Nel documento di ricerca n. 237 rilasciato da Assirevi a Luglio 2020, concernente gli adempimenti richiesti dal Decreto Antiriciclaggio da parte delle società di revisione contabile aventi incarichi di revisione su enti di interesse pubblico (EIP) e su enti sottoposti a regime intermedio (ESRI), ai sensi dell’articolo 7, comma 2, del
Decreto Antiriciclaggio stesso, uno degli strumenti fondamentali ai fini della concreta valutazione del rischio, richiesto anche dall’articolo 15 comma 1 del Decreto, è rappresentato dalla
relazione di autovalutazione.
Alcune indicazioni in merito alla predisposizione di tale documento sono giunte direttamente dalla Consob con la comunicazione avente ad oggetto i “Criteri e metodologie di valutazione dei rischi di riciclaggio e di finanziamento del terrorismo cui i revisori legali e le società di revisione sono esposti nell’esercizio della loro attività”.
La metodologia di autovalutazione si sviluppa in tre distinte fasi di attività:
- l’identificazione e la valutazione dei rischi di riciclaggio e di finanziamento del terrorismo a cui la società di revisione è esposta nell’ambito dell’attività svolta (cosiddetto “rischio inerente”);
- la valutazione sull’idoneità dei presidi organizzativi, procedurali e di controllo concretamente implementati dalla società di revisione rispetto al rischio inerente, al fine di individuare eventuali vulnerabilità (cosiddetta analisi della vulnerabilità);
- la determinazione del rischio residuo cui la società di revisione rimane esposta, tenuto conto delle conclusioni raggiunte dal revisore con riguardo al rischio inerente e all’analisi di vulnerabilità, nonché le iniziative correttive da intraprendere al fine di mitigare detto rischio.
Rischio inerente– Ai fini della valutazione del rischio inerente la società di revisione deve considerare una serie di elementi, come ad esempio il numero di clienti operativi in settori esposti al rischio di riciclaggio, o in aree geografiche a rischio di riciclaggio, il numero di clienti con assetti partecipativi poco trasparenti, con situazioni di equilibrio economico-finanziario precario, ecc.
Una volta identificati tutti gli elementi di valutazione del rischio inerente, la riconduzione del livello di rischio inerente in uno dei quattro livelli possibili (basso, medio-basso, medio-alto e alto) deve essere effettuata considerando i seguenti indicatori di rischio sintetici (o driver di rischio):
- totale dei clienti e titolari effettivi con indicatori di rischio;
- numero dei clienti classificati ad elevato rischio di riciclaggio o di finanziamento del terrorismo;
- volume del fatturato derivante da attività di revisione contabile.
Secondo le linee guida fornite da Assirevi per poter stimare i quattro livelli di rischio si può considerare:
- un rischio basso, quando il numero dei clienti non sia superiore al 10% e l’importo del fatturato derivante quasi esclusivamente dall’attività di revisione contabile sia invece superiore all’80/85%;
- un rischio medio-basso se il numero di clienti sia compreso tra il 10% e il 20% e l’importo del fatturato derivante da attività di revisione contabile sia maggiore del 60%;
- un rischio medio-alto quando il numero sia compreso tra il 20% e il 40% e l’importo del fatturato derivante da attività di revisione contabile sia compreso tra il 45% e il 60%;
- un rischio alto quando i clienti siano più del 40% e l’importo del fatturato derivante da attività di revisione contabile sia inferiore al 45%.
Analisi della vulnerabilità- Con tale analisi i revisori sono chiamati a valutare il sistema dei presidi in essere (assetto organizzativo, procedure interne, sistema dei controlli e formazione) idonei a consentire di individuare tempestivamente e contrastare i rischi di riciclaggio e finanziamento del terrorismo.
Le società di revisione effettuano tale valutazione avvalendosi della tabella di riepilogo riportata nella Comunicazione Consob (Tabella 2), eventualmente integrata con gli ulteriori aspetti ritenuti meritevoli di valutazione. La Tabella 2 in particolare illustra in forma sintetica il sistema dei presidi (assetto organizzativo, procedure interne, sistemi di controllo, formazione) considerato espressione di una vulnerabilità non significativa, in quanto pienamente efficace e idoneo a consentire di individuare tempestivamente e contrastare i rischi di riciclaggio e finanziamento del terrorismo cui la società di revisione o il revisore possono essere esposti.
A seconda di quanto il sistema di presidi interni si discosti da quanto indicato nella Tabella 2 il sistema potrà risultare più o meno vulnerabile.
Matrice del rischio residuo - La combinazione dei giudizi di rischio inerente e di vulnerabilità dei presidi determina l'entità del rischio residuo; a tal fine le società di revisione utilizzano la matrice allegata alla Comunicazione, riportando nel documento di Autovalutazione dei rischi le azioni correttive intraprese o individuate e specificando le tempistiche stimate per il relativo completamento.