Gli artt. 15 e 16 D.Lgs. 231/2007, così come modificati dal D.Lgs. 90/2017, prevedono per i soggetti obbligati l'autovalutazione del rischio. I soggetti obbligati devono identificare il rischio inerente, cioè il rischio a cui il professionista è esposto in base alla sua attività, valutare la vulnerabilità dei presidi organizzativi e determinare il rischio residuo. I fattori del rischio inerente sono i seguenti.
Tipologia della clientela: si tiene presente della clientela dello studio dal punto di vista soggettivo ed oggettivo. Devono essere considerate le tipologie della clientela come attività a rischio di infiltrazioni criminali, clienti indagati o soggetti a procedimenti penali, ecc.; più è alto, in percentuale, il numero dei clienti valutati a rischio, più è alto il valore dell'indicatore attribuito.
Area geografica di operatività: la valutazione va effettuata tenendo presente la sede della struttura e il territorio di operatività del professionista, considerando anche eventuali sedi secondarie. Nella valutazione si deve tener conto delle relazioni delle autorità che periodicamente mappano i territori sia nazionali che internazionali in relazione al rischio riciclaggio e criminalità.
Canali distributivi: si deve valutare il rischio di eventuali altri soggetti e strutture cui il professionista si rivolge per determinati servizi come collaborazioni esterne, corrispondenze, canali di pagamento, ecc.
Servizi professionali offerti: si devono considerare tutte le attività svolte dal professionista o dalla struttura. Anche in questo caso, in base al grado di rischio della maggioranza delle prestazioni svolte si adeguerà il valore del rischio inerente. Nelle linee guida sono elencate le prestazioni con il rispettivo indice di valutazione.
I fattori dell'analisi di vulnerabilità sono:
- formazione: si valuta il piano formativo del professionista e degli eventuali dipendenti e collaboratori;
- organizzazione degli adempimenti di adeguata verifica della clientela: si valuta l'organizzazione di studio e le eventuali deleghe, si valutano le procedure messe in essere per l'adeguata verifica;
- organizzazione degli adempimenti relativi alla conservazione: anche in questo caso si valutano le procedure e i sistemi di conservazione dei documenti, dati e informazioni utilizzati e acquisiti ai fini della normativa;
- organizzazione ai fini delle segnalazioni di operazioni sospette (SOS) e delle comunicazioni di violazione all'uso del contante: si valutano l'organizzazione e le procedure attuate ai fini delle eventuali SOS e comunicazioni.
Individuati i valori del rischio inerente e della vulnerabilità, si passa alla determinazione del rischio residuo. Le regole tecniche, considerando predominante la vulnerabilità al rischio inerente, stabiliscono che il professionista sommi il 40% della ponderazione del rischio inerente al 60% della ponderazione della vulnerabilità. Il risultato va confrontato con la griglia pubblicata nelle regole tecniche. Se il rischio residuo è compreso tra un valore da 1 a 1,5, il livello di rischio residuo è non significativo; per rischio residuo compreso tra 1,6 e 2,5, il livello di rischio è poco significativo; per rischio residuo compreso tra 2,6 e 3,5, il rischio è abbastanza significativo; mentre per un rischio residuo compreso tra 3,6 e 4 il rischio è molto significativo. Se il professionista rientra nella fascia molto significativa, deve adottare adeguate misure di mitigazione del rischio.
L'autovalutazione del rischio va ripetuta con cadenza triennale e conservata dal professionista.
Seguici:
Scarica gratuitamente la nostra app:
