiche, unitamente all'indicazione di eventuali azioni correttive, vengono compiutamente riportati nelle relazioni annuali predisposte dalle predette funzioni di controllo, che vengono formalmente presentate al C.d.A. In esito alle verifiche svolte nell'ultimo anno non sono state evidenziate carenze di tipo organizzativo-procedurale ovvero le eventuali carenze rilevate sono state prontamente superate mediante l'adozione di specifiche misure correttive. L'adeguatezza e l'efficacia delle attività svolte dalla Funzione Antiriciclaggio sono sottoposte a monitoraggio periodico da parte della Funzione di Controllo di qualità. |
| Formazione |
Il Responsabile della Funzione Antiriciclaggio ha individuato specifici programmi di formazione finalizzati ad assicurare a tutto il personale una conoscenza aggiornata della normativa, delle relative modalità di attuazione, dell'evoluzione dei rischi di riciclaggio, nonché degli schemi operativi tipici di riciclaggio. L'attività di formazione ha coinvolto tutti i soggetti interessati ai processi in materia antiriciclaggio. Ai corsi di formazione eventualmente svolti nell'ultimo anno hanno partecipato tutti i destinatari ed il relativo grado di apprendimento è stato valutato soddisfacente dal Responsabile della Funzione Antiriciclaggio. |
Le società di revisione e i revisori legali provvedono ad esaminare e valutare in modo analitico i presidi di mitigazione del rischio inerente dagli stessi implementati e concretamente in essere, e a confrontarli con quelli che, sulla base della sopra descritta tabella di riepilogo, possono essere considerati efficaci e adeguati, e pertanto espressione di una vulnerabilità non significativa.
In esito alla valutazione e al confronto, il livello di vulnerabilità del sistema dei presidi è determinato sulla base dei criteri indicati nella tabella che segue.
Tabella 3 – Analisi delle vulnerabilità
Giudizio |
Criteri di attribuzione |
| Vulnerabilità non significativa |
Lo stato dei presidi di mitigazione implementati e concretamente in essere è corrispondente a quello descritto nella Tabella 2. |
| Vulnerabilità poco significativa |
Sono presenti limitati profili di debolezza rispetto alla situazione descritta nella Tabella 2, ma il sistema dei presidi si presenta nel complesso positivo, con una sufficiente capacità di individuare e contrastare i rischi di riciclaggio e finanziamento del terrorismo. |
| Vulnerabilità abbastanza significativa |
Sono presenti numerose carenze rispetto alla situazione descritta nella Tabella 2, che rendono il sistema dei presidi non sufficientemente adeguato ad individuare e contrastare i rischi di riciclaggio e finanziamento del terrorismo. |
| Vulnerabilità molto significativa |
Le carenze rispetto alla situazione descritta nella Tabella 2 sono molto numerose e diffuse, tali da rendere il sistema dei presidi non adeguato ad individuare e contrastare i rischi di riciclaggio e finanziamento del terrorismo. |
In tutti i casi in cui, in esito alla valutazione, il livello di vulnerabilità risulti diverso da "non significativo", le società di revisione e i revisori legali provvedono ad illustrare, nel documento di autovalutazione dei rischi redatto ai sensi dell'art. 6 del Regolamento in materia di organizzazione, procedure e controlli interni, le aree di scostamento rispetto alla Tabella 2, mediante la descrizione dei profili di debolezza o delle carenze individuate.
2.3 Determinazione del rischio residuo
La combinazione dei giudizi di rischio inerente e di vulnerabilità dei presidi determina l'entità del rischio residuo, sulla base della matrice di seguito illustrata.
Matrice di determinazione del rischio residuo
| Livello di RISCHIO INERENTE | Alto | Rischio residuo Alto |
|||
| Medio-Alto | Rischio residuo Medio-Alto |
||||
| Medio-Basso | Rischio residuo Medio-Basso |
||||
| Basso | Rischio residuo Basso |
||||
Non significativa |
Poco significativa |
Abbastanza significativa |
Molto significativa |
||
VULNERABILITA' |
|||||
La determinazione del livello di rischio residuo viene accompagnata, nel documento di autovalutazione dei rischi redatto ai sensi dell'art. 6 del Regolamento in materia di organizzazione, procedure e controlli interni, dalla descrizione delle iniziative correttive o di adeguamento individuate.
IL PRESIDENTE
Mario Nava
Note:
[1] Tra i settori di attività economica a rischio devono considerarsi almeno i seguenti: raccolta e smaltimento di rifiuti, commercio di armi, gioco e scommesse, rimessa di denaro, commercio di opere d'arte e di antiquariato, produzione di energie rinnovabili, cash intensive business (ad esempio commercio al dettaglio e ristorazione), industria estrattiva di minerali e metalli, servizi sanitari e altre attività collegate ad appalti pubblici, settore farmaceutico, real estate, costruzioni e movimento terra, commercio di pietre preziose, attività ricreative e sport, no-profit (ad esempio ONG e ONLUS). Ulteriori settori a rischio possono essere rilevati dai rapporti semestrali della D.I.A., dalle pubblicazioni dell'U.I.F. o dalle pubblicazioni di istituti di ricerca, nonché dagli Orientamenti congiunti delle Autorità di Vigilanza europee sulle misure semplificate e rafforzate di adeguata verifica della clientela e sui fattori di rischio, pubblicati il 4 gennaio 2018.
[2] Occorrerà fare riferimento ai clienti e titolari effettivi che hanno la sede legale/residenza o rilevanti interessi economico-finanziari nei Paesi o territori ad alto rischio individuati da organismi internazionali e nazionali: ad esempio, FAFT-GAFI (http://www.fatf-gafi.org/fr/pays/#high-risk); "Paesi ad alto rischio" individuati dalla Commissione europea nell'esercizio dei poteri di cui agli articoli 9 e 64 della Direttiva 2015/849; Stati o territori a fiscalità privilegiata (cosiddetti "Paesi black list" individuati dal Ministro dell'Economia e delle Finanze), Rapporti semestrali della DIA, Relazioni annuali dell'UIF, ecc.[3] Il livello di rischiosità della clientela contribuisce alla valutazione del rischio inerente in quanto, pur se nel modello di valutazione adottato dalla società di revisione siano considerati tutti i fattori di rischio precedentemente elencati, non necessariamente la ricorrenza di uno o più dei medesimi comporta l'assegnazione alla clientela del livello di rischiosità più elevato.